شرکت های متوسط چگونه می توانند از IAM و کشف تقلب استفاده کنند

شرکت های متوسط چگونه می توانند از IAM و کشف تقلب استفاده کنند

مدیریت هویت و دسترسی (IAM) در بیشتر فعالیت های تجاری یک فرآیند اساسی است و شرکت های متوسط باید آن را با منابع محدود مدیریت کنند. مدیران امنیت باید در رسیدن به بلوغ تلاش کنند تا مزایای خاصی را که IAM و کشف تقلب ارائه می دهند به حداکثر برسانند.

چالش های اصلی

  • یک برنامه مدیریت هویت و دسترسی به دانش فنی و کسب و کار متعادل نیاز دارد. با این حال، شرکت های متوسط اغلب دارای منابع انسانی و بودجه محدود هستند.
  • برنامه های IAM برای پشتیبانی از قابلیت هایی مانند IAM مشتری، تجمیع زنجیره تأمین، احراز هویت تطبیقی، اثبات و تأیید هویت و رابطه اعتماد و مدیریت، نیاز به اتخاذ و استقرار مولفه های جدید، چابک و گسترده دارند.
  • یک برنامه IAM محدود به منابع داخلی نیست. برنامه های IAM در حال تکامل از طیف گسترده ای از توانایی های داخلی و خارجی استفاده می کنند تا برنامه بتواند منابع را برای پشتیبانی از ابتکارات مختلف تجاری سازماندهی نماید.

توصیه ها

مدیران امنیت و مدیریت ریسک که مسئول IAM و کشف تقلب هستند باید:

  • تصدیق کنند که آنها در زمینه هویت نقاط هماهنگی هستند و نه متخصص. آنها باید این کار را با آشنایی با فرایندهایی که بر فعالیت های B2E، B2B و B2C تأثیر می گذارند، انجام دهند. صاحبان و ذینفعان آن فرآیندها؛ و اولویت بندی هایی که این نیازها را برآورده می کند را نیز مشخص نمایند.
  • محدودیت های خود را مدیریت کنند، با اتخاذ نگرشی مبتنی بر یادگیری نسبت به مسائل IAM و ایجاد روابط با مشاوران، ارائه دهندگان خدمات. مشخص کنند چه کسی مسئول عملیاتی کردن فرآیند ها است و چه کسی در انجام آنها کمک می کند. خلاءهای مشخص شده در این فرآیند ها را نیز شناسایی کنند.
  • برای هماهنگی نیازها و راه حل های همسو با اهداف خاص تجاری و برای درک و انتقال نیازهای تجاری در مورد راه حل های فرآیندی و فناوری، با مدیران تجاری همکاری کنند. درکی از آنچه که وجود دارد، هرگونه خلاء یا فرصت را توزیع و به اشتراک بگذارند و از این روش به عنوان فرصتی برای جلب علاقه و پشتیبانی برای سازماندهی و بهبود توانایی های IAM استفاده کنند.

فرض برنامه ریزی استراتژیک

تا سال 2024، استفاده از راهکارهای IAM در شرکتهای متوسط 15 تا 20 درصد رشد خواهند کرد تا نیازهای جدید و در حال توسعه تجاری را تأمین کنند.

مقدمه

شرکت های متوسط (MSE) اگرچه بیشتر عملکردهای یک سازمان بزرگ را در خود دارند، اما جمع و جورتر هستند، اختیارات گسترده ای را در منابع کوچکتر توزیع می کنند و به طور قابل توجهی به تخصص و تجربه افراد در سمت ها اعتماد می کنند. MSE گروه متنوعی مانند مشاغل خانوادگی، استارتاپ ها، دولت محلی و سازمان های غیرانتفاعی را شامل می شود، بنابراین محدودیت های منحصر به فردی دارند. کارکنان IT محدود هستند و باید کارآمد باشند، و رهبران اغلب برخی از قابلیت های IT را تشخیص نمی دهند. این امر اغلب در مورد مدیریت هویت و دسترسی (IAM) و مدیریت امنیت و ریسک (SRM) وجود دارد.

افراد حوزه IT در MSE اغلب در یک زمینه متخصص هستند، اما در حوزه های دیگر اطلاعات معمولی دارند و باید آنچه را که می دانند با تمایل به گسترش دانش خود در زمینه های دیگر متعادل کنند. منابع فناوری اطلاعات معمولاً به نیازها و انتظارات تجارت نزدیکتر هستند و باید در مورد چگونگی تغییر سازمان و تکامل نیازهای فناوری فکر کنند. غالباً، MSE ها دانش خود را از همتایان خود و سایر صنایع جمع آوری می کند.

درآمد MSE بین 50 میلیون تا 1 میلیارد دلار و با کمتر از 1000 کارمند است. آنها سطح مدیریتی کمتری دارند، مسئولیت و پاسخگویی بیشتری از اصول IAM را نیاز دارند، اولویت های بسیار، منابع محدود و ارتباط نزدیکتر با نتایج دارند. دستیابی به اثربخشی و مشارکت در نتایج کسب و کار، گاهاً به همکاری و دستیابی استثنایی نیاز دارد، که معمولاً نتایج مستقیماً با نتایج CIO همراه است. کارکنان فناوری اطلاعات برای تعیین چگونگی انجام کارها باید خارج از مرزهای سازمانی فکر کنند (شکل 1 را ببینید).

همانطور که MSE عملکردهای IAM را رسمی می کند، رهبران SRM باید موارد زیر را ایجاد کنند:

  • چه چیزیIAM ، SRM و سایر عملکردهای IT را متمایز یا پیوند می دهد؟
  • شباهت ها، تفاوت ها و وابستگی ها مثلاً در مورد شرکا و کارمندان چیست؟
  • این موارد چگونه به ضروریات سازمانی مانند دسترسی گسترده تر به ERP کمک می کنند؟
  • چگونه رهبران SRM می توانند ابتکارات و تعاملات را برای کمک به نتایج تجاری هماهنگ کنند؟

در نظر بگیرید که شخصیت ها چه تفاوت هاو شباهت هایی با رویکردهای مدیریت هویت دارند. این خدمات مدیریت هویت را با مخاطبان خاص و محصولات و فرایندهایی که به آنها خدمت می کنند همسو می کند. امنیت و هویت برای محافظت از سازمان و اطمینان از مناسب بودن فرایندها لازم است. امنیت و هویت می تواند تحت تأثیر جریان اطلاعات یا تعداد زیاد حوادث قرار گیرد. رهبران باید ببینند آنچه انجام می دهند متناسب با تصویر بزرگتر است و شکاف ها را تشخیص دهند. در غیر این صورت، این شکاف ها به عادات تبدیل می شوند، تکرار می شوند و مسائل آینده را ایجاد می کنند.

مثالی که در اکثر سازمانها مطرح می شود عدم نظم و انضباط مرتبط با گروههای امنیتی است. غالباً، سازمانها به جایی می رسند که گروهها به طور قابل توجهی بیشتر از کاربران هستند و هیچ دلیل منطقی برای ایجاد گروهها وجود ندارد. آنها همچنین ممکن است تصوری نداشته باشند که اگر بخواهند گروه ها را ادغام کنند چه تاثیری خواهد داشت. اگر کاری انجام نشود، یا اگر روشی برای اجرای یک تمرین بازسازی ایجاد نشود، این مشکل خود افزایش پیدا می کند. این مثال خوبی از تفکر تاکتیکی است.

این تحقیق ملاحظاتی را که رهبران IAM برای تأمین نیازهای یک MSE باید بررسی کنند، زیر ذره بین می برد.

آنالیز

تشخیص دهید که شما نقطه هماهنگی هستید، نه کارشناس هویت

IAM مجموعه گسترده و متنوعی از رشته ها و راه حل ها است که به موازات نیاز سازمان ها و صنایع، شرکای تجاری و مشتریان در حال گسترش و تغییر است. هیچ کس نمی تواند رویکردها، فناوری ها و تکنیک ها را در زیر چتر خود نگه دارد. شکل 2 نمای چهار عملکرد اصلی را ارائه می دهد. برای هر عملکرد، فرآیندهای تجاری با فن آوری ها تلاقی می یابند.

مدیران بر IGA متمرکز می شوند، که همان روشی است که هویت ها در آن قرار می گیرند، انتقال می یابند و سازمان را ترک می کنند. منابع انسانی یا رویدادهای خرید اقدامات IGA را فعال می کنند، مانند تیکت های help desk ، اضافه کردن یا حذف حساب ها. مدیریت همچنین شامل این قابلیت های اضافی است:

  • مدیریت کلید رمزگذاری
  • تفکیک وظایف (SOD)، که نظارت را کنترل می کنند
  • مدیریت اعتبارنامه

مدیریت مجوزها بر مدیریت دسترسی و مدیریت دسترسی ممتاز (PAM) متمرکز است. مدیریت دسترسی راهی است که کاربران از طریق پورتال با برنامه ها و داده ها ارتباط برقرار می کنند. PAM کنترل می کند که چگونه کاربران دارای امتیازات بالا سیستم ها و منابع حیاتی را مدیریت می کنند. مدیریت مجوزها همچنین شامل تعدادی از قابلیت های دیگر، از جمله:

  • حاکمیت دسترسی به داده ها
  • جلوگیری از نشت داده ها (DLP)
  • رمزگذاری
  • مدیریت حقوق دیجیتال سازمانی (EDRM)
  • مدیریت مجوز خارجی
  • کنترل دسترسی شبکه (NAC)

اطمینان از قابلیت های احراز هویت کاربر، یعنی شناسایی اشخاص تا بتوان به آنها اجازه دسترسی به منابع را داد. اطمینان همچنین شامل موارد زیر است:

  • اثبات هویت
  • تأیید تراکنش

تجزیه و تحلیل، از اطلاعات جمع آوری شده هویت و فعالیت استفاده می کند تا بینشی از فعالیت ها برای کارهای مختلف مرتبط، مانند نظارت بر امنیت داشته باشد. علاوه بر قابلیت های زیر، تجزیه و تحلیل ها توانایی تفسیر اطلاعات و رویدادها را برای اهدافی مانند:

  • کشف تقلب آنلاین (OFD)
  • تجزیه و تحلیل رفتار کاربر و نهاد (UEBA)
  • نظارت بر رویداد امنیتی و اطلاعاتی (SIEM)

همانطور که می بینید، طیف گسترده ای از فعالیت ها و عملکردها با IAM مرتبط است. تعداد کمی از افراد در یک MSE دانش و تجربه درک و بهره برداری از آنها را دارند. این موارد نمایانگر فرصت های قابل توجهی است که برای حمایت از ابتکارات تجاری با آگاهی از کارهایی که هرکدام انجام می دهند و نحوه استفاده از آنها به عنوان بخشی از راه حل است.

با اتخاذ نگرش یادگیری و ایجاد روابط با مشاوران و ارائه دهندگان خدمات محدودیت ها را مدیریت کنید

اگرچه MSE ها منابع و بودجه کمتری دارند، اما چالش های پیش روی آنها با سازمان های بزرگتر برابر یا در اندازه آنها است. به عنوان مثال، سبک های سازمانی در این حوزه شامل دولتی، سازمان های غیرانتفاعی، شرکت های نوپا و خانوادگی نیز می شود. آنها به بیشتر توانایی های سازمانهای بزرگتر، اما در مقیاس کوچکتر، نیاز دارند.

فناوری اطلاعات در MSE جامعه کوچکتری است که در زنجیره تأمین، جنبه های تجاری عملیاتی و مصرف کننده روبرو است. ممکن است از شخصی به عنوان رهبر IAM نام برده نشود، اما شخصی مسئول دسترسی و تهیه آن خواهد بود. این ممکن است به جای موضعی که تصمیمات فرآیندی اتخاذ می شود، یک خط یا موقعیت اداری باشد. رهبران یا مدیران IAM فرصت کمتری برای “استراتژیک” بودن و شناخت و تشخیص روند یا مشکلات سیستمی دارند. آنها ممکن است احساس کنند بهتر است به جای تغییر شرایط، وضعیت فعلی را حفظ نمایند. آنها ممکن است مهارت های لازم برای حل یک مشکل خاص را نداشته باشند (یا تمایل به کسب آن). بعلاوه، ممکن است انگیزه ای برای در نظر گرفتن نیازهای سازمانی یا بهبودهای بالقوه نداشته باشند. در موارد دیگر، انگیزه ممکن است سرمایه اصلی IAM باشد. او می تواند دامنه گسترده ای از پوشش و مسئولیت را داشته باشد و فرصتی برای ایجاد تغییر در سازمان داشته باشد.

رهبران IAM در MSE در صورت ارائه راه حل مناسب تر یا ارزان تر، ممکن است راهکارهای ثالث، ابری یا مدیریت شده را ترجیح دهند و آنها را توصیه کنند، به ویژه هنگامی که پرسنل یا بودجه اضافی ندارند.

امنیت و هویت در MSE باید در نظر داشته باشد که نیروی کار عملکرد امنیتی را انجام می دهد. مشتریان متعلق به فروش یا بازاریابی هستند. مدیریت هویت به صورت عملیاتی و اداری است. صدور گواهینامه دسترسی بر روی برنامه های مالی متمرکز است. به طور کلی، IAM اغلب سیال، موقت و متناقض است و دارای شکاف های زیادی است.

بلوغ سازمانی در مقیاسی از 1 (اولیه) تا 5 (بهینه شده) اندازه گیری می شود. سطح متوسط شامل:

  • 2-در حال توسعه
  • 3-تعریف شده
  • 4-مدیریت شده

بلوغ اندازه گیری میزان پیشرفت فعالیت نسبت به بهترین روش های اثبات شده را اندازه گیری می کند. هشتاد و سه درصد از MSE ها در سطح “اولیه یا در حال توسعه” هستند (به ترتیب سطح 1 یا سطح 2). از آنجا که آنها از نظر عملیاتی متمرکز هستند، بیشتر وقت آنها صرف جنبه های تاکتیکی IAM خواهد شد، مگر اینکه آنها تلاش کنند تا هماهنگی کسب و کار خود را بهبود بخشند. دانستن اینکه کدام جنبه های برنامه شما پایین است به شما اجازه می دهد تا بدانید برای بهبود باید چه چیزی را هدف قرار دهید (برای عملکردها به شکل 3 مراجعه کنید).

هم افزایی بین امنیت و IAM در MSE شامل مشارکت تجاری مشترک با هر دو آنها است. اولویت بندی ابتکارات، بودجه و کارکنان برای پروژه های IAM و SRM برای رهبران آسان تر است. راه حل های همسو فرصت های بهینه سازی را فراهم می کند و MSE می تواند برای چندین منظور خدمات مشاوره مدیریت شده را درگیر کند.

MSE ها اغلب از تیم های کوچک متشکل از کارمندان امنیتی همه کاره استفاده می کنند. IAM و SRM باید با استفاده از فرآیندها، پروژه ها و محصولات با هم کار کنند. به صورت ترکیبی، این ها زمینه ای برای فعالیت های تجاری فراهم می کنند. همکاری برای مدیریت مهم است.

با مدیران تجاری همکاری کنید و نیازها و راه حل های هماهنگ با اهداف تجاری را ایجاد کنید

شرکت های متوسط به ندرت سرمایه گذاری می کنند و منابع قابل توجهی را صرف ابتکارات گسترده و عمیق فناوری اطلاعات بدون پیش بینی نتیجه کسب و کار می کنند. اگرچه این مورد در خصوص همه سازمانها صادق نیست، اما ضروری است كه رهبران IAM بدانند كه كار به كجا منتهی می شود و می توانند سرمایه گذاری در قابلیتهای IAM را با موفقیت آن برابر كنند.

با نگاهی به مدل بلوغ، تمرکز شما باید در سراسر شرکت و ارائه عملکرد عملیاتی و همچنین قابلیت های جدید در پیش بینی تغییر نیازها گسترش یابد. روش انجام این کار به طور موثر درگیر کردن و تعامل با منابع در سازمان است که درگیر خرید، مدیریت محصول، استراتژی و معماری هستند. اگرچه ممکن است این عناوین رسمی نباشند، و از آنچه دیگران انجام می دهند آگاه نباشید و از مدیران خود برای جستجوی منابع همفکر راهنمایی نگیرید. گوش دهید و پیش بینی کنید که چگونه فناوری می تواند در هویت و سایر زمینه های فناوری اطلاعات کمک کند.

این کار را به خوبی انجام دهید و جایگاه شغلی و شخصی خود را در سازمان انجام دهید و شاید حتی صنعت شما نیز پیشرفت کند. کمک به سازمان برای حفظ قدرت رقابتی و استفاده از تمام جنبه های توانایی آن، شناخت و توانایی شما در جذب استعداد را برای تیم بهبود می بخشد.

منبع: https://www.gartner.com

پیام بگذارید

آدرس ایمیل شما منتشر نخواهد شد.