身份,身份验证和授权成为风险指导
传统上,身份,身份验证和授权周围的举措一直是越来越高效,并启用更快的配置。
“但我们正在看到这种倡议的转变,成为解决风险的明确方向努力的一部分,”RSA的高级主任,身份治理和生命周期产品高级主任。
他始于评估风险,识别风险目标并确定组织的真正风险偏好,他每周告诉计算机。
“当我们看看目标,索尼或任何违反的其他公司时,达斯尼斯说,声誉成本现在高于以往。”
因此,评估和减轻与违规风险的责任正在为首席信息安全官(CISO)的许多企业转移到首席信息官(CIO)。
组织希望确保通过与孤儿账户和毒性组合等问题相关的风险来了解业务风险。
该业务也关注它与各种业务单位通过云服务而不久通过它的跨度服务的差距。
“虽然这所谓的”阴影它“给出了业务巨大的灵活性,但它也经常意味着商业敏感的数据坐在云中,”达里斯说。
“这导致业务对敏捷性的需求与IT透视的需求增加的”悲伤的差距“。
Darisi说,组织需要成为组织的一种方式,以确保通过平衡安全性和方便,满足这两种需求。
他说,启用这一点的关键是通过一个系统实现持续的身份保证,该系统在检测到异常时自动挑战用户进行身份验证。
但重要的是,只有在必要时才有挑战,并且根据上下文需要适当的身份验证,他说。
为了提供具有持续身份保证的组织,易于员工使用,Darisi表示RSA已为RSA SecurID访问产品添加基于云的身份验证 - AS-Service选项。
他说,目的是通过额外的动态,风险评分功能和支持各种多因素认证选项提供无缝访问基于内部内部和云的资源和系统,因为方便的定义是不同的不同的人。
“一个人可以选择OTP标记,而其他人喜欢指纹扫描或接近锁定和解锁,所以我们必须容纳所有这些,以便人们可以在他们的感觉中进行身份验证是最方便的,”Darisi说。部分地说,这是由RSA的400个合作伙伴启用的,该合作伙伴开发了用于各种可用的身份验证方法的认证代理。
风险LED方法意味着组织可以自动调整一个和七之间所需的认证因子数,具体取决于上下文和符合最佳实践指南。
除了连续身份保证和用户身份验证,RSA还在解决组织需要保护遗留应用程序的情况下。
“通过将SecurID放在统一的平台上,企业可以通过单一登录的便利性在同一位置访问云应用程序和内部部署应用程序,但不使用云中同步标识的[危险方法]。”说达利斯。
“我们通过我们的门户网站提供了360度的史式的身份 - 这个人的角色,位置和设备 - 但我们不合并身份商店,”他说。
根据Darisi的说法,这种方法使Securid更容易,更简单地为组织实施,更容易使用,员工经常被忽视,强调通常是在技术和功能上。它还消除了单一合并的基于云的身份商店的风险被违反。
他说,RSA专注于使技术更容易采用和部署,并更容易与组织的IT环境中已经与组织的技术集成以及使用技术。
“组织现在也能选择它们是否希望云实现,内部部署实施或混合实施,”他说,添加了RSA是提供所有三个的少数同一性服务供应商之一。
RSA还认识到保护非结构化数据尽可能多的应用程序。“组织越来越多地存储关于SharePoint的关键信息,例如,企业需要保护这些资产尽可能多地保护这些资产,”Darisi说。
但是,重要的是要理解,身份平台没有定义组织的风险胃口。因此,他们需要与专门用于定义和管理风险的治理,风险和合规产品结合使用。
“这就是为什么我们必须交流那种丰富的元数据,”达里斯说,“以及为什么互操作性在风险领导的识别,身份验证和授权的背景下也非常重要。”
最后,他说,根据越来越多的身份相关任务,组织与IT环境变得更加复杂,身份和访问管理系统需要变得更加简化和自动化。
“身份产品必须通过自动化减少数据的数量,通过自动化改善,并且只有在某些事情发生或识别异常值,异常行为,异常行为等内容时,才能使用风险导向方法识别的风险导向方法最有意义。未经授权的变化和流氓访问,通过提供持续的身份保证来降低风险,“Darisi说。