自助式身份管理風險:IAM數據質量
隨著身份管理人員工作量的不斷增加,許多機構都在尋找一種自助式的身份管理模式,這種模式使IT終端用戶能夠管理自己的身份管理文件和訪問。
然而,就像快餐店允許顧客自取飲料而不是允許顧客動手自制漢堡包一樣,用戶能夠進行身份管理的程度也應該有一些限制。這樣機構就會產生這樣的問題:“對于身份和訪問管理(IAM)來說,自助到什么程度才是剛剛好的呢?”
在IAM中使用自助服務模式有兩大風險。***個風險就是,在沒有嚴格的控制下通過自助式IAM接口輸入的數據的質量問題。當這些信息被用于商業領域時,不良數據會對機構的運營和項目產生巨大的影響。第二個風險是未授權用戶擁有敏感信息的訪問權限。可以預料,這將導致機構違反一些規章制度,造成非法的風險。下面我們將詳細分析這兩點。
IAM數據質量
白頁(white page)應用程序中的商業資料和個人資料管理是廣泛使用自助服務的一個領域。這種情況下,終端用戶的一部分資料會從用戶原始的人力資源記錄中預導入到應用程序里。當機構意識到這些信息不完整,而且有可能過時時,機構就會啟用自助服務,允許終端用戶對他們的記錄進行更改和更新,這通常是通過Web界面進行的。大多數情況下可以修改的信息有:聯系方式、公司地址(包括內部編號)、工作電話和手機號碼、職位和諸如職位代碼、部門信息、家庭聯系方式之類的其他商業信息等。之所以允許更改這些信息是因為它們一般不在機構的企業庫里;然而跟蹤這些信息的變化可能會引起其它的問題;但是不管怎樣,終端用戶是唯一能驗證這些信息的人,這一點是不變的。如果內部白頁能嚴格使用這些信息,那么這就是自助服務的一個良好的應用。
但是機構必須明白,正如快餐店可以隨時供應飲料一樣,自助服務應該用于可以節省成本、增加商業機會,同時降低風險的情況。機構在終端用戶沒有經過意識培訓或者嚴格控制的情況下,將工作人員輸入的信息用作商業目的是有一定風險的。機構要求員工對其所管理的用于重要商業用途的信息負責任,但卻沒能使員工對一些固有的危險(可能使機構需要應急服務來處理各種有形的、無形的緊急問題)得到適當的理解。例如,企業團隊的成員,無論是員工還是經理——在如火災、洪水和災害緊急情況下的事故聯絡小組——可能無法保持他們的聯系信息是***的。這種風險出現在一家大公司的現實情況中,由于火警警報它不得不全體撤離大樓。高層管理團隊在近1000人的人群中尋找實體安全主管。原來,他是唯一可以授予當地消防部門進入火警警報的敏感區域的人,但他們卻聯系不到他,因為他沒有更新公司員工電話簿里的手機號碼。
另一個與自助服務有關的例子是,公司用員工自己維護的員工白頁里的“頭銜”信息作為輸入的一部分來確定用戶能否進入基于角色的訪問控制(RBAC)系統。由于RBAC系統提供了一系列的接入服務,當一個軟件工程師把他的頭銜從“網絡工程分析師”改為“宇宙統治者”時,RBAC系統會返回一個錯誤。這樣的頭銜不能映射到接入服務器,這就會造成進度的延誤。
另一個自助服務引起問題的例子是,一家公司的人力資源部門想要完成一個巨大的郵寄工作——寄送盈利信息到全體員工的家庭住址。由于該公司廣泛使用自動存款,大多數員工在本地住宅改變時根本就不會聯系人力資源部門進行修改。人事部門決定,由于該公司使用自助服務管理其企業電子郵件目錄的個人資料,他們會利用這里面 的“***資料”,而不利用他們所掌握的員工的個人資料(明顯已經過時)。然而,當從公司的電子郵件系統提取資料時,人力資源部門的工作人員發現,在個人家庭住址信息這一欄中,許多人要么沒填寫,要么寫得不完整。例如,有人沒有留下郵政編碼,街道意外拼寫錯誤,以及狀態信息有時丟失。這就需要人力資源部門對它的資料和從公司的電子郵件系統所得出的資料進行比較分析。即使在這個龐大的項目完成后,還有5%的員工的家庭信息仍然是不正確或不完整的,人事部門要在郵寄之前直接聯系這些員工以獲得他們的資料。
雖然這里只列舉了三個數據質量影響一個機構的例子,但是它們只是自助服務不能正確管理所引起的問題中的冰山一角。低劣的數據質量就像一支可以射中任何IAM架構心臟的箭:沒有高質量的身份數據,使用這個數據的流程和控件為下游應用使用和配置,那么服務錯誤將會劇增。
【編輯推薦】
