Tunnista ja hallitse identiteettiin ja käyttöoikeuksiin liittyviä riskejä

Riskienhallinta IGA :ssa on prosessi, jossa tunnistetaan, arvioidaan ja lievennetään käyttäjien identiteetteihin ja organisaation järjestelmien käyttöoikeuksiin liittyviä riskejä. Se varmistaa, että oikeilla henkilöillä on oikeanlainen pääsy oikeisiin resursseihin, ei enempää eikä vähempää. Yhdistämällä hallintokäytännöt, automaation ja analytiikan IGA riskienhallinta vahvistaa tietoturvaa ja vaatimustenmukaisuusvalmiutta samalla vähentäen inhimillisiä virheitä ja sisäpiirin uhkia.

Keskeiset ominaisuudet

1. Riskiarvot, priorisointi ja pisteytys: Arvioi käyttäjien ja oikeuksien riskejä liiketoiminnan kriittisyyden, rooliherkkyyden ja käyttäytymiseen liittyvien näkemysten perusteella.
2. Käyttöoikeusriskien tunnistus: Tunnistaa ja merkitsee automaattisesti käyttäjät, joilla on korkea ja/tai kriittinen riskiarvo
3. Käyttöoikeuksien tarkistukset: Kertaluonteiset ja jatkuvat käyttöoikeuksien tarkistukset, käyttöoikeussertifioinnit ja jatkuvat vaatimustenmukaisuustarkastukset.
4. Jatkuva valvonta: Seuraa identiteetin elinkaaren muutoksia ja käyttöoikeuspoikkeamia dashboard ja hälytysten avulla.
5. Minimoi riskit muilla M42 IGA -käyttötapauksilla, kuten SoD:illa (tehtävien jakaminen), automatisoi syntymäoikeudet, rooli-, ominaisuus- ja organisaatiopohjaiset käyttöoikeudet ja käytä esimerkiksi hätälukitusta paljastuneille käyttäjätunnuksille käyttöoikeuksiin liittyvien riskien minimoimiseksi.

Asiakasarvo ja -hyödyt

• Parannettu tietoturva: Vähentää altistumista sisäpiirin uhille ja luvattomalle käytölle.
• Sääntelyvaatimustenmukaisuus: Yksinkertaistaa tarkastuksia ja tukee SOX:n, GDPR:n, HIPAA:n ja muiden vaatimustenmukaisuutta.
• Toiminnan tehokkuus: Automatisoi käyttöoikeusriskien havaitsemisen ja korjaamisen, mikä vähentää manuaalisen tarkistuksen työmäärää.
• Liiketoiminnan luottamus: Rakentaa luottamusta siihen, että identiteetin käyttöoikeus on liiketoimintasääntöjen mukainen, mikä minimoi operatiiviset ja maineeseen liittyvät riskit.

< kuva >

Riskitasot, priorisointi ja pisteytys

Tehokkaan riskienhallinnan ensimmäinen askel on selkeiden riskitasojen määrittäminen käyttöoikeuksille. M42 IGA -ratkaisu tarjoaa käyttövalmiita ja helppokäyttöisiä riskipisteytys- ja priorisointiominaisuuksia, jotka sisältävät ennalta määritetyt riskitasot, riskienlaskentasääntöjen asetukset ja automatisoidun identiteettiriskipisteytyksen. Tämä varmistaa käyttöoikeuksiin liittyvien riskien johdonmukaisen ja objektiivisen arvioinnin koko organisaatiossa ja mahdollistaa ennakoivat hallintopäätökset.

Käyttöoikeuksien riskitason määrittelyn aloittaminen on yksinkertaista: valitse vain oikea ennalta määritetty riskitaso ja tallenna tiedot (lue lisää oikeuksien hallinnan käyttötapauksesta).

1. Matala
   • Käyttöoikeuksiin tai identiteettitietoihin liittyvä toiminta aiheuttaa organisaatiolle vain vähän vaikutusta. Koskee tyypillisesti muita kuin arkaluontoisia järjestelmiä, tavallisia käyttäjärooleja tai vain luku -oikeuksia. Käytäntörikkomuksia ei havaittu ja käyttöoikeudet vastaavat käyttäjän työtehtäviä.
   • Esimerkki: Työntekijän pääsy julkisiin tai matalan arkaluontoisiin sovelluksiin.
2. Keskitason riski
   • Jonkin verran huolta aiheuttaa laajennetut käyttöoikeudet, toimintojen välinen käyttöoikeus tai pienet käytäntöpoikkeamat. Saattaa vaatia tarkistusta, mutta ei välittömästi uhkaa tietoturvaa tai vaatimustenmukaisuutta.
   • Esimerkki: Käyttäjä, jolla on rajoitetut kirjoitusoikeudet osaston talousjärjestelmään.
3. Korkea riski
   • Merkittävä mahdollinen vaikutus tietoturvaan, vaatimustenmukaisuuteen tai toimintaan, jos käyttöoikeuksia käytetään väärin. Voi sisältää etuoikeutettuja rooleja, SoD-ristiriitoja (tehtävien jakaminen) tai pääsyä arkaluonteisiin/luottamuksellisiin tietoihin.
   • Esimerkki: IT-järjestelmänvalvoja, jolla on laajat käyttöoikeudet sekä tuotanto- että kehitysympäristöihin.
4. Kriittinen riski
   • Käyttöoikeus tai toiminta edustaa välitöntä ja vakavaa uhkaa organisaatiolle. Usein viittaa käytäntörikkomuksiin, orvoille etuoikeutetuille tileille tai mahdolliseen tietoturvan vaarantumiseen. Vaatii välittömiä korjaavia toimia ja asian siirtämistä tietoturva- ja vaatimustenmukaisuustiimeille.
   • Esimerkki: Entisen työntekijän tili on edelleen aktiivinen ja sillä on järjestelmänvalvojan tason käyttöoikeudet taloushallinnon ydinjärjestelmään.

Ennen varsinaisten käyttöoikeuksiin liittyvien riskien määrittelyä M42 IGA -ratkaisu tarjoaa valmiin priorisoinnin erityyppisille riskeille. Tämä tarkoittaa, että jos identiteettiin liittyy useita riskejä, mikä riski on organisaatiolle merkittävin, ja sitä käytetään identiteetin riskiarvon määrittämiseen muihin riskeihin verrattuna.

1. Kriittinen
   • Kiireellisin; tärkein prioriteetti, välittömät toimet vaaditaan muista sitoumuksista riippumatta.
2. Vakava
   • Kriittinen kiire; on käsiteltävä välittömästi toiminnan palauttamiseksi tai vaurioiden estämiseksi.
3. Erittäin korkea
   • Erittäin korkea – Kiireellinen; liiketoimintatavoitteet vaarantuvat, jos niitä ei ratkaista nopeasti.
4. Korkea
   • Kiireellinen; vaatii oikea-aikaista huomiota eskaloitumisen välttämiseksi.
5. Keskikokoinen
   • Huomattava vaikutus; tulisi suunnitella normaaliin työjonoon.
6. Pieni
   • Pieni vaikutus; hieman haittaa, mutta ei häiritse tavoitteiden saavuttamista.
7. Matala
   • Pieni vaikutus; tulisi käsitellä, mutta ei aikaherkkä.
8. Hyvin matala
   • Kiireettömyys minimoitu; aikataulutettavissa milloin tahansa

Seuraava vaihe on määritellä organisaatiolle merkitykselliset erityisriskit sekä niiden vastaava prioriteetti ja riskitaso. Tämä prosessi muodostaa perustan automatisoidulle identiteettiriskien pisteytykselle IGA ratkaisussa.

Järjestelmä sisältää joukon ennalta määriteltyjä riskiluokkia, jotka voidaan räätälöidä vastaamaan organisaation ainutlaatuista riskinarviointikehystä. Asiakkaat voivat määrittää arvoja, kuten todennäköisyyden, vaikutuksen ja liiketoiminnan kriittisyyden, varmistaakseen, että riskipisteytys vastaa tarkasti heidän sisäisiä käytäntöjään ja sietokykytasojaan.

Ennalta määriteltyjä riskejä ovat mm.

• Käyttäjällä on vain matalan tason käyttöoikeudet, riskitaso on xx
  • Riskitaso: Asiakas valitsee ennalta määritellyistä riskitasoista tai määrittelee omat riskitasot
  • Riskien prioriteetti: Asiakas valitsee ennalta määritellyistä prioriteeteista tai määrittelee omat prioriteettinsa
  • Esimerkki: Tälle riskille on määritetty prioriteetti 6 – Vähäinen. Jos käyttäjällä on vain matalan tason käyttöoikeudet, riskitaso on 1 – Matala.
• Käyttäjällä, jolla on matalan tason oikeudet ja alle xx % keskitason oikeuksista, riskitaso on xx
  • xx % keskikokoisista oikeuksista
  • Riskitaso: Asiakas valitsee ennalta määritellyistä riskitasoista tai määrittelee omat riskitasot
  • Riskien prioriteetti: Asiakas valitsee ennalta määritellyistä prioriteeteista tai määrittelee omat prioriteettinsa
  • Esimerkki: Tälle riskille on määritetty prioriteetti 5 – Keskitaso. Jos käyttäjällä on matalan tason oikeuksia ja alle 70,0 % keskitason oikeuksia, riskin arvo on 2 – Keskitaso.
• Käyttäjällä, jolla on matalan tason oikeudet ja yli xx % keskitason oikeuksia, riskitaso on xx
  • xx % keskikokoisista oikeuksista
  • Riskitaso: Asiakas valitsee ennalta määritellyistä riskitasoista tai määrittelee omat riskitasot
  • Riskien prioriteetti: Asiakas valitsee ennalta määritellyistä prioriteeteista tai määrittelee omat prioriteettinsa
  • Esimerkki: Tälle riskille on määritetty prioriteetti 4 – Korkea. Jos käyttäjällä on matalan tason oikeuksia ja yli 70,0 % keskitason oikeuksia, riskiarvo on 3 – Korkea.
• Käyttäjällä on xx % korkean tason oikeuksista
  • Riskitaso: Asiakas valitsee ennalta määritellyistä riskitasoista tai määrittelee omat riskitasot
  • Riskien prioriteetti: Asiakas valitsee ennalta määritellyistä prioriteeteista tai määrittelee omat prioriteettinsa
  • Esimerkki: Tälle riskille on määritetty prioriteetti 3 – Erittäin korkea. Jos käyttäjällä on 15,0 % korkean tason käyttöoikeuksia, riskitaso on 3 – Korkea.
• Käyttäjällä on xx % kriittisen tason oikeuksista, riskitaso on xx
  • Riskitaso: Asiakas valitsee ennalta määritellyistä riskitasoista tai määrittelee omat riskitasot
  • Riskien prioriteetti: Asiakas valitsee ennalta määritellyistä prioriteeteista tai määrittelee omat prioriteettinsa
  • Esimerkki: Tälle riskille on määritetty prioriteetti 2 – Vakava. Jos käyttäjällä on 20,0 % kriittisen tason oikeuksia, riskitaso on 4 – Kriittinen.
• Käyttäjä hyväksyy korkean riskin oikeudet
  • Riskitaso: Asiakas valitsee ennalta määritellyistä riskitasoista tai määrittelee omat riskitasot
  • Riskien prioriteetti: Asiakas valitsee ennalta määritellyistä prioriteeteista tai määrittelee omat prioriteettinsa
  • Esimerkki: Tälle riskille on määritetty prioriteetti 1 – Kriittinen. Jos käyttäjä hyväksyy korkean riskin oikeuksia/liiketoimintarooleja, riskitaso on 4 – Kriittinen.

Käyttöoikeusriskien havaitseminen

IGA :n riskientunnistus tunnistaa käyttöoikeus- ja identiteettiehdot, jotka vaikuttavat yksilön kokonaisriskipisteytykseen. Se arvioi, miten käyttäjän käyttöoikeudet, käyttäytyminen ja tilin ominaisuudet ovat linjassa hallintokäytäntöjen ja liiketoiminnan riskinottohalukkuuden kanssa.

Avaimen tunnistusmitat

• Käyttöoikeuden herkkyys: Havaitsee pääsyn arvokkaisiin tai kriittisiin sovelluksiin ja tietoihin.
• Käyttöoikeustaso: Tunnistaa käyttäjät, joilla on järjestelmänvalvojan tai laajennetut oikeudet.
• Tilin tila: Merkitsee orvot, passiiviset tai jaetut tilit, jotka lisäävät riskiä.
• Käyttöoikeuksien määrä: Havaitsee käyttäjät, joilla on epätavallisen suuri määrä käyttöoikeuksia tai rooleja.