Identyfikuj i zarządzaj ryzykiem związanym z tożsamością i prawami dostępu

Zarządzanie ryzykiem w IGA to proces identyfikacji, oceny i ograniczania ryzyka związanego z tożsamościami użytkowników i dostępem do systemów organizacji. Zapewnia ono, że odpowiednie osoby mają odpowiedni poziom dostępu do odpowiednich zasobów – nic więcej, nic mniej. Łącząc polityki zarządzania, automatyzację i analitykę, zarządzanie ryzykiem IGA wzmacnia bezpieczeństwo i gotowość do przestrzegania przepisów, jednocześnie redukując ryzyko błędów ludzkich i zagrożeń wewnętrznych.

Kluczowe możliwości

1. Wartości ryzyka, priorytetyzacja i punktacja: ocena ryzyka użytkownika i uprawnień na podstawie krytyczności biznesowej, wrażliwości roli i spostrzeżeń behawioralnych.
2. Wykrywanie ryzyka dostępu: automatyczne wykrywanie i oznaczanie użytkowników o wysokim i/lub krytycznym ryzyku
3. Przeglądy praw dostępu: jednorazowe i ciągłe przeglądy praw dostępu, certyfikacje dostępu i ciągłe kontrole zgodności.
4. Ciągły monitoring: śledź zmiany cyklu życia tożsamości i wykrywaj nieprawidłowości za pomocą dashboard i alertów.
5. Minimalizuj ryzyko dzięki innym przypadkom użycia M42 IGA takim jak SoD (podział obowiązków), automatyzuj prawa urodzenia, dostęp oparty na rolach, atrybutach i organizacji, używaj blokady awaryjnej na przykład dla ujawnionych danych uwierzytelniających użytkownika, aby zminimalizować ryzyko związane z prawami dostępu.

Wartość i korzyści dla klienta

• Zwiększone bezpieczeństwo: zmniejsza ryzyko zagrożeń wewnętrznych i nieautoryzowanego dostępu.
• Zgodność z przepisami: upraszcza audyty i zapewnia zgodność z ustawami SOX, GDPR, HIPAA i innymi.
• Wydajność operacyjna: automatyzuje wykrywanie i usuwanie ryzyka związanego z dostępem, redukując ilość ręcznego przeglądu.
• Zaufanie biznesowe: buduje zaufanie, że dostęp do tożsamości jest zgodny z zasadami biznesowymi, minimalizując ryzyko operacyjne i reputacyjne.

< obrazek >

Poziomy ryzyka, priorytetyzacja i punktacja

Pierwszym krokiem w skutecznym zarządzaniu ryzykiem jest ustalenie jasnych poziomów ryzyka dla praw dostępu. Rozwiązanie M42 IGA oferuje gotowe, łatwe w użyciu funkcje oceny ryzyka i priorytetyzacji, z predefiniowanymi poziomami ryzyka, ustawieniami reguł obliczania ryzyka oraz zautomatyzowaną oceną ryzyka tożsamości. Zapewnia to spójną, obiektywną ocenę ryzyka związanego z dostępem w całej organizacji i umożliwia proaktywne podejmowanie decyzji zarządczych.

To proste – wystarczy zacząć definiować poziom ryzyka dla uprawnień dostępu, wybrać odpowiedni, wstępnie zdefiniowany poziom ryzyka i zapisać informacje (więcej informacji znajdziesz w przypadku użycia zarządzania uprawnieniami ).

1. Niski
   • Aktywność związana z dostępem lub tożsamością ma minimalny wpływ na organizację. Zazwyczaj dotyczy systemów niewrażliwych, standardowych ról użytkowników lub uprawnień tylko do odczytu. Nie wykryto żadnych naruszeń zasad, a dostęp jest zgodny z funkcją zawodową użytkownika.
   • Przykład: Dostęp pracowników do aplikacji publicznych lub o niskiej poufności.
2. Średnie ryzyko
   • Pewien poziom obaw ze względu na podwyższone uprawnienia, dostęp międzyfunkcyjny lub drobne wyjątki od zasad. Może wymagać przeglądu, ale nie zagraża bezpośrednio bezpieczeństwu ani zgodności.
   • Przykład: Użytkownik z ograniczonymi uprawnieniami do zapisu w systemie finansowym danego wydziału.
3. Wysokie ryzyko
   • Potencjalny, znaczący wpływ na bezpieczeństwo, zgodność lub działalność operacyjną w przypadku niewłaściwego wykorzystania dostępu. Może to wiązać się z uprzywilejowanymi rolami, konfliktami SoD (podziału obowiązków) lub dostępem do danych wrażliwych/poufnych.
   • Przykład: administrator IT mający szeroki dostęp do środowisk produkcyjnych i programistycznych.
4. Krytyczne ryzyko
   • Dostęp lub aktywność stanowi bezpośrednie i poważne zagrożenie dla organizacji. Często wskazuje na naruszenie zasad, porzucone konta uprzywilejowane lub potencjalne zagrożenie. Wymaga natychmiastowych działań naprawczych i eskalacji do zespołów ds. bezpieczeństwa i zgodności.
   • Przykład: Konto byłego pracownika jest nadal aktywne i ma dostęp administratora do głównego systemu finansowego

Przed zdefiniowaniem rzeczywistych ryzyk związanych z prawami dostępu, rozwiązanie M42 IGA zapewnia gotową priorytetyzację dla różnych rodzajów ryzyk. Oznacza to, że jeśli istnieje kilka ryzyk związanych z tożsamością, które z nich jest najważniejsze dla organizacji i które z nich zostanie wykorzystane do określenia wartości ryzyka tożsamości względem innych ryzyk.

1. Krytyczny
   • Najwyższa pilność, najwyższy priorytet, wymagane natychmiastowe działanie niezależnie od innych zobowiązań.
2. Ciężki : silny
   • Krytyczna potrzeba; należy działać natychmiast, aby przywrócić funkcjonalność lub zapobiec uszkodzeniom.
3. Bardzo wysoki
   • Bardzo wysoki – pilna potrzeba; cele biznesowe mogą być zagrożone, jeśli nie zostaną szybko zrealizowane.
4. Wysoki
   • Sprawa wymaga pilnej reakcji, aby uniknąć eskalacji.
5. Średni
   • Zauważalny wpływ; należy uwzględnić w normalnej kolejce zadań.
6. Drobny
   • Niewielki wpływ; niewielkie niedogodności, ale brak zakłóceń w realizacji celów.
7. Niski
   • Niewielki wpływ; należy zająć się tym problemem, ale nie jest to kwestia priorytetowa.
8. Bardzo niski
   • Minimalna pilność; można zaplanować w dogodnym dla siebie czasie

Kolejnym krokiem jest zdefiniowanie konkretnych ryzyk istotnych dla organizacji, wraz z odpowiadającymi im priorytetami i poziomami ryzyka. Proces ten stanowi podstawę automatycznej oceny ryzyka tożsamości w ramach rozwiązania IGA .

System zawiera zestaw predefiniowanych kategorii ryzyka, które można dostosować do unikalnego modelu oceny ryzyka w organizacji. Klienci mogą konfigurować wartości takie jak prawdopodobieństwo, wpływ i krytyczność biznesowa, aby zapewnić, że ocena ryzyka dokładnie odzwierciedla ich wewnętrzne zasady i poziomy tolerancji.

Zdefiniowane wstępnie ryzyka to:

• Użytkownik z uprawnieniami niskiego poziomu, poziom ryzyka wynosi xx
  • Poziom ryzyka: Klient wybiera spośród predefiniowanych poziomów ryzyka lub definiuje własne poziomy ryzyka
  • Priorytet ryzyka: Klient wybiera spośród predefiniowanych priorytetów lub definiuje własne priorytety
  • Przykład: To ryzyko ma priorytet 6 – Niewielkie. Jeśli użytkownik ma tylko uprawnienia niskiego poziomu, poziom ryzyka wynosi 1 – Niskie.
• Użytkownik z uprawnieniami niskiego poziomu i mniej niż xx% uprawnień średniego poziomu, poziom ryzyka wynosi xx
  • xx% średniego rodzaju uprawnień
  • Poziom ryzyka: Klient wybiera spośród predefiniowanych poziomów ryzyka lub definiuje własne poziomy ryzyka
  • Priorytet ryzyka: Klient wybiera spośród predefiniowanych priorytetów lub definiuje własne priorytety
  • Przykład: To ryzyko ma priorytet 5 – Średni. Jeśli użytkownik ma uprawnienia niskiego poziomu i mniej niż 70,0% uprawnień średniego poziomu, wartość ryzyka wynosi 2 – Średni.
• Użytkownik z uprawnieniami niskiego poziomu i ponad xx% uprawnień średniego poziomu, poziom ryzyka wynosi xx
  • xx% średniego rodzaju uprawnień
  • Poziom ryzyka: Klient wybiera spośród predefiniowanych poziomów ryzyka lub definiuje własne poziomy ryzyka
  • Priorytet ryzyka: Klient wybiera spośród predefiniowanych priorytetów lub definiuje własne priorytety
  • Przykład: To ryzyko ma priorytet 4 – Wysoki. Jeśli użytkownik ma uprawnienia niskiego poziomu i ponad 70,0% uprawnień średniego poziomu, wartość ryzyka wynosi 3 – Wysoki.
• Użytkownik ma xx% uprawnień wysokiego poziomu
  • Poziom ryzyka: Klient wybiera spośród predefiniowanych poziomów ryzyka lub definiuje własne poziomy ryzyka
  • Priorytet ryzyka: Klient wybiera spośród predefiniowanych priorytetów lub definiuje własne priorytety
  • Przykład: Temu ryzyku przypisano priorytet 3 – Bardzo wysoki. Jeśli użytkownik ma 15,0% uprawnień wysokiego poziomu, poziom ryzyka wynosi 3 – Wysoki.
• Użytkownik ma xx% uprawnień poziomu krytycznego, poziom ryzyka wynosi xx
  • Poziom ryzyka: Klient wybiera spośród predefiniowanych poziomów ryzyka lub definiuje własne poziomy ryzyka
  • Priorytet ryzyka: Klient wybiera spośród predefiniowanych priorytetów lub definiuje własne priorytety
  • Przykład: Temu ryzyku przypisano priorytet 2 – Poważne. Jeśli użytkownik ma 20,0% uprawnień o poziomie krytycznym, poziom ryzyka wynosi 4 – Krytyczne.
• Użytkownik jest osobą zatwierdzającą uprawnienia wysokiego ryzyka
  • Poziom ryzyka: Klient wybiera spośród predefiniowanych poziomów ryzyka lub definiuje własne poziomy ryzyka
  • Priorytet ryzyka: Klient wybiera spośród predefiniowanych priorytetów lub definiuje własne priorytety
  • Przykład: To ryzyko ma przypisany priorytet 1 – Krytyczne. Jeśli użytkownik jest osobą zatwierdzającą uprawnienia/role biznesowe o wysokim ryzyku, poziom ryzyka wynosi 4 – Krytyczne

Wykrywanie ryzyka dostępu

Wykrywanie ryzyka w IGA identyfikuje warunki dostępu i tożsamości, które wpływają na ogólny wynik ryzyka danej osoby. Ocenia, w jaki sposób dostęp, zachowanie i atrybuty konta użytkownika są zgodne z polityką zarządzania i tolerancją ryzyka biznesowego.

Kluczowe wymiary wykrywania

• Wrażliwość dostępu: wykrywa dostęp do aplikacji i danych o dużej wartości lub krytycznych.
• Poziom uprawnień: identyfikuje użytkowników z uprawnieniami administratora lub podwyższonymi uprawnieniami.
• Status konta: Oznacza konta osierocone, uśpione lub współdzielone, które zwiększają ryzyko.
• Objętość dostępu: wykrywa użytkowników z nietypowo dużą liczbą uprawnień lub ról.