觀點

自強迫法規遵循轉為企業差異化優勢

2009 / 05 / 12
陳學智
自強迫法規遵循轉為企業差異化優勢

適當的身分管理、存取與安全管理,使企業更容易達成法規遵循並取得競爭優勢。

在現今的環境,只要是有安全漏洞及違反法規的企業,很快就會登上報紙的頭版,而使用戶也會投向競爭對手的懷抱。審慎規劃的控管(Governance)、風險(Risk)、以及法規遵循(Compliance)策略(GRC),才能協助各種規模的企業避免這
類事故發生。
Novell駐加拿大Waltham Mass公司技術長Ross Chevalier認為,遵循法律規範已
成為一種自發性的策略,能突顯自身優勢之外,更是一個建立信用與證明競爭力的絕佳機會。
I n g e r s o l l R a n d 安全工程師M i k e Johnson表示:「或許,要改變一般用戶
對於該如何讓整體企業準備得宜,以利各種相關法規遵循稽核的想法並不如預
期般曲折複雜。只要我們能夠達到各項安全目標,遵循法律規範就能變得輕而
易舉。」
況且,IDG Research Services所進行的調查也反映出聰明的企業用戶與IT領
導廠商也正朝此方向邁進。這份報告同時也顯示為何許多企業著手建置身分管
理、存取以及安全管理方案,讓系統能自動執行法規遵循作業流程的原因。這
項報告的重要發現包括: 
1.風險管理與法規遵循,是帶動身分管理、存取,以及安全管理的重要因素。
2.佈署身分管理、存取,以及安全管理解決方案,最大的好處就是能「證明」是否遵循相關法規。
3.就是否成功界定或管理風險來看,許多企業所獲得的評價甚至低於預期水準。

安全成為最重要的課題 
在現今的數位經濟體當中,安全機制與風險控管是大多數企業組織的首要課題。適當的流程管理與系統建置不僅能保護智慧財產與顧客的機密資訊,更能使企業避免毀於因違反安全規定所造成的負面影響。最重要的是,運用必要的控制與企業架構來證明法規遵循,即在有需要時立即產生相關報告。
根據IDG Research Services進行的一項調查顯示,超過3/4的受訪者認為界定與控管風險的能力,對於企業是相當關鍵且高度優先的工作。此外,大多數受訪者認為針對遠端員工的存取需求建置符合法規且安全的權限管理,以及7×24的安全監控更是極為重要的能力。
如何因應上述優先考量似乎是件極為複雜的工作與責任,但有許多關鍵要素將可用以規劃出切實可行的策略,包括:以宏觀的角度規劃包括組織內部「如何執行安全程序」的全方位策略等。

證據才是重點
在身分管理、存取,以及安全管理方面,背後主要推動力量就是GRC。事實上,81%與77%的受訪者認為風險管理與遵循法律規範是主要推動力量,64%受訪者則認為企業管理也同樣是重要的推動因素。
研究也證實這些看法(見圖2)。受訪者指出許多利益,包括讓遠方員工能進行安全存取作業、集中化的存取管理等。但最常被提及的好處,是63%的受訪者指出,佈署身分管理、存取管理、以及安全管理解決方案能夠「證明」遵循法律規範。

成敗在我
American Airlines資訊安全與保密部門CISSP經理Gary Meech根據實戰經驗認為,界定與管理風險,可想像成是在沒有安全索的情況下,在黑夜裡攀登高山。建
立一個流程,辨識組織中所有人員,不僅提供帳號與存取權限更要設定正確的安全值,是一項極具挑戰性的工作。
或許這正解釋為何許多受訪者認為他們公司在這類工作上的成功比率相當低,特別是考慮他們認為界定與控管風險,是最應優先處理的工作時。雖然有77%
受訪者把界定與管理風險列為最優先的工作,但只有34%的人表示他們的公司,在這方面做得很成功。
然而,因為大多數安全長沒有任何用以評比成敗的標準,是以風險是否降低也並非非黑即白的問題。Novell資深產品行銷經理Ivan Hurtt對此指出困難在於匯整與分析。
CSO必須找出許多系統的異常問題,並以全面的角度以分析該資訊。此外,人工作業流程,以及分立的應用系統,讓匯整資料的工作幾乎無法進行。他表示,缺乏觀察功能以及建立資訊之間的關連,讓企業無法遵循法律規範,去檢查是否有違反
法律規範與成功達成目標。
真正的成功取決於一件事:您是否能辨識出安全異常狀況以及違反策略的事物?Hurtt進一步表示,要解決這個問題,必須將使用者的多重身分虛擬整合成單一登入帳號。然而,即使使用者僅是一個人,但在整個公司150個彼此沒有關連的系統上, 他卻可能擁有許多不同的身分。「身分」是進入資訊系統的大門,正確地提供身分,及分配適當的存取權限,是區分權責的重要工作。此外,區分權責以及著手進行管理整個生命週期的身分管理,更是法規遵循的重要關鍵。

自動化、自動化、自動化
Chevalier認為,自動化是法規遵循的必經途徑,因為它能更妥善地管理身分、劃分權責,及更全面且妥善的控管機制。除此之外,自動化還能滿足法規遵循的各種需求。這讓安全長有掌握全局的能力。只要一個按鈕,他們就能授權法規遵循的監
控工具以回應審查需求。或者,當審查需求產生時,他們可暫停運作讓IT部門可人工建構各項法規遵循的項目。又因為需要匯整及分析的資料量相當可觀,上述工作
需要讓整個IT組織離線,直到完成為止。

遵循法律規範的代價
無論如何,企業應該將法規遵循視為必要工作。但真的值得付出這麼多心力嗎?Chevalier表示:「的確如此。因為即將伴隨而來的還有控制功能與企業結構等,皆可使其獲得實際可見的價值。」
價值包括許多層次。更完善的使用者生命週期管理,意謂企業更能掌握員工異動的狀況,確保存取權限保持精確且即時的狀態。強化密碼管理,代表使用者必須記住密碼的數量減少,而密碼設定可更為複雜,且變更頻率更加頻繁。
American Airlines公司的Meech說道:「營運效率不一定是企業原本期待達成的目標。然而,只要見識到潛在的整體IT成本降低,即便是暫且不考慮法規遵循,佈署身分管理、存取,以及安全管理的技術方案,也會是一項聰明的決策。」
況且真正的價值,來自於企業品牌與聲譽的維護。當然,顧客價值是一項複雜的差異化因素,在各企業中都有些許差異;然而,法規遵循這項工具卻能直接增進信任與能力,也正因如此,法規遵循其實是相當重要的因素。
Chevalier進一步指出:「單單只是輕忽法規遵循的工作,就能讓組織陷入危險的情境當中。我們許多客戶都能瞭解如果他們無法運用法規遵循解決方案,就可能被迫退出市場。因此,妥善建置身分管理、存取,以及安全管理解決方案,似乎變成無
需多加思索的必要策略。」