合规性连接：身份治理的作用

今年1月，法国数据监管机构对谷歌进行了近6,000万美元的罚款，这是欧洲机构发布的最大罚款，也是欧洲通用数据保护条例（GDPR）的第一例。然而，由于政府和个人越来越期望更强大的数据安全和隐私政策，因此不太可能是最后一次。

在最近对200位高级技术高管进行的福布斯洞察调查中，85％的人表示GDPR将对他们的组织产生影响。商业和安全领导者现在占据了一个世界，其中包含许多复杂的政府和行业法律，旨在加强安全和隐私问题。这些问题的核心是数据管理 - 核心优先级归结为身份和访问：能够为整个企业范围内的所有用户实时清点和分析访问权限，并能够理解和验证谁可以访问哪些数据，应用程序和系统 - 以及用户何时以及为何获得访问权限。

挑战：威胁与合规

首席信息安全官（CISO）和其他IT领导者面临的不仅仅是数字化转型带来的复杂威胁形势：强大的AI现在可以被武器化（想想自治僵尸网络）; 劳动力越来越移动，随时随地访问数据，应用程序和系统; 而物联网（IoT）正在扩展。合规性格局是一个平等的挑战，一些领导者并不完全理解。事实上，福布斯洞察调查发现，只有32％的受访高管将安全性和合规性视为捆绑在一起 - 而且近50％的人认为（错误地）将其视为单独的问题。

但安全性和合规性不是单独的问题。身份治理从阴影中脱颖而出，成为这两个命令的主要推动者，这是有充分理由的。在物联网世界中，随着分散的劳动力，企业周边变得多孔。这种方法是零信任 - 换句话说，不要对所有工人，合作伙伴和其他利益相关者的组织完整性做出任何假设。安全专家现在都敏锐地意识到，大多数违规从特权失败或组织内部滥用发起，但它是具有挑战性的他们，以确保工人和其他用户有符合商务访问级别和法规遵从策略。

已经存在的有关数据完整性和隐私的规定旨在防止可能违反消费者隐私或降低信息资产完整性的违规行为。仅仅因为这个原因，企业必须确保拥有数十或数十万演员的身份环境。例如，金融服务或医疗保健领域的首席信息安全官分别专注于SOX（萨班斯 - 奥克斯利法案）和HIPAA（健康保险流通与责任法案）等法规。不充分管理用户访问的后果会增加风险，远远超出违规行为; 它们包括破坏，欺诈，代价高昂的合规违规和审计失败。

然而，只有33％的受访高管意识到身份治理解决方案为监管机构提供了合规性证明。现实情况是：拥有强大身份计划的企业将通过扩展来控制他们脚下的复杂监管地形。但是怎么样？

解决方案：可见性和平衡

始终了解和控制谁可以访问哪些信息 - 以及他们何时以及为何访问数据 - 是组织所需的透明度和风险管理，以保护自己并保持合规性。它是全能的和可持续的，这意味着它不是兼职或部分解决方案; 它整合了整个业务并“永远在线”。

您如何实现可持续合规？首先评估您当前的准备状态。将您的所有用户和访问信息放入一个存储库（或数据湖）中，并梳理数据以查看准确度。解决所有身份数据源的不一致问题，以获得完整的企业级访问环境图。您现在有一个基准，可以从中消除不准确或不适当的访问权限，并继续进行认证，实施以及用户的配置和取消配置。您正在获得对访问权的控制权。

接下来，根据定义的访问策略，角色和风险参数构建身份策略模型（以加强检测和预防控制），以便它反映组织面临的业务和法规要求。构建模型后，您可以自动化流程以检测威胁或异常，并执行由事件触发的访问审核，例如职位或经理变更。现在，您的组织可以扫描身份数据，分析身份数据并检测任何问题。复杂的环境变得简化，使安全领导者能够清楚地看到潜在的风险并采取行动。你完全掌控着。

太多的组织专注于通过根据不合规问题进行检测，然后修复它们。最好的方法是平衡的方法，其中包括预防性控制措施，以防止违规行为首先渗透到环境中。这种组合使公司能够达到完全合规的状态并留在那里。

成为一体：安全性和合规性的好处

可见性和控制力来自于清楚地看到复杂的安全领域，并预测将要发生的事情。但是你必须能够重复检测和预防和解决过程。这就是可持续合规的含义。能够在自动化流程中快速标记问题并立即以文档化和可报告的方式解决问题的组织将从中受益。是的，该组织将避免数百万美元的罚款和罚款，但它还将通过替换手动流程和添加自助服务来提高效率，使管理人员和最终用户能够即时进行更改。安全性和合规性成为一体。