近年來不少企業辦公場域朝向縮小總部但新增衛星辦公室的方向發展,而這可能也是未來的新型態。然而,在此新型態下,身分管理將是資訊系統須面對與克服的重要一環,若是無法針對身分進行管理,任何混合辦公形態也幾乎不用考慮,因為企業IT環境將曝露在高危險中。
混合辦公已成疫後新常態,為了因應網路威脅並提高工作效率,企業需要能整合現有系統與工作流程的身分安全治理解決方案,進而協助企業節省成本、提供廣泛的可見性與支援可靠的安全策略。近期,SailPoint便發表兩款全新產品模組,包括SailPoint雲端身分安全基本組合方案(SailPoint Identity Security Cloud Business)以及SailPoint雲端身分安全進階組合方案(SailPoint Identity Security Cloud Business Plus),讓新一代身分治理更加容易。
其中,基本組合方案主要透過人工智慧(AI)和機器學習(ML)的建構,降低企業潛在的安全風險,同時結合AI智能分析加速合規,讓企業輕鬆展開身分安全治理之旅。而進階組合方案,還包含了更進階完善的雲端架構安全,進一步提供雲端資產發現、法規遵循以及費用分析,藉以管理混合基礎架構中的身分。
SailPoint台灣區總經理傅孝淇指出,經過COVID-19全球大規模的遠距辦公試驗,企業發現,不可能完全採取遠距工作,不僅企業文化很難管理,團隊的凝聚力也很難形成。多年來,SailPoint在全球一直採取遠距工作模式,但今年也開始在成立辦公室。「未來的辦公室架構可能會朝總部縮小但新增衛星辦公室的方向發展,而這可能也是未來的新型態。然而,在此新型態下,身分管理是企業須面對與克服的重要一環,若是無法針對身分進行管理,任何混合辦公形態也幾乎不用考慮,因為企業環境將曝露在高危險中。」
她提到,企業內網具有層層防護,駭客要入侵企業核心其實非常有難度,但是反觀在混合辦公環境下,員工如果在咖啡廳使用手機工作連線到公司內部資訊時,一旦手機並沒有做好安全防護,駭客就可以很容易地從員工的裝置連結到公司內網。「如何將傷害降到最低,答案就是只給予最小權限,這也是為何『零信任』會如此重要,而身分認證更是零信任的基礎。」
根據SailPoint調查,高達97%的受訪者都同意身分管理是零信任安全模型的基本組成,然而卻僅不到40%的企業擁有有效的零信任安全防禦關鍵方案。「台灣約莫只有3%的企業做到身分認證,」傅孝淇觀察,許多企業目前都還是人工作業,這也是為何新進員工在申請員工權限時,還要經過很多的核可程序,等於就是讓員工當守門員。「所有資安問題的背後,都是身分認證的問題,唯有把身分管理好,具有可視性,才能有脈絡可循。」
去年底,金管會為提升公開發行公司對資訊安全之重視,明定符合一定條件者,須指派資訊安全長,並設置資訊安全專責單位、主管及人員,以利進行差異化管理。
「我們樂見其成,因為過往資安推廣最困難的地方就是企業內部並沒有資安主責者,有些企業的組織架構是將資安人員建構在IT部門之下,其結果就是IT部門有許多更緊急的專案需要執行,」她提到,資安長唯有與資訊長處在同一個位階才能施展開來,資安層級拉高後,企業開始重視資安組織在企業內部的角色,便更能爭取到話語權以及一定的預算分配權,也將更有利於資安專案的推動。