Với sự nổi lên của danh tính như một phạm vi mới, vai trò của nó trong việc hỗ trợ chuyển đổi kỹ thuật số, áp dụng đám mây và lực lượng lao động phân tán không bị các doanh nghiệp ngày nay bỏ qua. Theo một báo cáo gần đây (yêu cầu đăng ký), 64% các bên liên quan đến CNTT coi việc quản lý và bảo mật hiệu quả danh tính kỹ thuật số là ưu tiên hàng đầu (16%) trong chương trình bảo mật của họ hoặc nằm trong ba ưu tiên hàng đầu (48%). Mặc dù vậy, các doanh nghiệp vẫn tiếp tục phải vật lộn với các vi phạm liên quan đến danh tính - 84% chuyên gia CNTT và bảo mật cho biết tổ chức của họ đã gặp phải vi phạm như vậy trong năm qua.
Tham gia vào bảo mật lấy danh tính làm trung tâm là rất quan trọng, nhưng việc đầu tư vào an ninh mạng không phải là buôn bán FUD (sợ hãi, không chắc chắn và nghi ngờ). Đẩy mạnh hơn nữa bản sắc vào các cuộc thảo luận chiến lược đòi hỏi khả năng chứng minh giá trị kinh doanh - để giới thiệu cách bảo mật dựa trên danh tính phù hợp và hỗ trợ các mục tiêu kinh doanh.
Hầu hết tất cả những người tham gia cuộc khảo sát (98%) cho biết số lượng danh tính trong tổ chức của họ ngày càng tăng, với các nguyên nhân thường được đưa ra bao gồm áp dụng đám mây, nhiều nhân viên sử dụng công nghệ hơn, tăng mối quan hệ với bên thứ ba và số lượng danh tính máy ngày càng tăng. Trong môi trường này, nhiều các doanh nghiệp ngày nay phải chịu áp lực rất lớn để đảm bảo quyền truy cập liền mạch và an toàn vào dữ liệu và tài nguyên trong môi trường ngày càng phân tán và phức tạp hơn.
Sự phức tạp này, kết hợp với những kẻ tấn công có động cơ và số lượng danh tính ngày càng tăng phải được quản lý, khiến cho quản lý danh tính hiệu quả là một phần quan trọng trong việc cho phép doanh nghiệp hoạt động. Trong số các tổ chức đã gặp phải vi phạm liên quan đến danh tính trong năm qua, chủ đề phổ biến là các vấn đề như thông tin xác thực bị đánh cắp, lừa đảo và đặc quyền được quản lý sai. Tác động trực tiếp đến hoạt động kinh doanh của một hành vi vi phạm có thể rất đáng kể - với 42% cho rằng hoạt động kinh doanh cốt lõi bị phân tâm đáng kể, 44% lưu ý đến chi phí khắc phục và 35% cho biết tác động tiêu cực đến danh tiếng của tổ chức. Mất doanh thu (29%) và mất khách hàng (16%) cũng được báo cáo.
Chuyển nhu cầu CNTT thành nhu cầu kinh doanh
Trường hợp tập trung vào danh tính là rõ ràng, nhưng làm cách nào để chúng ta bắt đầu chuyển nhu cầu CNTT thành nhu cầu kinh doanh? Bước một là điều chỉnh các ưu tiên của tổ chức sao cho phù hợp với vấn đề bảo mật lấy danh tính làm trung tâm. Mục tiêu kinh doanh có xu hướng xoay quanh việc giảm chi phí, tăng năng suất và giảm thiểu rủi ro. Do đó, các cuộc trò chuyện về bảo mật dựa trên danh tính phải chứng minh cách tiếp cận đó có thể thúc đẩy một số hoặc tất cả các điểm này.
Ví dụ: từ quan điểm về năng suất, quản trị danh tính chặt chẽ giúp đơn giản hóa việc cung cấp và đánh giá quyền truy cập của người dùng. Điều đó có nghĩa là nhân viên có thể được giới thiệu nhanh hơn và bất kỳ nhân viên rời đi nào cũng sẽ tự động bị thu hồi quyền truy cập. Việc loại bỏ các nỗ lực thủ công giúp giảm nguy cơ xảy ra lỗi, bao gồm cả những người dùng có đặc quyền quá mức tạo ra nguy cơ bị lộ không cần thiết. Các quy trình quản lý danh tính càng được sắp xếp hợp lý và tự động thì hoạt động kinh doanh càng hiệu quả — và càng an toàn.
Như đã lưu ý trước đó, một số động lực thúc đẩy sự phát triển về danh tính bao gồm việc áp dụng đám mây và sự gia tăng đột biến về nhận dạng máy. Sự phát triển của nhận dạng máy một phần được liên kết với các thiết bị và bot Internet of Things (IoT). IoT và đám mây thường là một phần của chiến lược chuyển đổi kỹ thuật số có thể dễ dàng bị vướng mắc bởi những lo ngại về quyền truy cập và việc thực thi nhất quán các chính sách bảo mật. Thực tế này tạo cơ hội để tổ chức các cuộc thảo luận về bảo mật xung quanh cách doanh nghiệp có thể áp dụng các công nghệ này một cách an toàn và không phải hy sinh các yêu cầu về tuân thủ và bảo mật.
Khung thảo luận về bảo mật trong bối cảnh vi phạm
Ví dụ: xác thực đa yếu tố (MFA) được nhiều chuyên gia bảo mật và CNTT coi là biện pháp có thể ngăn chặn hoặc giảm thiểu tác động của các vi phạm mà họ gặp phải. MFA rất quan trọng trong việc thực thi kiểm soát truy cập, đặc biệt đối với các doanh nghiệp có nhân viên làm việc từ xa hoặc những doanh nghiệp sử dụng cơ sở hạ tầng và ứng dụng đám mây. Dù muốn hay không, mật khẩu vẫn có mặt khắp nơi. Nhưng chúng cũng là mục tiêu hấp dẫn (và tương đối dễ dàng) cho những kẻ đe dọa muốn truy cập tài nguyên và có được chỗ đứng sâu hơn trong môi trường của bạn. Cùng với các biện pháp thực hành tốt nhất lấy danh tính làm trung tâm khác nhằm cải thiện tình trạng bảo mật, MFA cung cấp một lớp bảo vệ khác có thể tăng cường bảo mật của tổ chức.
Ngoài MFA, các chuyên gia CNTT và bảo mật thường lưu ý rằng việc xem xét kịp thời hơn về quyền truy cập đặc quyền và liên tục phát hiện tất cả các quyền truy cập của người dùng sẽ ngăn chặn hoặc giảm bớt tác động của hành vi vi phạm. Mặc dù nhiều trong số này vẫn đang được tiến hành, nhưng nhìn chung, có vẻ như các tổ chức đang bắt đầu nhận được thông báo.
Khi được hỏi liệu trong năm qua liệu chương trình nhận dạng của tổ chức của họ có được coi là một lĩnh vực đầu tư như một phần của bất kỳ sáng kiến chiến lược nào hay không — không tin cậy, áp dụng đám mây, chuyển đổi kỹ thuật số, đầu tư bảo hiểm mạng và quản lý nhà cung cấp — hầu hết mọi người đều chọn ít nhất một. 42% cho biết danh tính đã được đầu tư vào như một phần của nỗ lực không tin cậy. XNUMX% cho biết nó được đưa vào như một phần của sáng kiến đám mây và XNUMX% cho biết đây là một phần của chuyển đổi kỹ thuật số.
Bắt đầu với bảo mật dựa trên danh tính không cần phải quá khó khăn. Tuy nhiên, nó đòi hỏi một hiểu biết về môi trường và các ưu tiên kinh doanh của bạn. Qua tập trung vào cách tiếp cận bảo mật lấy danh tính làm trung tâm có thể hỗ trợ các mục tiêu kinh doanh, các chuyên gia CNTT có thể nhận được sự ủng hộ của lãnh đạo mà họ cần để triển khai công nghệ và quy trình nhằm nâng cao rào cản gia nhập đối với các tác nhân đe dọa.
