也许是在新生培训会上打破僵局,或者是你的父母在一次长途家庭汽车旅行中试图管理不安分的孩子的一种方式. 无论你在哪里听说过,联想词游戏都很常见. 一个人分享一个词,其他人必须说出想到的第一个词. 我们来试试! 橱柜:菜. 雪:滑雪. 温布尔顿:网球.
你们懂的. 我认为如果我们用身份和访问管理(IAM)玩单词联想游戏, 许多审计员的第一个想法可能是:人类用户. 这不是不合理的. 毕竟, 当我们审计IAM时, 我们经常考虑IAM程序中使用的流程和工具是否确保用户最初只拥有(并维护)执行其职责所需的访问权限. We may also consider the hurdles of temporary elevated access that is anything but temporary; position responsibilities that change, but access that doesn’t; and our favorite—privileged access. 因此,人类用户一直是并且将继续是IAM非常重要的一部分.
随着数字化转型席卷整个组织, 然而, 作为这种转变基础的技术需要获得. 从我们的工作经历和个人生活中, 考虑一下面向客户的数字助理的广泛使用. 这项技术和其他智能自动化提供了便利,但也带来了风险. 这些技术, 例如, 可能会存储凭证,如果被恶意行为者访问,可能会导致数据和隐私泄露.
考虑到这些风险, 识别人类IAM与非人类IAM的异同(e).g.(服务器、服务帐户、移动设备)可能是审计考虑的起点. 例如, 人类和非人类的IAM都应该关注凭据周围的访问权限和安全性. 虽然这种相似性存在, 人类IAM和非人类IAM之间的不同行为可能需要不同的方法. 在观察人类行为时, 通常在周一到周五白天工作的人类用户在工作时间以外的时间访问系统时,可能需要进行额外的调查. 与非人类用户相关的行为可能不那么明确. 用同样的例子, 也许非人类用户一直都很投入, 不仅仅是一周工作40小时. 除了行为之外,它们与非人类用户还有固有的差异. 一个例子是与物联网相关的协作计算设备. 是否禁止远程激活协作计算设备将是审计IAM时需要考虑的问题. So, 存在一些差异,这些差异可能不允许对人类和非人类用户以相同的方式查看IAM.
当我们 承认非人类因素, 预计到2022年将有140亿物联网连接,预计到2027年将达到270亿物联网连接, 这种认识的一部分需要关于如何与之合作的战略. 我们不能忽视人类用户. 当然,它们仍将是IAM的重要组成部分. 同时, 虽然, 我要求我们像看待人类用户连接一样看待非人类元素和“词关联”与IAM的非人类连接.
编者注:要了解有关身份和访问管理的更多信息,请参阅ISACA的新版本 审计程序!
