零信任时代,数字身份管理面临哪些挑战?优秀的数字身份管理有哪些特点?寻找有效的数字身份管理解决方案。以下是成功秘诀:平等对待企业和消费者身份、探索托管服务和集成新技术非常重要。从蜡印和邮票到护照和指纹,再到生物识别和行为分析,人类一直在寻找可靠的方法来验证他人的身份和可信度。在当今日益关注数据泄露、欺诈和隐私的时代,信任至关重要。在我们的数字社会中,信任是通过数字身份建立的。所谓数字身份,就是通过独特的属性和使用模式来识别个人、物体或组织的一组数据。有效的数字身份实践对于公司的成功比以往任何时候都更加重要。数字身份实践是获得客户信任的第一步,也是保护敏感数据、推动安全交易和改进业务流程、推动通过社交媒体与消费者互动的新方式、改进企业内部协作以及自动化和简化网络的关键安全操作。然而,公司面临越来越多的企业和消费者身份管理挑战。原因之一是传统数字壁垒的崩溃,模糊了内部和外部公司之间的界限。这种转变,加上不断变化的用户期望、新兴技术、云服务转型、不断增长的业务需求和不断发展的隐私法规,已经造成了数字身份危机。数字壁垒的崩溃、不断变化的用户期望以及新兴技术造成了数字身份危机。企业应重新审视并迅速改进其数字身份战略——无论是对企业内部还是外部对消费者而言。只有全面审视数字身份管理,并以相同的理念处理企业和消费者身份,企业才能取得他们想要的结果。本文为您提供了改进公司数字身份实践的统一策略。1.数字身份管理:挑战有许多新兴趋势和挑战正在塑造企业和消费者数字身份的开发和管理。以下趋势和挑战最为重要:1.数字身份管理可能会被更紧迫的问题所掩盖。企业并不认为数字身份管理不重要,他们可能正在处理其他更紧迫的网络安全问题。或者,他们可能需要证明网络安全项目的即时进展和投资回报。但实现数字身份项目需要耐心,更像是一场马拉松而不是短跑。这一挑战体现在企业在数字身份项目上花费的时间和金钱上。德勤对500名负责网络安全的C级高管进行了调查,并发布了《2019 网络未来调查》。超过一半(54%)的调查受访者表示,他们将10%或更少的网络预算用于身份解决方案,95%的受访者表示为20%或更少。此外,88%的受访者花在身份和访问管理上的时间不超过10%。2.企业对外包身份管理态度不一大多数网络安全高管对自己的系统持保守态度,不愿意让别人管理。根据Deloitte《2019 网络未来调查》的调查,36%的受访者选择了内部实施,这是获取、实施和持续交付身份能力的最重要方式。这种现象对于首席信息安全官(CISO)来说尤其如此,60%的受访CISO更喜欢内部解决方案。只有24%的受访者选择基于云的身份即服务(IDaaS)实施,32%的受访者将身份和访问管理外包给第三方。为什么不?一家主流电信公司的CISO解释说:我有很多用了很多年甚至几十年的老应用,还有大量内部自研的应用。没有云提供商可以在不修改您自己的云基础架构的情况下轻松集成。这种对集成、灵活性和获得专业支持的担忧以及对可用功能缺乏信心的担忧是可以理解的,可能会阻碍企业转向IDaaS。日益严格的全球数据隐私法规带来了合规性挑战。世界各国政府正在探索和实施旨在保护个人数据隐私和数字身份的新立法和法规。企业高管和网络安全高管必须应对欧盟的《通用数据保护条例》(GDPR)、美国的《加州消费者隐私法案》(CCPA)和加拿大更新的《个人信息保护与电子文件法案》(PIPEDA)等要求。其他要遵循的准则包括美国国家标准与技术研究院(NIST)的《网络安全框架》。网络安全高管和企业高管的负担更重,因为他们需要更全面地了解消费者,以遵守法律和审计法规。2.向托管服务和人工智能的平稳迁移尽管面临挑战,但数字身份管理的方法开始迅速发生变化。企业环境越来越以云为中心,并转向托管服务和基于消费的模型。德勤2018年的一项调查《一切即服务加速敏捷性》发现了这种转变的证据。71%的企业报告说,X即服务(XaaS)现在占其企业IT的一半(其余是非基于服务的传统IT)。一些公司将他们的身份堆栈移至云端,另一些公司将身份作为一种服务引入。作为这种转变的一部分,一些公司将他们的身份堆栈移到了云端,而另一些公司则引入了身份即服务。根据Gartner的数据,到2022年,全球40%的大中型企业将使用身份和访问管理即服务(IDaaS)功能来满足其身份和访问管理(IAM)需求的绝大部分(5%)。原因之一是云提供商和第三方云运营商的功能可能比公司内部的高级得多,因此公司不需要更新和升级软件和基础设施。而且,由于许多公司面临熟练网络安全人才短缺的问题,采用托管服务有助于消除吸引、培训和留住这些人才的需要。许多企业仍在试验和整合许多新技术,以提高他们的数字身份能力。他们不再使用简单的登录名和密码,而是不断引入高级身份验证方法,例如物理生物识别和行为监控,作为数字身份管理的标准做法。在当今的“零信任”环境中,企业持续监控和验证用户身份——根据他们的角色、他们访问的资产以及他们访问的时间和地点不断确定他们的风险级别。为了促进这一点,企业越来越多地转向人工智能(AI)技术来自动检测异常并识别不符合特定模式的行为。德勤《2019 网络未来调查》显示,20%的受访者将人工智能驱动的威胁识别和评估视为数字身份管理的革命性能力。在当今的“零信任”环境中,公司需要持续监控和验证用户身份以确定他们的风险级别。然而,受访者对人工智能在身份管理中的使用和成熟度存在分歧。美国网络安全和风险咨询公司国家网络安全协会的首席执行官亚历克斯·贝格曼对人工智能表示乐观。AI或机器学习将成为与风险评估相关的功能,不仅可以识别用户,还可以识别设备和设备健康状况,评估是否被黑客入侵。必须超越ID和身份验证。在更实际的层面上,真实的东西仍处于开发的早期阶段。它被使用,但仅限于有限的方式,只有少数资源充足的公司可以尝试并承担一些风险。3.硬币的两面:消费者和企业身份管理在重新审视其数字身份管理策略时,企业应考虑消费者和企业身份管理的挑战,并了解他们可以做些什么来创建一个综合方法。这两个方面的业务需求、技术途径和面临的困难不同,但一些合理的基本操作对双方都是适用的。让我们首先看看每个挑战的独特挑战:1.更高的消费者期望随着消费者与企业之间数字交互的深度和复杂性的增加,对消费者身份管理的关注也在增加。企业希望确保登录的人是他们所说的人,并且他们拥有良好的体验。这有很多原因,包括:消费者有更高的期望;他们希望登录一次并在需要时快速获得所需内容。消费者的联系比以往任何时候都更加紧密,他们希望跨多个渠道获得一致的体验——联络中心、移动设备、网络、聊天机器人、虚拟助理等等。消费者越来越意识到和关注隐私问题,不愿意分享过多的个人信息;他们想要个性化、方便且灵活的交互体验。消费者期望一定程度的可见安全性。例如,在进行网上银行交易时,多因素身份验证(MFA)让他们感到安全。对于全面的解决方案,组织必须同时考虑消费者和企业身份管理方面的挑战。在企业内部,围绕消费者身份管理的复杂性也有所增加。责任和所有权通常分布在多个高管、团队(营销、销售、网络安全等)和IT系统中,这使得大规模项目协调变得困难。据德勤《2019网络未来调查》称,企业正在为客户和供应商考虑多种不同的身份管理计划。最受关注的领域是消费者身份和访问管理(28%)、高级身份验证,包括MFA(27%)和GDPR实施/隐私合规(25%)。2.企业有更多的事情要做随着业务步伐的加快和对转型举措的需求成倍增加,企业不应忽视企业身份管理。企业面临的与身份相关的最大问题是特权滥用和凭证盗窃。恶意黑客和网络罪犯可以利用它闯入网络。Centrify最近委托对美国和英国的1,000名IT决策者进行了调查。根据调查,74%的公司遭到入侵的受访者承认涉及特权帐户访问。除了外部威胁外,组织还面临许多内部企业身份管理问题,包括:严重的网络安全人才短缺持续存在,数字身份往往得不到太多关注和预算,因此必要的资源可能很稀缺。网络安全团队努力应对遗留IT环境和迁移到云优先架构的阻力。许多公司并未构建可轻松与应用程序集成的基于API的协作式现代系统。人们对网络安全应有助于数字化转型和创新的期望也越来越高。正如德勤《2019 网络未来调查》所揭示的那样,顶级企业身份网络安全项目是高级身份验证和特权访问管理(PAM)——各有19%的受访者选择。为了全面解决这些问题,企业应该选择结合企业和消费者用户共同特征的数字身份管理系统。4.推动全面数字身份管理解决方案的五个关键鉴于企业和消费者身份之间的深层联系,公司应该以同样协调的方式对待两者,以释放企业和消费者的利益。这不再是一个非此即彼的问题——一个强大而全面的数字身份管理方法可以帮助推动业务发展,减轻网络安全团队的负担,并为消费者和公司员工等提供卓越的体验。在泛在网络时代,身份管理的运行环境将变得越来越复杂。它需要满足更高的业务期望,融合新技术,遵守多项数据隐私管理法规,管理不断增加的人员和设备。为了在复杂的环境中朝着正确的方向前进,网络安全主管可以做以下五件事来更好地将数字身份管理政策、流程和系统整合到他们的业务中:1.追求一种整体的身份管理方法,公平对待每个人一切-无论是消费者还是员工、个人、设备或应用程序。身份生态系统中任何缺失的元素都会影响公司创新和运营的速度。寻找企业和消费者身份管理系统相互补充的机会,并找到使用传统功能的新方法。2.帮助整合、协调和调整职责。身份、数据隐私和法规遵从性越来越多地重叠。这意味着技术、网络安全、法律和业务主管都是有效身份管理的利益相关者,他们在用户体验、系统可用性、弹性、风险管理和消费者参与方面面临着自己的挑战和愿景。负责身份管理的人员处于独特的位置,可以通知和影响讨论和决策,确保公司更快地适应。3.提倡以结果为导向的方法为了推动创新努力和数字化转型,将身份视为整个公司的一项服务。确定身份管理可以提供帮助的业务成果,例如提高客户保留率或提高HR流程效率。为了克服资源限制,支持专注于这些更大成果的大型创新项目。4.尝试托管服务。考虑到资源和人才稀缺以及网络安全问题,找人帮忙解决业务需求。如果公司无法将所需资源用于身份管理,请尝试第三方托管服务,无论是本地还是云端。他们可以提供最新的技术和功能,增加自动化和面向未来的身份系统。这种转变可能并不适合所有人,并且可能会抵制放弃一些控制权,但不要放弃这个选择。要解决问题,请考虑采取分阶段的方法。5.准备使用人工智能机器学习等人工智能技术正被纳入各种身份管理解决方案——从自动账户管理到欺诈检测。探索采用AI技术对贵公司的数字身份能力意味着什么。您想要什么结果——是自动化或优化现有流程,还是创建全新的身份验证和风险评估功能?这将如何影响您的网络安全团队的工作方式?需要什么类型的培训?考虑全面的数字身份战略,一直到上述,可以为消费者、员工、安全团队和业务主管带来显着的好处。更重要的是,统一的方法有助于建立信任,确保隐私和安全,从而防止数字身份危机。数字身份系统曾经是安全性和便利性之间的选择,但现在您可以两者兼得。仔细考虑您的系统设计方法,以保护资产并防止员工和消费者负担过重。在您着手进行数字身份转换时,请查看这些提示。5.技术、媒体和电信公司的身份管理每家公司都面临着不同的数字身份挑战,并且都有独特的身份管理方法。例如,科技公司的数字身份战略和系统足够灵活,可以适应瞬息万变的市场。媒体和娱乐公司经常面对大量的临时客户。电信公司的系统非常陈旧,难以更新或更换,并且不容易与现代身份管理解决方案集成。但是,这些公司在加强其数字身份管理能力时应牢记一些共同因素。以下是这些常见因素中的一些:与其他行业相比,这些行业历来受到的监管相对较少。这意味着他们不必做其他公司在数字身份方面必须做的一些事情。如果这样做了,那是因为这些都是为了客户和员工的利益而做的正确事情,有助于维护信任和安全。缺乏监管压力可能会减缓数字身份转型。随着GDPR和CCPA等新法规的出台,这种情况开始发生变化,数字身份经验较少的行业也需要改变其方法。这些行业拥有高水平的技术专长和经验。许多TMT公司雇用高级工程师和技术人员,他们可能觉得自己可以处理遇到的任何数字身份问题;能够从头开始构建他们需要的东西,然后继续解决下一个问题。然而,正确的数字身份方法包含许多复杂的系统,需要技术专长和时刻保持警惕。公司应关注其核心目标所需的高端技术人才,并利用现成的成熟身份解决方案。如果出现问题,对这些行业的潜在后果更为严重。这些公司创造的许多产品和服务是其他行业的基础。公众和市场对此类公司因凭据管理不善而导致数据泄露的反应远远超过零售商或工业公司。这使得全面的数字身份战略和方法变得更加重要。【本文为专栏作者“李少鹏”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
