首页 / 资源 / 新闻及趋势 / 澳门赌场官方软件 / 2022 / 执行用户访问审查以提高澳门赌场官方下载安全性

执行用户访问审查以提高澳门赌场官方下载安全性

Ramaseshan转向开始涉足
作者: Ramaseshan转向开始涉足, CISM, ITIL基金会,ITIL服务运营专家
发表日期: 2022年5月20日

安全负责人可以通过进行频繁和彻底的用户访问审查来增强澳门赌场官方下载的安全性. 用户访问审查是一种控制,旨在验证只有适当的用户(通常是员工)才能访问组织资源,如应用程序或基础设施. 审查的目的是确定不再在澳门赌场官方下载工作或已转移到组织中的另一个团队的用户是否仍然可以访问不再与其角色相关的应用程序或基础设施. 如果是这样的话, 应该相应地删除访问权限,以避免可能导致声誉受损的利用, 财务或数据丢失.

通过了解用户类型和风险场景,并遵循一些允许完全透明和阻止未授权用户的用户访问审查的最佳实践,可以降低澳门赌场官方下载风险.

用户类型

用户是使用应用程序或工具来实现预期业务结果的人. 在IT界,用户可分为两大类:

  • 业务用户-他们使用应用程序或工具作为实现其定义的业务结果的一部分. 例如,将应用程序用于澳门赌场官方下载财务活动的财务应用程序用户,以及将应用程序用于产品开发过程的产品开发应用程序用户.
  • 它的用户-他们可以访问应用程序, 工具或系统为他们分配的应用程序交付责任, 例如应用程序开发, 测试, 部署或操作支持. 此用户类型通常根据IT团队类型授予访问权限, 比如发展, 支持或一般.

普通用户访问风险场景

以下是一些常见的用户访问风险场景,这些场景会导致用户可以访问他们不应该访问的应用程序或系统:

  • 用户离开一个团队,但仍然拥有一个或多个以前的团队访问权限.
  • 用户更改角色,但仍然具有一个或多个先前的角色访问权限.
  • 用户离开澳门赌场官方下载,但仍然拥有一个或多个访问权限.
  • 用户的报告管理器参与批准用户持续访问认证. 当当前的报告经理转移到不同的团队/任务时,风险就会发生, 但是,用于证明通信的摘录没有适当地更改,并且将该通信发送给用户以前的报告管理器.

用户访问审查最佳实践

实现用户访问审查最佳实践可以帮助消除或避免风险场景.

业务用户访问审查最佳实践
应用程序业务所有者负责业务用户的用户访问审查控制的有效性. 所有者可以指派一个委托来协助执行此活动, 但是,应用程序业务所有者仍然对这种控制和任何违规行为负责.

应用程序业务所有者可以实施的最佳实践包括:

  • 当有新的业务用户加入团队时, 应用程序业务所有者为业务用户验证并提供相关的角色和访问级别.
  • 当业务用户离开团队或更改角色时, 应用程序业务所有者验证用户和用户的访问级别,以便进行任何更新或删除.
  • 在预定的时间间隔(活动日历中预先安排的部分), 自动触发或手动发起业务用户访问审查. 应用程序业务所有者接收现有业务用户的列表, 角色和访问权限. 然后,应用程序业务所有者采取行动删除或更改任何不正确的特权.
  • 对应用程序业务所有者和/或委托的任何更改都将作为从当前联系人到新联系人的过渡的一部分进行更新.

IT用户访问审查最佳实践
IT用户需要访问应用程序后端以执行其职责. IT用户的访问权限取决于他们的团队和角色.

应用程序的IT所有者负责IT用户的用户访问审查控制的有效性. 所有者可以指派一个委托来协助执行此活动, 但应用程序的IT所有者仍然对这种控制和任何违规行为负责. IT所有者是业务数据的保管人. 因此, 在IT所有者完成访问审查之后, 他或她必须获得应用程序业务所有者的批准才能完成用户访问审查周期.

如果应用程序业务所有者不是IT专家, 应用程序IT所有者可以与业务所有者建立澄清会议,以解释应用程序和IT职责. 这种努力可以增加业务团队和IT团队之间的信任,并产生更高效的工作场所, 信任的提高提高了速度,降低了成本.

应用程序的IT所有者可以实施的最佳实践,以帮助确保有效的用户访问审查包括:

  • 制定入职模板(图1),提供用户角色、每个角色的任务和每个任务所需的访问权限. 入职模板角色职责基于职责分离(SoD)控制(图2). SoD为IT团队成员分配职责和特权,这样就没有人可以在不被发现的情况下引入欺诈或恶意代码. 任何用户都不能拥有可能危及控制的访问权限. 例如,对于变更管理,开发人员生成代码并执行单元测试. 然后,领导验证代码和测试结果,并将代码转移到更高的环境中. 开发人员无法将代码移动到更高的环境中, 而且领导没有开发代码的能力.
  • 在向用户提供访问权限时强制使用登录文档
  • 使用活动日历(图3)标记和启动定期用户访问评审,作为澳门赌场官方下载审计和保证计划的一部分. 根据资产的关键程度确定用户访问审查的频率, 相关的风险和用户移动动态.
实现用户访问审查最佳实践可以帮助消除或避免上述风险场景.

职责分离(SoD)

入职文件-运营团队分析师入职清单

活动日程表

结论

访问权限取决于员工的团队和角色, 这意味着它们随时都可能发生变化,并且必须持续监控. 澳门赌场官方下载安全负责人必须挑战自己,在自动化工具和技术的帮助下进行更好的用户访问审查. 确保只有经过授权的用户才能访问系统,这样可以更好地保护组织,并向客户保证他们的数据没有风险.

编者按

这篇文章节选自一篇发表在 ISACA® 杂志. 阅读Ramaseshan转向开始涉足的全文:有效的用户访问审查,在vol中. 2019年4月4日 ISACA杂志.

Ramaseshan转向开始涉足, CISM, ITIL基金会,ITIL服务运营

福特汽车私人有限公司是否有IT主管支持安全工具. 在印度金奈. 他在各种IT软件开发生命周期角色方面拥有超过27年的经验. Ramaseshan继续提高他在安全领域的知识深度,并分享了他在日常操作中观察到的一些成功经验,希望这些经验可以使IT安全澳门赌场官方下载受益.