Search Results: 身分安全方案 (5)

    自香港今年年初重新開關,並且撤銷所有社交距離措施後,多個行業的業務均見反彈,同時創造更多就業機會,2023 年 4 月至 6 月的失業率下跌至 2.9%,是 3 年半以來的新低。與此同時,旅遊業、零售業、酒店業和餐飲業均面對不同程度的人手短缺,因此僱用兼職員工、承辦商和自由職業者的做法越見普遍。 想睇更多專家見解?立即免費訂閱! 大型企業和專業服務公司亦相繼聘用外部顧問和合作夥伴來擴充人力,以擴大營運規模、提高彈性並增強競爭力。這些非僱員勞動力,包括服務帳戶、機械人和智能設備等非人類科技,一般亦需要公司網絡和資源的存取權才能運作,這正正為香港 IT 業界帶來新挑戰。 管理非僱員身分的挑戰 僱員身分比非僱員身分較容易管理。簡單而言,企業能更直接控制員工的身分和存取權限- 員工的身分識別生命週期完全由單一部門(例如人力資源部)管理,一般涉及有序管理、追蹤及記錄活動進展,由職位空缺、揀選候選人、錄用、篩選和入職活動、職位晉升或調動,以至終止僱用均包括在內。 相反,從身分管治角度來看,向兼職員工和供應商等非僱員用戶授予適當存取權限便沒那麼直接,甚至可說混亂得多。即使是大型企業,也往往缺乏專為非僱員而設的正式採購審查和身分管理程序。這些相關職責通常散落於不同部門,而現時程序中出現的斷點,加上非僱員身分欠缺透明度,均增加不當存取、過度配置存取權及非活躍帳戶成為被遺棄帳戶的風險。 事實上,非僱員用戶存取權管理不當所引致最顯而易見的負面結果,正是網絡漏洞風險。舉例而言,用戶在企業不知情下,與供應商終止聘約,或者轉而與其他客戶合作,但原本的供應商仍然掌握該企業平台的存取權,大大增加企業所面對的風險。過度配置亦可能導致非僱員擁有過多存取權限,攻擊者可以利用這些存取權限來取得更高級別的特權。 有見及此,採用非僱員風險管理解決方案,是對付這些問題的關鍵。 開展你的非僱員身分管理旅程…

    過往三年,醫院、診所和化驗所等醫療機構除了面對人手長期短缺和供應鏈挑戰,還需抵禦疫情。然而,網絡安全威脅日益加劇,醫療機構不得不加緊尋找方法,來保護機密資料和重要技術。 根據 SailPoint 研究報告指出,與身分識別相關的安全漏洞,已成為醫療行業不容忽視的問題,93% 醫療機構在過去兩年,曾遭遇資料外洩。 想睇更多專家見解?立即免費訂閱! 隨着併購遂增、機構轉向採用雲端和物聯網(IoT)技術,以及急速的數碼轉型,醫療行業所面對的風險和挑戰日益加劇。IBM 報告顯示,在所有行業當中,醫療業已連續 12 年成為平均資料外洩成本最高的行業。 醫療機構現時面對的另一個挑戰,是非僱員人數越來越多,包括承辦商、供應商、聯屬醫生和專家,以及臨時專業醫護人員。由於這些第三方身分可以存取病人資料,因此需要一套強大的身分安全策略來有效管理,以全面掌握這些人員的存取和許可權限。 最近,香港醫療行業遭受的攻擊越趨劇烈,網絡釣魚電郵和勒索軟件等手法,常用於攻擊具高價值的醫療記錄和關鍵基礎架構。本港醫療業界領袖也意識到病人資料遭意外洩露的危險,並可能導致紀律處分、法律訴訟、聲譽受損和額外營運成本等後果。 SailPoint 報告《身份安全狀況 2023:焦點關注醫療行業》訪問全球 150 家醫療機構,當中 93% 已經實施或已開始實施身分及存取權限管理計劃。然而,96% 受訪者認同,其機構的身分識別相關安全漏洞偵測及預防能力需要改善,因為醫療業內的…

    疫情促使企業轉向數碼化的趨勢快速發展,引發網絡安全生態發生數個重大變化。全球步入數碼時代,今時今日的企業需要更多工具、應用程式、存取和連接。另一方面,企業併購、週期性的人員變動、雲端採納持續增加等多種變數,要有效且有效率地為用戶提供相關必要資料的存取權限變得更加複雜困難。 想睇更多專家見解?立即免費訂閱! 身分數量龐大 僅手動程序難應付 企業面對管理包括員工、承辦商以至機器等數以百萬個身分,而這些身分與大量存取點連接,當中又附連不同的存取權限等級要求,必須審慎管理。要應付如此繁重的工作,企業卻通常僅依賴身分驗證和聯合身份驗證來核實員工的存取權,惟這也缺乏治理監督,未能妥善管理誰有權存取甚麼資料。更令人擔憂的是,有企業仍然依賴手動程序來授予資源存取權限,然而身分數量龐大,手動程序根本無法持續監控、分析及評估風險。 香港企業面對的網絡威脅趨增,去年錄得的企業網絡攻擊報告便有 37 宗,比 2022 年的 24 宗增加 54%;呈報的虧損則從 2022 年的 70 萬港元增至 210 萬港元(268,400美元)。 在此背景下,Verizon 最近的數據顯示,86%…

    香港企業正面臨著越來越嚴重的安全、營運和法規挑戰。本地身分盜竊、網絡釣魚和數據洩露案例正處於歷史高峰。香港電腦保安事故協調中心(HKCERT)最近發表的報告便點出針對身分的網絡攻擊大行其道,並預計這些攻擊將繼續成為企業網絡安全的心腹大患。在 2022 年第四季,本地釣魚攻擊個案首度突破 10,000 宗,相比去年同期上升 11 倍。鑑於身分攻擊的形式越趨多元化,香港企業必須建立嚴格而穩固的身分安全系統。 想睇更多專家見解?立即免費訂閱! 事實上,在公司網絡中一個無人處理的前僱員帳戶就有可能輕易地引致企業數百萬美元的損失。 那些帳戶被稱為「孤立帳戶」,是公司尚未撤銷的前員工身分帳戶。 這類型的「孤立帳戶」存在於許多公司的系統中,不單引起 IT 審計團隊的關注,更造成潛在網絡威脅。 這是一個很好的例子,說明企業在進行數碼轉型時,為何身分安全應成為網絡安全的戰略核心。 隨著混合辦公模式已成為各行各業的大勢所趨,企業必須為內部及合約員工、合約夥伴和供應商等提供網絡資料存取權限,但同時亦要保護整體員工的身分安全。 因此,企業需要一個強大的身分安全解決方案以管理全公司的存取策略,並及時向用戶提供所需的存取權限,與及確保儲存在雲端的應用程式和數據免受未經授權的存取侵害。 此外,香港企業在招聘及挽留人才上亦面臨前所未有的挑戰。更多員工在企業內不斷轉變工作崗位,或離開他們的公司並開展新的工作。因此,企業必須確保他們的入職和離職流程順暢無縫。 然而,由於香港企業人手短缺,他們不可能再只依靠人手流程授予用戶存取資料和數據的權限,尤其以手動流程處理存取管理和安全的效率低,客易不合規和造成人為錯誤,變相增加風險。 除此以外,現今企業擁有的身分數據數量和認證的次數龐大,要達致及時並準確地對所有數據進行分類已經超出了人手處理的極限,而要以人手完成身分安全流程和決策可能需要數年時間,實際上並不可行。今天的 IT 團隊看到在各種營運環境中,用戶、應用程式及數據用量都在不斷增加。 現時企業的團隊,由員工、供應商、合作夥伴甚至非人類身分設備組成,企業需要完全了解所有用戶類型及其相關存取權限,包括所有權限、員工所需權限、工作特質和崗位等,以便確保所有用戶都能擁有所需的存取權限,並獲取正確的資源以完成他們的工作。 透過自動化的身分流程,企業可以在員工加入、更改職位或離開公司時輕鬆安全地刪除或恢復存取權限,而無需任何人手干預。 這樣能夠最大程度地簡化新員工、內部轉移和離職者的入職和離職流程。 自動化流程還可以簡化實現存取控制和仔細處理權限,以防止利益衝突、資料盜竊和違規,從而實現有效且合規的網絡安全方案。…

    在高等教育領域中,同一機構內的學生和教職員可擁有多重身分——學生可能成為教職員﹑員工或擔任義工,畢業生將成為校友等。而他們更可能同時在多個部門擔任不同崗位,並且頻繁地穿梭轉換,要正確地梳理每個人的身分和相應權限殊不容易。再者,很多香港高等教育機構習慣在不同時期由不同的部門建設多個系統及應用,令情況更趨複雜。 想睇更多專家見解?立即免費訂閱! 不少大專院校仍依賴人手程序來分配和處理存取權限,這包括每個學期成千上萬的新生,而且他們在成本和人手上可能面對更大限制。此外,這些機構往往須儲存和管理個人身分資料和敏感的研究內容,故他們不僅必須滿足當地和國際監管及審計要求,同時面臨更高的網絡安全風險。 身分管治成安全關鍵  佈建新帳號時間短 疫情加速全球數碼發展,遙距學習漸成趨勢,犯罪分子卻持續利用當中衍生的安全漏洞,令教育機構多次遭受網絡攻擊,例如資料外洩、網絡釣魚攻擊和阻斷服務攻擊。網絡攻擊所導致的後果嚴重,包括學校停課、教學中斷、數以百萬計的納稅人資金損失,甚至學生和教職員身分遭盜用等。 鑑於這些安全性、存取權限和合規問題複雜,香港的高等教育機構應該把有限的資源集中在何處?以身分安全為核心的 IT 安全策略是一大關鍵,能協助機構安全管理各式各樣的角色。 身分安全涉及利用軟件和系統來管理用戶在地端或雲端的應用及檔案存取權限。此外,藉着中央佈建流程和單一權威數據源,即可佈建及追蹤具備多重身分的用戶,幫助機構簡化及自動化關鍵程序,佈建新帳號所需時間從一整晚大大減少至只需一分鐘,用戶更能輕鬆使用遙距視像軟件來學習或進行會議,在提升效率之餘,亦提供更佳用戶體驗。 方案需合乎機構獨特要求 哈佛大學都有用 一個能夠回應機構獨特要求和數據結構的身分安全方案,在今時今日保障校園安全發揮了重要作用。例如美國哈佛大學的用戶分佈極複雜,因此需要簡化多個帳號的管理工作,輕易佈建或取消佈建帳號及服務,並自動評估﹑套用或刪除聯屬關係。 該程式能夠區分學生、教職員、員工﹑學生員工、承辦商等角色,並根據各個相關生命週期的定義,提供必要和非必要的帳號和資源。每個身份的聯屬關係會每 15 分鐘評估一次,並根據個別生命週期來增刪帳號和服務。若用戶的角色有變,存取權限亦會自動調整,而且必定僅為該角色可享的最低權限。這樣可大大減低威脅的攻擊面。 機構該從何入手?以下為三點建議: 爭取管理層支持:部署身分安全方案需時不多,少至三個月亦能成事。然而,機構需放眼更長遠的路線圖,才能充分當中所帶來的機遇;而相關政策及程序也需升級配合,而且必須由高層帶領,由上而下作出變革方能實現。 與專家合作:身分管理項目不應採用普世通用的解決方案。機構的預算、時間框架、度身訂制的方案、配置需求,以至現有的身分管理流程,都會影響大大小小的決策?由一個了解你需要的供應商提供專業建議及支援,致力與你坦誠合作,是決定成敗的重要因素。 預備展示投資回報率:向管理層展示身分安全的利處非常重要,這樣才能持續取得他們的參與和支持。證明長遠而言,投資身分安全能夠為機構帶來切實的進步,並為用戶送上更佳體驗。 作者:SailPoint香港及澳門董事總經理戴健慶(Simon)