在当今错综复杂的数字世界中利用身份和访问管理(IAM)

数字化的加速、新商业模式的诞生和创新工作安排的采用给组织带来了巨大的压力，要求它们迅速发展和转型。然而，这反过来又增加了组织面临的安全风险。由于这些风险和挑战以各种方式影响着我们，因此需要集中精力采取全面的方法来增强组织的安全态势。一个关键需求是确保对关键资产、设施和基础设施的端到端安全访问。基本上，所有访问都需要经过身份验证、授权和验证。许多公司面临的一个问题是，这是否可能，以及可以采取哪些类型的控制来实现这一目标。组织应该采取什么方法来增强其在物理和数字领域的安全态势?

在我们审查这些问题之前，我们可以合理地承认，大流行是十年来的黑天鹅事件，对我们的工作方式和工作场所的互动方式造成了极大的变化。Frost & Sullivan的研究表明，90%以上的组织在工作和运营方式上不会恢复到大流行前的现状(这并不奇怪)。这本质上意味着组织和服务提供商需要实施保护和控制，以确保他们能够保护自己的资产和客户的资产，而不管这些资产、数据和设施可能位于何处。

与此同时，对数字化的日益关注以及对可扩展性和灵活性的需求极大地扩展了组织的运营范围。今天的外围包括一系列复杂的远程接入点，通过混合环境提供的云服务，以及包括员工、供应商、合作伙伴甚至客户在内的各种不同类型的用户。这实际上增加了组织面临的风险，因为用户基础和架构要大得多、复杂得多。由于这种复杂性，公司面临着一项艰巨的任务，即确保所有访问活动都是安全的，以保护其资产和数据的机密性和完整性。

此外，旧的挑战仍然存在，并继续对组织和保护它们的IT和安全专业人员施加压力。Frost & Sullivan最近一项研究的调查数据显示，“拥有过多特权的用户”、“尚未删除的休眠帐户”以及使用端到端覆盖有限的“多个IAM解决方案”(留下空白)是安全漏洞的一些最常见原因。因此，现代化传统的IAM基础设施，重点关注自动化和可扩展性，对于保护我们的员工和客户免受持续发生的物理和数字入侵至关重要。

在这种情况下，零信任是如何发挥作用的?

我们不能再假设访问我们资产和资源的所有实体都是可信的。零信任的常见定义是“永不信任，始终验证”，其核心是一个健壮而灵活的IAM解决方案集，能够支持您组织的复杂操作环境和扩展的边界。此外，对访问组织资产的实体的持续不信任和监视的需求也在增长。这似乎有点过分，但实际上它模仿了我们自己的人际行为。作为人类，我们在增加对某人的信任水平之前，会不断地评估我们的熟人。在某种程度上，这个概念类似地应用于零信任的上下文中——始终验证访问。

我们的控制系统需要知道谁/什么正在访问资产，这些系统需要能够持续监控所进行的活动。从本质上讲，您应该期望您的用户在您期望他们在的位置做一些事情。从实现的角度来看，这似乎是压倒性的，这就是全面的IAM方法来支持您实现零信任目标的地方。

对IAM和解决方案合作伙伴的期望是什么?

理想情况下，领先的IAM解决方案应该提供易于使用的自动化系统，并允许对环境中不同的和分布式的资产和设施进行细粒度控制。这有助于减少前面提到的风险和问题，并通过中央平台为管理员提供遵从性要求的支持。另一个需要考虑的问题是平台连接到用户的物理和在线访问控制的能力。这将有助于减轻在新的混合工作环境中操作的挑战。

我们从哪里开始呢?组织需要考虑分阶段的方法或增量路线图，将资产和设施面临的风险作为第一步。与能够带来技能和经验的成熟供应商合作，无论是将当前技术与未来连接起来，还是同时满足多种需求，都可以极大地简化这一过程。

Richard在多个行业领域拥有超过20年的咨询和项目管理经验。担任高级副总裁兼证券市场咨询全球主管他的工作重点是通过市场和技术战略、监管和经济分析/审查以及数字化转型，为客户实现业务和组织目标提供建议和帮助。

他完成了许多跨部门的大型咨询和技术研究项目，如ICT和公共部门。Richard曾参与多个项目，如国家工业发展、智能城市、发展区域数据中心、先进技术发展研究、发展国家电子身份架构，并为各种企业/业务转型项目提供咨询。

他曾出席多个行业和政府会议，包括新加坡世界城市峰会、英特尔商业活力论坛、CIO峰会、C-Engage新加坡、云亚洲论坛、国际刑警组织新加坡世界和东盟城市未来峰会。