满足合规需求的艰巨任务

在许多行业和组织中,合规性是一个复杂的问题,众所周知,不遵守法律和法规将面临巨额罚款和可能的处罚。美国的一些主要合规性法规,包括《健康保险可移植性和责任法案》(HIPPA),《信息和相关技术控制目标》(COBIT)和《萨班斯奥克斯利法案》(SOX),要求企业确保其组织内的某些标准,包括数据保护和全面披露。

HIPAA的一些重要要求包括工作站安全性,访问控制,审核控制以及人员或实体身份验证。 HIPAA保护患者数据的使用和披露,并确保医疗保健组织采取适当的安全措施来保护患者数据。

由IT管治研究所发布的COBIT还提供了“良好的IT安全和控制实践的普遍适用和公认的标准,为管理人员,用户以及IS审计控制和安全从业人员提供了参考框架。”此外,SOX是针对美国所有公开交易公司的一套审计责任制标准。

满足组织的需求
在查看合规性需求时,组织会关注多个领域,并且经常会遇到合规性问题。组织在满足合规性方面面临的一些问题是:

  • 确保密码不容易被盗
  • 生成简单的审计记录
  • 确保在组织的预算内满足合规性需求
  • 轻松跟踪每个员工在公司网络上所做的工作的能力
  • 保护公司和客户的机密数据
  • 实施不会破坏组织流程的解决方案。

试图满足所有这些要求可能是艰巨的,而实施多种解决方案可能会变得昂贵。以下是仅实施单一登录(SSO)解决方案可以帮助组织轻松满足合规性需求的五种不同方式,组织领导者在评估SSO解决方案时应牢记这些功能,以便他们能够获得最佳结果并满足他们的要求。合规要求。

轻松消除共享帐户
通常,在许多组织中,尤其是在医院和医疗机构中,员工与其他员工拥有一个共享帐户,这意味着他们都使用相同的凭据登录,以访问执行工作所需的系统和应用程序。但是,由于无法告知哪个员工在登录时做了什么,许多组织正在取消共享帐户。出于合规性原因,组织需要能够记录每个员工在公司网络上的行为。为了满足HIPAA的要求,他们还需要能够记录用户的身份以及他们在组织中的角色。这禁止任何共享帐户或并发登录。此外,SOX合规性要求“职责分工”:

简单地消除共享帐户可能会引起问题,因为员工随后将必须为每个系统或应用程序记住几组新的凭据。单一登录解决方案可以缓解此问题,并使公司和员工更容易从共享帐户更改为单一帐户。使用SSO解决方案,仍将仅要求员工记住一组凭据,这对每个员工都是唯一的。这使组织可以消除合规需求的共享帐户,而不会大幅度破坏业务流程。

强大的认证
确保来自公司以及客户和患者的数据受到保护是合规性的另一个重要部分。许多数据保护法都要求组织具有强大的访问控制。 HIPAA标准的“人员或实体身份验证”部分要求组织提供强身份验证,以确保登录的人是他们声称的身份。 《萨班斯奥克斯利法案》还要求上市公司确保其关键数据的安全性,并指出“围绕应用程序和数据的安全性和控制至关重要。”

单点登录解决方案使公司可以使用两因素身份验证来实施强身份验证。通过要求用户输入PIN码和智能卡来访问系统或应用程序,从而确保安全性。这意味着一个人需要她拥有的东西(即智能卡)和已知的东西(即PIN码)。组织还可以添加增强的功能以提高安全性,例如要求应用程序在移除智能卡后立即自动关闭。组织应在SSO解决方案中寻找该功能,以确保其敏感数据的安全性。

简易的审计追踪
HIPAA需要组织中所有用户的完整审核跟踪。此外,SOX还需要有关用户操作的所有信息,包括文档/数据访问,密码更改,登录和注销以及要记录的所有更改。

组织应实施一个SSO解决方案,其中所有最终用户活动都记录在中央SSO数据库中,并且每个用户名和密码都被加密并存储在中央数据库中,该副本也应作为副本。它还应准确报告哪些用户帐户有权访问哪些应用程序,以及实际发生访问的日期和时间。这使组织可以稍后返回并轻松获得用于审核的信息。此外,根据SOX,审核记录必须保存7年,并且必须保持安全,以免被篡改。 SSO解决方案应确认所有机密信息都是通过安全方法交换的。

密码安全
确保只有正确的人才能访问关键系统和数据,这是遵守SOX和HIPAA的重要部分。当员工需要记住多个密码并诉诸于密码时,系统通常会变得不安全。这为那些未被授权获得访问权限的人和发生安全漏洞提供了可能性。

为了缓解此问题,单点登录允许员工消除其多套凭据,而只记住一个用户名和密码。反过来,这消除了写下他们的密码来记住它们的需要。该解决方案还可以与密码重置软件集成在一起,以允许针对需要额外安全性的应用程序定期进行密码更改。一段时间后,当应用程序请求输入新密码时,SSO软件本身可以生成并存储新密码,而员工无需执行任何操作。或者,如果需要,SSO软件还可以提示最终用户手动创建新密码。

正确委派并撤消访问权限
当一名员工生病或休假时,另一名员工通常会临时接任他们的职责。为此,有时会给他们提供凭据,这使网络变得不安全,因为他们可以随时随地继续登录,除非缺席的员工记得在返回时更改密码。如果他们确实采取了安全委派访问的步骤,则通常不会撤销该访问。

借助SSO解决方案,可以在设定的时间段内向员工授予临时用户访问权限,而无需为用户提供凭据。在特定时间段结束后,访问将被自动撤销。

此外,部分HIPPA合规性规定,终止时,公司必须具有适当的流程来撤消对系统和应用程序的访问。撤消对员工的访问权限听起来很简单,但是此任务通常被忽略,员工保持活动状态。

SSO解决方案还可以与帐户配置解决方案集成,从而使系统管理员只需单击一下即可轻松禁用员工帐户。这样可以确保前员工不再有权访问组织的系统和应用程序。

SSO实施情况示例
考虑一个拥有500名员工的医疗保健组织,每个员工至少使用10种不同的系统和应用程序。此外,该公司还处理只有部分员工才能访问的机密客户数据。

问题:许多员工在记住所有系统和应用程序的凭证时遇到麻烦,因此他们将其写下来。多名员工还向某些系统共享一组凭据,这使得无法跟踪谁在采取什么行动。该组织希望消除共享帐户,但不希望员工记住其他凭据。此外,员工整天进出房间,经常不小心使自己登录。

解决方案:SSO解决方案与两因素身份验证一起实现。现在,员工只需记住自己的PIN码,并沿着读卡器刷卡即可访问所有系统和应用程序。然后,一旦他们取出卡并转到另一个房间,就会自动注销。他们还实现了“跟我来”功能。这使打开了应用程序的用户可以轻松移至另一个工作站并继续其工作,从而使他们可以更高效地工作。

结果:组织现在可以清楚地看到哪些员工在网络上做什么。此外,员工不再需要写下他们的凭证。总体而言,该组织极大地提高了其网络的安全性。

结论
确保组织在预算范围内满足审计需求可能是一项艰巨的任务。有了正确的SSO解决方案,组织可以大大提高其安全性,同时满足合规性需求并保持在预算范围内。借助SSO解决方案,组织还可以消除IT人员在确保系统安全性上花费的许多时间,并使他们专注于其他重要任务。

除了帮助遵守法规之外,SSO还可以为您的组织提供其他好处。它使员工不必为每个系统和应用程序使用几套不同的凭据登录,从而使工作效率更高。它还为那些在组织网络之外远程工作的员工提供了这些好处。

分享这个