網路環境日異複雜,不少企業的網管人員仍以手動維護線上多個不同系統的帳戶資料。這種方式不僅管理複雜,而且當用戶不斷詢問帳號密碼等雞毛蒜皮的問題時,重覆的動作無形中為企業增添不少管理成本。根據調查顯示,許多專業稽核與法規遵循人員都認為,企業在進行身分管理與存取管控(Identity and Access Management,IAM)的工作上面做得並不理想。
一項由國外Ponemon研究機構針對845個有效回覆所整理出來的調查報告指出,將近一半(45%)的受訪者認為自己所屬的組織並沒有專心規劃與企業管理風險息息相關的身分認證和存取管控事務。有68%的法規遵循專業顧問指出,雖然其所屬單位已經採用了某些IAM相關的網路設備,但是各項產品之間的協同作業一直沒有完善的整合運作。
雖然法規遵循與稽核專業人士都認為,一套整合性的協同作業相當重要,但他們坦承,企業在這塊領域有待改善。
一般而言,IAM包含存取管控、密碼管理、使用者規定與角色定位等多個面向,目前多數企業實施這些工作主要是為了遵循各種法規的強制規範,像是沙賓法案(Sarbanes-Oxley Act)、健康保險責任法案(Health Insurance Portability and Accountability Act)以及隱私權法等。
然而,雖然IT人員在一個組織裡通常被視為是最能為企業擔負起建置IAM機制的一群人,但卻有65%的專家學者認為,IT人員對於風險管控和法規遵循的認知不足是造成企業難以執行IAM管理的主因。
此外,這項調查也反應出一個現象,那就是IT人員與公司的業務、稽核人員在IAM議題上面沒有一個良好的溝通,導致共識不足。根據這分報告指出,有61%的人認為「彼此之間根本就沒有整合這回事」,有25%的人表示「稍微有整合,但還有待加強」,其中只有14%的人認為「大家協調得相當好」。
這份報告的結論表示,受訪者普遍認為IT人員並不在乎身份稽核與法規遵循,也不認為應該搞清楚規則是什麼,以及區分規範執行的優先順序。明白地說,IT人員比較關心的仍然是資訊系統的運作效率。
要完整部署IAM機制,除了有賴IT人員的觀念改變之外,企業最高主管階層出面強力主導才能讓任務事半功倍。IAM系統的重要性與日俱增,除了必須整合各部門的資源之外,企業內部還必須有長期性的觀念宣導,這就有賴CEO或CIO層級的人員掌舵管控,才不至於讓各部門之間溝通不良而導致IAM計畫胎死腹中。