其他考虑因素包括何时自动结束访问、是否需要审核这些过程、活跃用户何时必须注销、一天中的正常使用时间以及非典型使用识别。
到目前为止,我们仅讨论了有关员工账户的访问控制策略考虑因素。企业还必须对数据库、数据、计算机网络、应用程序、内部系统、基于云的系统和外部软件访问实施访问控制。
您知道吗?物理访问控制考虑因素包括锁门、建筑区域访问以及是否使用故障安全锁或故障安全锁。
您如何确定访问权限?
确定访问权限比“职位越高,拥有的越多”要复杂得多。例如,公司首 西班牙whatsapp 数据 席执行官对所有业务决策和战略拥有最终控制权。他们需要大量数据和移动设施的能力。
然而,CEO 通常无法访问详细的应付账款或应收账款会计系统。无法访问该领域是为了防止内部欺诈而采取的财务控制措施。
CEO 也可能无法自由进入工厂车间,因为他们缺乏培训和装备,无法在生产线和重型设备之间安全移动。同样,那些有权访问会计或制造系统的人也无法查看 CEO 的财务指标仪表盘,而且这些员工中也没有人知道公司网络路由器的密码。
仅供参考:访问控制策略的一句名言是“物物有其所,各得其位”。确定每个人的正确位置并非偶然。相反,这是深思熟虑和规划的结果。
明智的商业实践需要可预测性、风险管理、法规遵从性和流程控制。这些都是访问控制(无论是虚拟、数字还是物理)的一些好处。
虽然访问控制策略无法预测和避免每个潜在的工作场所问题,但它可以帮助企业预测和降低所面临的风险。
访问泄露可能会造成损害,包括计算机系统被勒索软件破坏、价值不菲的不动产被盗、未经授权的入侵者伤害工人或其他严重后果。更糟糕的是,访问泄露可能会导致负面宣传,从而对业务产生无限影响。
底线:全面的访问控制策略可以识别以前未考虑到的风险,制定应急和潜在补救计划,并通过预防抵消不必要的危险和成本。
访问控制策略应该包括什么?
最简单也是最具挑战性的答案是:一切。业务运营的方方面面几乎都要求进行访问审查。以下是访问控制策略中应包含的一些基本要素:
建筑物出入,包括特定区域,例如研发实验室、仓库、装运码头、每扇可上锁的门、电话和配电板杂物间、停车场、食品准备区、储藏区、服务器机房、计算机系统设施、行政办公室,甚至办公桌高度可上锁的抽屉。出入还包括监控,其中可能包括运动检测器和摄像机。
计算机、通信和其他数字基础设施。这包括考虑人们应该有权访问哪些设备、系统、应用程序和服务。还要确定谁被允许从云端订购计算服务及其限制,这些限制可以是预算限制,也可以是基于角色的限制。