2016년 10월 5일 수요일

계정 및 권한 관리? 재인증 프로세스 있나요?

시큐리티플러스의 보안 원포인트 레슨(One Point Lesson)

- 계정 및 권한 관리? 재인증 프로세스 있나요?

   각종 법 규제 사항에 보면, 비즈니스 목적에 맞게 최소한의 계정과 접근 권한을 부여하도록 명시되어 있습니다. 그러나, 비즈니스는 항상 변화하고 있고, 변화하지 않고, 처음 신청한 대로 고정되어 있는 계정과 접근 권한은 비즈니스 목적에 맞게 최소한의 계정과 접근 권한으로 되어 있다고 보증할 수 있을까요?
   이런 이유 때문에 해외 선도 기업에서는 분기마다, 반기마다, 해마다 시스템 접근, 계정, 접근 권한에 대해 비즈니스 목적에 맞는지 해당 소유자와 비즈니스 소유자에게 필요 여부를 묻는 프로세스가 있습니다. 바로 재인증(Recertification) 프로세스인데요. 국내 계정 및 권한 프로세스에 있어서 가장 부족한 부분이 바로 재인증 프로세스 입니다. 지금 임직원에게 보유하고 있는 계정과 권한에 대해 필요 여부를 확인해 보는 건 어떨까요?
   확인은 필요 여부를 묻는 방법(회신이 없을 시, 삭제 등 조치)과 불필요(회신 시, 삭제 등 조치) 여부를 묻는 두 가지 방법이 있다는 것도 잊지 마시구요. ^^