今年1月，法國數據監管機構對谷歌進行了近6,000萬美元的罰款，這是歐洲機構發布的最大罰款，也是歐洲通用數據保護條例（GDPR）的第一例。然而，由于政府和個人越來越期望更強大的數據安全和隱私政策，因此不太可能是最后一次。

在最近對200位高級技術高管進行的福布斯洞察調查中，85％的人表示GDPR將對他們的組織產生影響。商業和安全領導者現在占據了一個世界，其中包含許多復雜的政府和行業法律，旨在加強安全和隱私問題。這些問題的核心是數據管理 - 核心優先級歸結為身份和訪問：能夠為整個企業范圍內的所有用戶實時清點和分析訪問權限，并能夠理解和驗證誰可以訪問哪些數據，應用程序和系統 - 以及用戶何時以及為何獲得訪問權限。

挑戰：威脅與合規

首席信息安全官（CISO）和其他IT領導者面臨的不僅僅是數字化轉型帶來的復雜威脅形勢：強大的AI現在可以被武器化（想想自治僵尸網絡）;?勞動力越來越移動，隨時隨地訪問數據，應用程序和系統;?而物聯網（IoT）正在擴展。合規性格局是一個平等的挑戰，一些領導者并不完全理解。事實上，福布斯洞察調查發現，只有32％的受訪高管將安全性和合規性視為捆綁在一起 - 而且近50％的人認為（錯誤地）將其視為單獨的問題。

但安全性和合規性不是單獨的問題。身份治理從陰影中脫穎而出，成為這兩個命令的主要推動者，這是有充分理由的。在物聯網世界中，隨著分散的勞動力，企業周邊變得多孔。這種方法是零信任 - 換句話說，不要對所有工人，合作伙伴和其他利益相關者的組織完整性做出任何假設。安全專家現在都敏銳地意識到，大多數違規從特權失敗或組織內部濫用發起，但它是具有挑戰性的他們，以確保工人和其他用戶有符合商務訪問級別和法規遵從策略。

已經存在的有關數據完整性和隱私的規定旨在防止可能違反消費者隱私或降低信息資產完整性的違規行為。僅僅因為這個原因，企業必須確保擁有數十或數十萬演員的身份環境。例如，金融服務或醫療保健領域的首席信息安全官分別專注于SOX（薩班斯 - 奧克斯利法案）和HIPAA（健康保險流通與責任法案）等法規。不充分管理用戶訪問的后果會增加風險，遠遠超出違規行為;?它們包括破壞，欺詐，代價高昂的合規違規和審計失敗。

然而，只有33％的受訪高管意識到身份治理解決方案為監管機構提供了合規性證明。現實情況是：擁有強大身份計劃的企業將通過擴展來控制他們腳下的復雜監管地形。但是怎么樣？

解決方案：可見性和平衡

始終了解和控制誰可以訪問哪些信息 - 以及他們何時以及為何訪問數據 - 是組織所需的透明度和風險管理，以保護自己并保持合規性。它是全能的和可持續的，這意味著它不是兼職或部分解決方案;?它整合了整個業務并“永遠在線”。

您如何實現可持續合規？首先評估您當前的準備狀態。將您的所有用戶和訪問信息放入一個存儲庫（或數據湖）中，并梳理數據以查看準確度。解決所有身份數據源的不一致問題，以獲得完整的企業級訪問環境圖。您現在有一個基準，可以從中消除不準確或不適當的訪問權限，并繼續進行認證，實施以及用戶的配置和取消配置。您正在獲得對訪問權的控制權。

接下來，根據定義的訪問策略，角色和風險參數構建身份策略模型（以加強檢測和預防控制），以便它反映組織面臨的業務和法規要求。構建模型后，您可以自動化流程以檢測威脅或異常，并執行由事件觸發的訪問審核，例如職位或經理變更。現在，您的組織可以掃描身份數據，分析身份數據并檢測任何問題。復雜的環境變得簡化，使安全領導者能夠清楚地看到潛在的風險并采取行動。你完全掌控著。

太多的組織專注于通過根據不合規問題進行檢測，然后修復它們。最好的方法是平衡的方法，其中包括預防性控制措施，以防止違規行為首先滲透到環境中。這種組合使公司能夠達到完全合規的狀態并留在那里。

成為一體：安全性和合規性的好處

可見性和控制力來自于清楚地看到復雜的安全領域，并預測將要發生的事情。但是你必須能夠重復檢測和預防和解決過程。這就是可持續合規的含義。能夠在自動化流程中快速標記問題并立即以文檔化和可報告的方式解決問題的組織將從中受益。是的，該組織將避免數百萬美元的罰款和罰款，但它還將通過替換手動流程和添加自助服務來提高效率，使管理人員和最終用戶能夠即時進行更改。安全性和合規性成為一體。