모든 ID 거버넌스 논의는 결국 아무도 신뢰하지 않는 액세스 검토, 고무 도장만 찍는 인증, 항상 한 발 뒤처지는 것 같은 관리자의 불만이라는 동일한 문제로 귀결됩니다. 경영진은 상황을 살펴보고 조직에 더 나은 IGA 전략이 필요하다는 결론을 내립니다. 새로운 프로세스. 더 강력한 정책. 거버넌스 강화.
하지만 거버넌스 의도는 대개 괜찮습니다. 문제는 그 밑에 있는 데이터입니다.
ID 거버넌스 프레임워크가 처음 설계되었을 때, 평균적인 기업에서는 수백 개의 애플리케이션과 관리 가능한 수의 사용자 계정을 관리했습니다. 액세스 검토는 지루했지만 추적 가능한 작업이었습니다. 관리자는 노력을 기울이면 누가 무엇을 왜 필요로 하는지에 대한 의미 있는 컨텍스트를 개발할 수 있었습니다.
그런 세상은 더 이상 존재하지 않습니다.
금융 서비스, 정부 기관 및 고수준 보안 보장 조직은 SaaS, 하이브리드 및 온프레미스 환경에 걸쳐 수천 개의 애플리케이션을 일상적으로 관리합니다. 이러한 애플리케이션 내부의 권한은 수백만 개에 달합니다. 모든 사용자는 수년간의 역할 변경, 프로젝트 할당, 조직 구조 개편을 통해 축적된 액세스 결정의 흔적을 가지고 있습니다. 그리고 매일 새로운 계정, 새로운 권한, 새로운 역할, 새로운 위험이 추가되면서 그 흔적은 지속적으로 증가합니다.
현재 조직이 생성하는 ID 데이터의 양은 사람이 의미 있게 처리할 수 있는 양을 초과합니다. 이것은 노력이나 주의의 부족이 아닙니다. 이는 수학적인 문제입니다.
ID 거버넌스 관리를 담당하는 사람들은 효과적인 의사 결정이 거의 불가능한 조건에서 업무를 수행하고 있습니다.
알림 대기열은 지속적으로 과부하 상태입니다. 각 플래그마다 분류가 필요하지만, 많은 양의 알림이 조사되었기 때문이 아니라 조사할 대역폭이 없기 때문에 많은 알림이 연기되거나 해제된다는 것을 의미합니다. 프로비저닝 요청이 쌓입니다. 자신 있게 행동할 수 있는 충분한 컨텍스트 없이 접속 이상 징후가 드러납니다. 그 결과 시스템이 정상적으로 작동하는 것처럼 보이지만 실제로는 가정과 백로그에 의해 실행되고 있습니다.
관리자가 거버넌스에 실패하는 것은 아닙니다. 관리자들은 데이터 환경을 관리하도록 설계된 도구보다 더 빠른 속도로 변화하는 데이터 환경에 압도당하고 있을 뿐입니다.
액세스 인증 캠페인은 비슷한 구조적 문제에 직면하지만, 그 양상은 다르게 드러납니다.
관리자가 직속 상사의 액세스 권한을 인증하라는 요청을 받으면 일반적으로 권한 목록과 함께 승인 또는 취소라는 두 가지 선택 항목이 표시됩니다.
이들에게 제공되지 않는 것은 그 결정을 의미 있게 만들 수 있는 맥락입니다. 이 액세스 권한이 해당 사용자의 현재 역할과 여전히 일치하는가? 최근에 사용된 적이 있나요? 동료 그룹에 비해 상대적으로 높은 위험을 나타내는가? 현재 액세스 프로필에 포함된 정책 위반 사항이 표시에서 즉시 드러나지 않나요?
이러한 맥락이 없으면 검토자는 이성적인 사람들이 하는 것처럼 승인을 하게 됩니다. 액세스가 적절해서가 아니라 필요한 액세스를 취소하면 즉각적이고 눈에 보이는 고통이 발생하고, 부적절한 액세스를 그대로 두면 위험이 확산되고 지연되기 때문입니다.
오늘날 대부분의 인증 프로세스는 인사이트가 아닌 데이터를 생성합니다. 그리고 인사이트 없이 내린 결정은 거버넌스가 아닙니다. 서류 작업일 뿐입니다.
데이터 문제에 대한 해결책은 더 많은 프로세스가 아닙니다. 이미 존재하는 데이터에 더 나은 인텔리전스를 적용하는 것입니다.
AI 기반 ID 거버넌스는 수백만 개의 자격에 대한 패턴을 동시에 분석하고, 동료 행동과 관련된 이상 징후를 식별하고, 휴면 또는 과도한 액세스를 표시하고, 의미 있는 위험이 있는 특정 항목을 표시하는 등 인간 검토자가 할 수 없는 작업을 수행하여 규모 문제를 직접 해결합니다.
관리자에게는 도착 시간이 아닌 실제 위험 신호에 따라 우선순위가 지정된 알림 대기열을 의미합니다. 검토자에게는 각 결정과 함께 컨텍스트를 표시하는 인증 캠페인을 의미하므로 승인 및 취소가 본능이 아닌 이해에 근거하여 이루어집니다. 금융, 정부 및 고수준 보안 보장 조직의 경우 거버넌스 활동이 가장 중요한 곳에 집중된다는 것을 의미합니다.
AI는 ID 거버넌스에서 인간의 판단을 대체하지 않습니다. 다른 모든 접근 방식을 압도하는 데이터 처리를 처리함으로써 인간의 판단을 다시 가능하게 합니다.
ID 거버넌스에 가장 큰 어려움을 겪고 있는 조직은 정책이 부족해서 어려움을 겪는 것이 아닙니다. 데이터 환경이 데이터에 대응할 수 있는 능력을 넘어서서 확장되었기 때문에 어려움을 겪고 있습니다.
이러한 맥락에서 AI는 프리미엄 기능이나 미래의 고려 사항이 아닙니다. 현대 기업이 운영하는 규모에서 AI는 ID 거버넌스가 제대로 작동하기 위한 전제 조건입니다.
인증이 형식적으로 느껴지고, 관리자가 항상 반응하는 것처럼 느껴지고, 액세스 검토에서 신뢰도가 낮은 결정이 나온다면 거버넌스 프로그램에 문제가 없는지 살펴볼 필요가 있습니다.
아무도 들을 수 없는 대역폭을 가진 데이터가 말하고자 하는 것이 바로 데이터입니다. 데이터가 말하고자 하는 바를 들어볼 준비가 되셨나요? 웨비나에 참여하세요, 대규모로 ID 거버넌스가 중단되는 이유와 AI가 이를 해결하는 방법, 를 통해 잡음을 차단하고 실제 위험을 드러내며 실제로 지속 가능한 결정을 내리는 방법을 실용적으로 살펴보세요.
