2025年身份治理现状

执行摘要 为了了解大型组织中身份治理的现状，奥姆达调查了500多位IT和商业领袖。调查涵盖负责身份治理、访问管理、合规性、网络安全以及整体IT管理的专业人士，为2025年身份治理（IGA）的现状提供了宝贵见解。 研究揭示： –机构在网络安全方面的投入越来越多：九成受访者表示，他们所在组织负责IT安全的团队/资源比去年得到了更多资金支持。同时，超过6成（64.4%）的受访者表示，他们购买了网络责任保险，以帮助抵消数据泄露带来的成本。 –组织在IGA投资方面仍然面临挑战：近四成组织尚未部署基于SaaS的IGA，尽管他们认识到需要现代化解决方案。更重要的是，近60%的受访者将限制性总体拥有成本（TCO）视为当前IGA解决方案的主要不足之处。 –人工智能和自动化是选择IGA解决方案的重要标准：超过一半的受访者将耗时的人工流程列为推动其组织IGA投资的首要或第二大问题。因此，AI和自动化成为领导者在评估潜在解决方案时寻找的关键属性，其中生成式AI功能成为最重要的标准。 关键发现：《2025年身份治理状况》 信息技术安全投资持续增长 IT安全支出正在增加，近90%的受访者表示，在过去一年中他们的安全团队和资源得到了增加的资金支持。这一趋势反映了网络安全在当今商业环境中的日益重要性。 组织可能因部分原因在IT安全方面的支出增加，这些原因包括由于数据泄露导致损失比例更高，尤其是在维护大量敏感数据行业的公司。例如，国际货币基金组织*报告称，自2017年以来，金融部门由于网络安全的损失规模已超过四倍，达到25亿美元。此外，数据显示，大多数组织对其需要提高的能力以及这些改进如何影响流程效率和投资回报有明确的看法。 网络责任保险日益受到关注 随着数据泄露成本上升，许多组织正转向购买网络责任保险。超过六成的受访者（64.4%）表示，他们的组织正在投资网络责任保险以抵消数据泄露的成本。鉴于与数据泄露相关的财务损失增加，这一趋势是可以理解的。然而，Network Assured**的最新发现表明，只有19%的企业为超过60万美元美元的安全事件购买了保险。由于遭受数据泄露的企业平均支付的赎金超过80万美元美元，许多企业可能会发现自己保险不足。为了应对这些风险，保险公司越来越要求采取更严格的网络安全措施，包括加强访问控制、稳健的认证协议和明确的身份治理计划——所有这些行动都体现了组织满足保险公司安全要求的承诺。 效率提升的需求推动IGA投资 耗时的人工流程和复杂的访问治理是推动IGA投资的关键商业问题。 超过六成的受访者（61.2%）将耗时的人工流程视为推动其组织IGA投资的最重要或第二重要问题。这表明，对于大多数组织来说，身份生命周期管理以及容易出现错误的用户入职、离职和用户访问管理都是持续性的挑战。此外，超过六成的受访者（64.4%）表示，复杂的访问治理，即跨各种系统管理用户权限的繁琐流程，是他们希望通过投资IGA解决方案解决的问题之一。 引用外部参考文献*《日益增长的网络安全威胁对金融稳定构成严重关切》国际货币基金组织参考资料，IMF博客，2024年4月9日 https://www.imf.org/en/Bl IGA挑战凸显了更高效解决方案的需求 组织在使用当前的身份治理（IGA）解决方案时面临重大障碍，包括高昂的总拥有成本（TCO）、复杂的定制需求和确保适当用户访问控制的困难。这些不足正在推动对更高效、更灵活的IGA解决方案的需求。 近60%的受访者将限制性TTCO视为他们当前IGA方案的主要缺陷。这表明他们认为对现有解决方案进行升级耗时长或需要他们所没有的资源。超过一半的人表示，开发和所需的技能以对IGA方案进行定制化支持是一个巨大的差距。近46%的人声称，在他们的当前IGA解决方案中，困难在于确保用户有权访问适当的系统和数据以及无法自动实现访问控制比较访问权限是现有功能缺失。 提高通过高级IGA功能实现的回报率 基于角色的访问控制（RBAC）、增强的访问可见性和用户行为洞察是IGA解决方案中至关重要的功能，可以显著提升投资回报率（ROI）。提供这些能力的基于云的平台尤其适合现代企业。 当被问及哪些功能最能提高其组织在IGA投资上的回报时，56.8%的受访者提到了基于云的用户访问控制，如RBAC。这些发现表明，许多组织通过采用能够增强本地、云、多云和混合环境访问控制的基于云的IGA解决方案，将获得显著的底线收益。 当前的身份安全状况 大多数受访者表示，身份安全是他们组织的一个优先事项，他们的安全团队正在获得更多的资金。与此同时，对与身份相关的网络安全风险的担忧似乎比去年稍微不那么紧迫了。 绝大多数（95%）的调查受访者认为，身份安全是他们组织网络安全策略的关键组成部分，其中64.5%的人表示他们强烈同意。 超过86%的IT专业人士和商业领袖在调查中表示，他们的组织对身份相关安全风险的担忧，其中46.8%的人表示非常担忧。2024年身份治理现状超过90%的受访者表示他们对这些风险感到担忧，其中61.4%的人在去年表示非常担忧。 过度访问权限仍然是IT和商业领导者的关注焦点 有些人在我的组织中可以访问他们不需要访问的系统和应用，或者拥有过于宽松的账户，这造成了不必要的风险。 调查揭示，73.9%的受访者强烈或在一定程度上同意，他们所在组织的人有权访问他们不需要的系统和应用，这些过度宽容的账户造成了不必要的风险。这一比例略高于受访者之前报告的数字。2024年身份治理现状70.9%，这或许表明之前提到的当前IGA解决方案中的差距正在导致更有效的用户访问控制不足，并且让更多的人拥有超额权限。 超过八成的受访者同意，他们所在组织的核心安全能力在实时识别异常用户行为方面是足够的，这使组织能够相应地采取行动和适应。 尽管报告了他们在组织IGA系统中的报告差距和不足，受访者仍对其执行关键安全能力的能力保持信心，例如识别异常用户行为（89%）、适应新的业务条件（83.7%）和合规报告（85.3%）。然而，超过70%的受访者报告称，一些用户有权无限制地访问他们的IT基础设施，这突显了在这些核心竞争力上的信心与持续存在的过度自由访问风险之间的差距。虽然许多组织认为他们能够有效检测威胁并应对不断变化的要求，但过度自由访问的持续问题表明，加强访问控制以降低不必要的风险仍然是一个挑战。 效率与合规 效率在组织如何管理访问和维护合规性方面发挥着关键作用。随着数据隐私和行业特定要求的加强，许多企业正在优先考虑自动化身份生命周期管理，以取代耗时的人工流程。 关键因素推动IGA投资 无法自动化关键IGA流程，如身份生命周期管理，这在当前IGA解决方案中被广泛视为缺陷，填补这一差距正推动IGA投资。 当被问及他们的IT团队和资源是否比前一年得到更好的资金支持时，89%的受访者表示是；其中超过一半的人强烈认同他们的团队资金支持更好。 反思现有的IGA解决方案，您认为最大的三个差距/不足是什么？ 耗时升级和复杂的现有IGA解决方案定制（限制了TCO 58.8%），调动技能和管理开发工作以支持现有解决方案的负担（51.6%），以及自动化访问控制以及将当前状态下的访问权限和账户与期望状态进行比较以确保用户拥有适当的系统访问和数据访问权限的困难（45.8%）被受访者列为在有效管理身份安全方面的三大差距。 保持竞争优势：云基础和AI驱动型内部审计解决方案的需求 尽管自动化IGA功能并提高效率的需求日益增长，但近四分之三的组织仍未部署基于SaaS的现代化IGA解决方案。 组织认识到需要通过现代方法——如转向基于云的解决方案和纳入生成式AI——来改善IGA，但许多组织仍然依赖于传统的或自建的系统。这表明需要一个变革的环境：最具影响力的改进，如更直观的角色访问控制和更好的用户行为洞察，可能只有在故意远离旧有、复杂的设置之后才能实现。这种转变可以通过减少手动流程、复杂的定制和耗时的升级来降低总体TCO。 今天，26.9%的受访者表示，他们的组织仍在使用不支持现代认证开放标准的遗留IGA解决方案，另外12%仍在使用内部开发的IGA解决方案。这些数据与之前报告的数据并没有显著差异。国家身份治理状况2024年，27.3％的受访者表示正在使用传统集成政务系统，14.8％的人士正在使用自编的集成政务系统。 然而，在使用传统或内部开发的IGA系统与使用现代IGA解决方案的人的问卷调查中，存在一些显著差异。使用传统和内部开发解决方案的受访者中，有22.9%的人认为管理低效的手动入职、离职和用户访问是推动IGA投资的关键业务问题，比使用基于现代SaaS解决方案的同行高。有23.5%的人表示，提高云/多云/混合云基础设施的用户访问可见性将是增加其组织IGA投资回报率的关键功能。有20.9%的人认为，在评估新的IGA解决方案时，基于SaaS的服务是其寻求的关键特征。有17.7%的人同意，他们组织的人拥有过度的权限访问，造成了不必要的风险。 The Future of IGA: Trends to WatchIGA的未来：值得关注的 云基础角色访问控制（RBAC）发现、提高云基础设施中用户访问的可见性，以及通过用户行为活动改善决策，这些功能位列“愿望清单”，将带来最佳的IGA投资回报率。 随着更多敏感数据和应用程序迁移到云托管环境，受访者坚称，通过改进基于角色的访问控制（RBAC）和云资源及行为活动功能的可见性，以及能够使他们更好地做出决策和增强政策定义的功能，他们的组织将获得最大的投资回报。获得这些特定功能无疑将对弥合许多组织目前使用的身份治理和访问管理（IGA）解决方案中的性能不足产生积极影响。 评估新的IGA解决方案 在评估新的身份治理（IGA）解决方案时，组织越来越倾向于寻求适应性、连通性、自动化和生成式AI功能。 为了解决现有的功能差距，受访者表示，新的IGA解决方案必须能够适应特定组织的需求（占比60.4%），自动化核心的IGA政策（占比50.2%），并且无缝连接到其它应用程序和环境（占比56.2%）。此外，有超过一半的受访者（占比51.2%）报告称，在使用生成式AI评估新的IG解决方案时，这种技术对他们至关重要。 受访者表示，在使用IGA方案中的Gen AI辅助工具时，提高终端用户的效率是首要成果。 当被问及是否通过整合用户行为活动来改进决策、更好地告知决策并增强政策定义的能力是提高其组织IGA投资回报率的主要特性时，31.5%的受访者表示是。受访者还断言，能提供商业背景和情报的通用人工智能助手，在关键的决策时刻，如审批和访问审核，可以有助于提高最终用户的生产力和在IGA解决方案中创造高价值。受访者看重的其他通用人工智能功能还包括缩短将应用程序上线所需时间（19.1%）和改进报告分析（10.6%）。 结论：这些发现对于IGA现状的启示 IT安全资金有所改善，但许多组织在总体拥有成本（TCO）方面仍面临挑战。随着业务流程变得更加复杂，大多数使用现有解决方案的组织被迫投入额外资金进行耗时升级和定制化项目。基于现代SaaS的IGA解决方案能够适应组织的特定需求，无需定制化工作即可连接到云环境中的外部系统，从而保持总拥有成本低。 尽管绝大多数组织对其核心身份安全能力充满信心，但过度授权和对敏感资源的非必要访问仍然是一个挑战。 组织历史上一直专注于减轻外部来源的威胁，但安全专家的谚语“大多数黑客不是入侵，而是登录”仍然适用。对于身份安全团队来说，拥有访问控制和身份治理流程至关重要，以确保其组织IT基础设施的用户只能获得完成工作所需的访问权限，并且仅限于所需的时间。最小权限原则对于减轻诸如用户凭证泄露和特权账户滥用等威胁至关重要。 人工流程必须被自动化取代。数据强烈表明，组织在可持续用户生命周期管理方面正面临挑战。随着组织将更多应用程序和敏感数据迁移到云端环境，手动管理各系统间的用户权限将变得更加繁琐，而对现有解决方案进行定制以支持这些流程的自动化将效果较差；因此，实施基于现代SaaS的IGA解决方案成