BNP Paribas Bank Polska 降低網路風險並提升自動化
BNP Paribas Bank Polska 是一家波蘭銀行,創立於 1975 年,隸屬於 BNP Paribas 銀行集團;該集團業務遍及 64 個國家。該行提供財富管理服務,並為零售客戶與企業客戶提供金融服務,涵蓋微型、小型與中型企業(MSME)及企業金融等業務範疇。
挑戰
BNP Paribas Bank Polska 因多次併購整合,需將併入銀行的各實體納入一致的管理架構,整合難度隨之提升。同時,銀行也需要一套工具,協助整併大量資料。其首要目標是在簡化並最佳化身分識別與存取管理(IAM)流程的同時,至少維持、並盡可能提升整體安全水準。
解決方案
BNP Paribas Bank Polska 與 SailPoint 合作逾 10 年,逐步建立成熟且可靠的 IAM 計畫,覆蓋業務各環節,影響組織內每一位員工。如今,近乎 100% 的存取申請皆可自動化處理,並可在員工到職第一天完成使用者佈建。每月約有 40,000 項事件或任務由 SailPoint 自動化執行。
- 產業
- 金融服務業
- 公司規模
- 10,000+ 名員工
- 產品
- IdentityIQ
- 合作夥伴
- CompFort International GmbH
我們得以簡化並自動化多項作業,同時維持適當的安全性,並確保包含稽核在內的各項報告完備。SailPoint 自動化每月執行的任務量約為 40,000 件事件。
Paweł Mosurek, 身分與存取管理經理,, BNP Paribas Bank Polska
BNP Paribas Bank Polska 的營運據點遍布全國,因此必須確保具備穩健的 IT 基礎結構,以及值得信賴的身分安全解決方案。
BNP Paribas Bank Polska 身分識別與存取管理(IAM)經理 Paweł Mosurek 表示:「在擁有超過 10,000 名使用者的企業中,身分與權限管理確實極具挑戰。我們用來設計 IAM 流程的工具,必須同時兼具效率與可靠性。當員工數量龐大、每位員工都需要使用數百個應用程式與系統,並存取數千項網路 IT 資源時,選擇能確保一切順暢運作的解決方案,對我們而言更是關鍵。」
BNP Paribas Bank Polska 因併購而面臨多項「整合不同法人實體」的挑戰。在 IAM(Identity and Access Management)領域,這更是一大隱憂。由於涉及眾多應用系統身分的作業與管理,銀行也需要合適的工具,才能處理龐大的資料量及其相互依存關係。
Paweł 表示:「世界與科技持續前進,也讓各種缺失與不足逐漸浮現;同時,新機會也不斷出現。我們的工作,就是跟上這個快速變動的世界。法規有時跟不上,但我們必須隨時就緒;一旦新規上路,我們要能明確回應:在預期時程內可達成,或甚至已經完成導入。」
因此,該行為其 IAM 計畫確立了幾項關鍵原則:
- 流程必須讓終端使用者容易理解、操作簡單。
- 系統不得增加人員的工作負擔。
- IAM 團隊的職責,是協助使用者以更有效率、更快速、更便利的方式完成作業;不應變成人人抱怨、甚至設法繞過的複雜流程。
- 最重要的是,上述所有作業都必須以安全為前提——這也是資安解決方案的核心目標。
SailPoint:合作逾十年的信賴夥伴
BNP Paribas Bank Polska 最初之所以選擇 SailPoint,是因其在 Gartner《Magic Quadrant for Identity Governance and Administration》報告中名列領導者、排名居前。Paweł 回憶:「當我們評估自身需求、環境與架構時,SailPoint 幾乎是水到渠成的選擇。它與我們的 IT 架構高度契合;產品本身也非常彈性,能依需求調整。」
迄今,SailPoint 已成為 BNP Paribas Bank Polska 信賴超過 10 年的合作夥伴。在這段期間,無論是產品本身或 IAM 的推動方式都大幅演進。如今,該公司在身分識別與存取管理(Identity and Access Management)方面已達到高度成熟,員工也將 SailPoint 所提供的流程與能力視為日常運作的一部分。Paweł 表示:「這是一種自然的演進——我們一路走來、也仍在持續前進,以達成目標;同時不在過程中犧牲一項當今至關重要的要素:資安。」他補充:「我們的優先事項,是在簡化與優化 IAM 流程的同時,至少維持,最好能進一步提升整體安全水準。」
面對龐大的勞動人力、業務型態的多樣性,以及大量的 IT 資產,BNP Paribas Bank Polska 在 IAM 推動成果上,確實有理由為現況感到自豪。目前,該行透過 SailPoint 軟體管理約 600 個正式環境(production)應用程式,以及 300 個測試與開發環境應用程式。
上述應用程式合計約有 120,000 項受管理的個別權限。Paweł 的團隊也主要仰賴 Microsoft Active Directory 技術;依 Paweł 說法,這是從 SailPoint 工具層級進行使用者與存取整合、管理時最合適的技術。以下系統亦是該公司 SailPoint 整合性的核心:Active Directory、MS SQL、Lotus、I5OS(AS400),以及用於雲端管理的連接器(Azure、IBM、GCP)。
「我們的流程幾乎 100% 自動化。這點非常關鍵,因為 IAM 不只是 SailPoint;它還包含許多其他工作,且由一支規模不大、但能力出色的專家團隊負責。若沒有自動化,即使是他們也無法應付我們所面臨的規模。所幸,SailPoint 與我們的整合夥伴,提供了近乎無限的自動化可能性。」BNP Paribas Bank Polska 身分識別與存取管理經理 Paweł Mosurek
使用者每月平均產生約 800 筆申請,其中 90% 由系統自動執行。
快節奏銀行環境下的自動化規模化
目前,該銀行的新進員工到職流程已全面自動化;同時,在 Identity and Access Management(IAM)流程中,為使用者開通相關系統與角色存取權的時間縮短至 1 天內。多數情況下,員工在到職第 1 天即可啟用並投入作業。
針對 IT 部門使用者,Paweł 團隊依循符合 NIST 最佳實務的原則,建立額外的網域帳號,並套用不同的密碼原則與權限設定。使用者可在友善且清楚的介面中管理上述內容。近年來,BNP Paribas Bank Polska 持續且積極強化 IT 系統權限與存取的盤點。
請想想看:組織內每一位員工都會受到身分安全的影響。每個月,使用者透過 SailPoint 軟體內建機制,約進行 4,000 次重設與變更密碼。在 SailPoint 工具中,BNP Paribas Bank Polska 針對其各項解決方案部署了多個連接器;其中一個連接器可確保使用者在需要重設密碼,或啟用/停用應用程式帳號時,無須致電服務台。
能自動建立不同類型的盤點活動,對整體業務至關重要。Paweł 分享:「您已經了解我們組織的規模。事實上,我們有 2 位同仁專職負責盤點流程,約投入 15% 的工時在這項工作上。我們會針對每位員工執行主管驗證,並且每年針對約 400 項 IT 資產執行資產負責人驗證。」
展望未來
Paweł 指出,特權存取管理(PAM)將是團隊的優先事項。該銀行目前正透過新增 PAM 模組來擴充 SailPoint 的能力,以支援特權存取驗證。
多年來,Paweł 團隊在權限與身分管理領域累積了大量經驗與觀察,並整理出一套最佳實務:
- 各組織的 IAM 具體步驟會因需求與情境而異,但仍可歸納出通用的黃金準則。
- 由處理權限與身分議題的單位所完成的既有研究(例如 National Institute of Standards and Technology)已證實對界定最佳實務非常有幫助。
- IAM 與 PAM 不應被視為一次性專案,而應作為已規劃與排程的長期計畫(Program)來推動。
- 不可能一次到位。必須以循序漸進的方式,逐步達成預期成熟度;過程中的各項里程碑需在計畫啟動初期就明確定義。
- 高階管理層的支持與承諾至關重要;必須由上而下釋出明確訊號,確認 IAM 規劃與企業更宏觀的使命一致。
- 務必以終端使用者為核心。由於他們是最常使用系統的一群人,系統介面與流程必須友善、直覺,並能實際提供協助。
Paweł 表示:「當然,我們必須記住這是資安議題,絕非玩票性質。如今,資訊是全球最有價值的資產,因此必須在受控的前提下加以保護。」
