对于信息安全团队来说，今年是内部过程改进方面进行“收拾整顿”的一年。特别是对于金融服务机构来说，跟过去持平或消减的预算已迫使他们的安全团队利用这段时间来加强流程管理，并提高内部的效率。

　　在我们看来，银行和保险企业最显著的改进是他们已迈入了基于角色的访问控制（RBAC）领域。过去几年，在整个访问控制管理过程中安全团队改进最多的是调节和升级RBAC的硬件和软件基础设施。但是这种技术升级在2009年无法实现，用户角色管理的灵活运用则成了焦点。

　　马萨诸塞州一家大型保险公司的RBAC经理说：“当我们把想法付诸行动之后，我们发现通过尽可能减少管理的角色数量，可以显著降低系统的复杂性和运行成本。我们抽出了一段时间来分析今年一直在做什么，我们意识到：我们没有努力把角色跟实际所做的工作统一起来，结果导致我们面临‘角色泛滥（role sprawl）’的局面，这使得我们的管理成本变得非常高昂。”

　　像所有的金融服务需要的安全控制一样，RBAC的配置几乎涉及到了所有高价值的人群、资源和功能。金融服务公司很特殊，人力资产（经纪人、银行家、销售人员、管理人员）必须要保持高效运转，但在进入高价值系统之前还必须进行充分地验证。角色泛滥意味着更多的特殊角色需要管理和升级，需要更多的时间来制定日常事务的变动。这增加了IT部门跟负责日常业务运行的部门之间故有的矛盾。

　　这位RBAC经理说：“清理角色对我们的团队来说有两个很大的好处。首先，它让我们通过一个非常可信和有意义的方式处理业务运行，这样可以很好的展示业务控制的价值。其次，它通过减少管理系统的人数降低了我们的运行成本。”

　　但是，他补充说，“虽然应该让特殊角色的数量尽可能的少，但是也不能太少。”大多数团队正试图在访问控制管理中为角色数量寻找一个平衡点。

　　那么，你怎么知道什么情况下你的角色数量太多，而什么情况下角色数量已经达到一个最优点了呢？这里有三个步骤，能够帮助你实现高效的基于角色的访问控制。

　　步骤1：在运营部门内寻找共同的访问模式。一般来说，IT团队让运营部门根据职位和职能设置他们的角色。这样就没有减少角色数量的理由，而且每个人都认为他们的访问权应被视为是独一无二的，因为他们工作的方式同样如此。你可以通过推广共同访问模式来提高效率，并敦促该部门规范自己的角色。作为回报，他们的工作延误会因未来的改革而相应减少。

　　步骤2：寻找跨运营部门的共通工作流程。根据第1个步骤的数据，您可以找出各个部门共通的工作流程（访问模式）。把两个业务部门中的相同角色合并成一个，可以显著提高工作效率。

　　步骤3：考虑采用一个服务模型。每个企业都有一个或者两个运营部门，需要信息安全团队把大部分注意力放在上面。采取这样一个服务模型，在这个模型中RBAC服务是根据长期以来管理（或者变化）的角色数量对每个部门进行收费，这在业务规模扩大时可以节省开支，并能根据使用情况来分配成本。

　　金融服务全新的关键指标是企业中每千个员工中需要管理的角色数量。然而，现在提出一个可靠的基准还为时尚早，而且每个企业在管理方式上都有自己独特的特点。不管怎样，如果你的管理情况跟大多数的企业一样，那么角色减少肯定会给你的企业带来许多好处。