IT安全部门已经开始在组织内部部署安全信息和事件管理系统（SIM），用它来监控和报告信息资产漏洞。通过分布在组织各处的扫描器，搜集违反信息策略的情况数据，然后使用一个可管理的计分软件来对整体的漏洞情况做一个风险定义和报告，然后由SIM补救这些风险。虽然它变得越来越有效，但这些技术只是作为一个早期预警雷达系统，它会在一个严重的策略违反活动发生时识别此类事件，然后由一个分类流程来验证并对该问题进行补救。
　　
　　目前的大多数SIM系统仅被设置成关注识别事件，即敏感信息试图从授权渠道流出公司域的事件。这样的报告对任何组织都很重要，但经理们还是期待SIM系统可以提供更主动的信息资产漏洞管理和控制功能，而不仅仅是报告事件，来减少欺诈活动。但是这项功能只能在人这个安全因素与现在的SIM工具提供的信息相结合之后才能实现。
　　
　　当安全经理们在组织内部寻找有用的用户授权和角色信息来和他们的SIM系统数据相结合时，他们发现最完整的信息并不是来自传统的人力资源（HR）系统，而是来自IT部门的IAM系统。与HR工具不同，这些系统是用来识别用户在组织内部扮演的角色或责任的，这样可以使用户有正确的系统和信息访问权限，方便他们履行职责。
　　
　　在过去，这样的访问是通过管理一系列权限，比较粗放的访问权利来实现的，但现在的趋势是将多种权限集中于一个基于单一角色的访问控制（RBAC）定义，这样有利于一致性和方便管理。举个例子，如果所有的WEB开发工程师都需要在相同的10个系统里拥有相同的20项权限才能完成他们的工作，相对于要管理200个权限（10个系统各有20项权限）来说，如果将所有这些权限放在一个RBAC对象上来进行控制的话，就会很方便，比如一个叫“WEB工程师”的对象，只要在帐户配置过程中使用这个单一的值来赋予或去除他们的帐号即可。通过在一个RBAC模型上使用用户身份识别和访问控制，IT人员处理用户帐号的入职、变更、离职就会更加快速，流程也极大地简化，而且会更加有效。
　　
　　联合SIM和IAM降低风险
　　
　　那么这两种迥然不同的技术是如何协同工作来降低组织的风险的呢？SIM技术是安全管理者识别违反策略活动时所使用的集中化工具。但是，为了修复一个识别的漏洞，分流过程之后，还要有核实和补救该问题的过程。这通常要求一个IT安全人士更深入地钻研所提供的信息，然后确定该活动的影响。
　　
　　这个流程通常情况下是有效的，SIM工具是用来处理信息和系统的，而不是人。在很多情况下，IT安全人员需要补救一个问题，但是他却对以下内容一无所知：某些人是否与此问题有关？他们何时被卷入此问题的？谁引起以及造成这个问题的发生？如果某些人与此问题有关，那么他们需要问一系列问题：这是一个由不满的内部人员实施的欺诈活动吗？是否是一个未被授权的人从公司外部获得了内部系统的访问权限？这是否是一件由授权用户实施的，大部分普通用户没有权限完成的事？举个例子，一个人事部的同事向外部的有利益的合作伙伴发送税务识别号码。这是否是因为开发员在编程过程中出现的错误，将敏感信息作为输入数据从一个系统发送到另一个系统？由于这样的信息并不存在于SIM系统的本地解决方案中，IT安全人员必须花时间去追踪这些信息，这样就会在决定这事件是否会给组织带来严重的风险问题上，造成不必要的延误。
　　
　　举个例子，当一个数据丢失防护（DLP）工具识别出一个安全事件，并向SIM系统报告：信用卡信息在一个信息包中被发现，此信息包正打算被传送到组织范围外部，已经被拦截。在SIM系统识别该事件发生的日期、时间、目标IP地址、源IP地址、用户名和此事件的严重度时，它并没有办法获知此次传输是由谁发起的，以及这个人是否被授权来发送这一类型的信息。通过访问组织的IAM信息，SIM系统可以获知的信息，不仅包括这个事件中被映射到这个IP地址/用户名的用户，而且它可以通过查看他们的角色来判断这是否是一个授权事件。
　　
　　这就意味着IAM技术扮演了一个向SIM系统提供信息的角色，它们加强并提供SIM系统需要的更完整的信息，有了这样高可信度的信息后，可以使事件更快地被补救。SIM技术同样也对IAM技术有益，因为它可以识别一些看起来不是很明显的事件，比如职责分离（SOD）——举个例子，用户可以访问他们自己管理的信息，或系统管理员可以在他们自己管理的系统里手动绕过授权控制。
　　
　　而且通过他们的信息渠道监控功能，SIM技术可以帮助组织监控雇员们正在做什么，甚至在应用程序被移入云技术后也可以。对于位于组织内部的一些特定的外部人员实施的信息和活动，他们也可以通过这些人在IAM系统里获得的角色予以特殊的关注。
　　
　　一家银行，3种SIM系统，超过10万个节点，每天4千万个事件
　　
　　如果要找一个更好的试验场来测试安全信息和事件管理系统的新功能，比如身份管理系统，你很难找出比纽约梅隆银行更合适的地方。
　　
　　这家全球性的金融服务公司使用三种不同的SIM产品，包括ArcSight的产品，它用来监控超过10万个节点，包括终端、服务器基础架构、网络访问控制系统、数据丢失保护、反恶意软件等等。DanielConroy是这家公司的全球安全架构副总，他说将SIM系统与IAM和其它技术整合，比如欺诈监控是SIM系统必须要走的道路，但是这些技术，特别是身份管理，必须与这些技术整合才能实现。
　　
　　IAM系统面临的挑战并不限于整合和实施问题，因为在任何大的组织中角色存在多样性，以及用户权限和访问控制具有可变性。
　　
　　“融合身份管理是它必须要走的道路，”Conroy说，“我很乐意看到SIM系统最终变得和这些工具更加互动，更具有自我意识。想象一下，你是愿意全部手工完成这些工作还是只是过去打开资产管理系统然后直接把数据拉出来呢。”