贵公司的身份和访问管理是否不受控制？答案取决于您所指的是什么控制。

如果您热衷于安全控制，那么很幸运，因为有大量方案可选。但也存在另外一种情况，如美国系统网络安全协会（SANS）在用自己的重要安全控件努力遏制各种协会和机构大肆扩散控制模型和指南。

归根结底，在现有的控制是否足够这一问题上，如何判断要靠每个组织通过企业、IT专业人士和审计师之间的协作自行做出决定。SANS的重要安全控件对于安全团队来说很有帮助，但是，如果想让使用不同语言的安全团队、管理人员、审计师和企业经理相互对话，事实证明很困难。更复杂的是，安全专业人士常常不把IAM归入安全问题。

安全控制的通用语言是按预防性、检测性和纠正性分类，我们也许可以通过在这一点上达成一致来开始回答我们的IAM是否不受控制。利用这一三元模型组织控件，可为不同控件组成部分间的交流提供一种更简单的方式，这对解决即将提出的问题至关重要。

预防性IAM控制和检测性IAM控制的定义

KuppingerCole分析公司创始人兼首席分析师Martin Kuppinger通过解释三元控制模型的演变过程对IAM进行了分析。按照Kuppinger的解释，IAM已经从最初的以预防性控制为主——在此我们在目标系统中管理用户及其权限——扩展到了使用“访问管理”的检测性控制。

“访问管理”中的访问权限重新认证程序能够对不当权限进行人工检测，但是由于企业管理人员容易不予审查草草通过且有时限（通常一年一次），这只能算是不完善的检测控制。用户行为监管可以接近实时地识别与身份不符的异常行为，以此完善检测性IAM控制。

但是无论是否使用检测性控制，问题是我们怎样才能缩短检测异常现象的反应时间，因为这些异常现象有可能是违规的信号。

增加纠正性IAM控制

在自己构建的模型中，Kuppinger认为下一步顺理成章应该采取纠正性IAM控制。

公平地说，我们已经采取了人工的纠正性IAM控制。例如，如果一位企业用户离开了公司，而她的一项权限在退出过程被漏掉了，那么我们可以依靠访问权限重新认证程序进行查证，纠正性控制通常是撤销访问权限的法宝。

但是，我们有关纠正性IAM控制的设想是使其更加自动化－－鉴于外部威胁的不断增加，这也是必然趋势。另外，不断变化的商业技术也应扩大内涵，涵盖合作伙伴、承包商和客户等在云端或通过设备访问敏感数据的需要。依赖人工操作所获的响应速度和采取的必要的纠正措施将不足以应对未来不断扩大的威胁和攻击面。