Beherrschung der 3rd-Social-Treffen-Verwaltung
Veröffentlicht: 2022-01-12
Dritte Treffen sind zu einem festen Bestandteil des Firmenlebens geworden: Auftragnehmer, vorübergehende Mitarbeiter, Berater und dergleichen. Unternehmen regulieren ihre Mitarbeiter in der Regel über das funktionsbasierte HCMS (Human Money Management Program) ihrer Personalabteilung, und sie werden üblicherweise in der Verzeichnisfirma verwaltet. Allerdings sind Drittveranstaltungen eine ganz andere Gruppe von Mitarbeitern, die Unternehmen wahrscheinlich auf unterschiedliche Weise handhaben und regulieren.
So gaben 54 % der Unternehmen in einem Bericht des Ponemon Institute zur Erreichbarkeit von 3rd-Treffen an, dass ihnen eine detaillierte Bestandsaufnahme der 3rd-Events fehlt, die Zugang zu ihrem Netzwerk haben. Außerdem gaben 65 % der Befragten an, dass ihre Unternehmen wirklich nicht wissen, welche dritten Funktionen ihre heikelsten Informationen haben. So kann es nicht weitergehen. Unternehmen müssen nur das Kommando über alle Einheiten übernehmen, die Zugriff haben, einschließlich dritter Treffen.
Das Fehlen eines dritten sozialen Versammlungsmanagements schafft Möglichkeiten
Darüber hinaus stellte der oben erwähnte Bericht fest, dass 51 % der Unternehmen einen Datenschutzverstoß durch einen dritten Schlag erlitten haben. Das Problem besteht nicht darin, dass Dritte von Natur aus unsicher sind, sondern darin, dass die Verwaltung der Identitäten von Nichtmitarbeitern, die einen internen Zugriff erfordern, eine andere Anwendung ist als die Verwaltung der Identitäten von Mitarbeitern, die Zugriff haben müssen.
3rd-Occasion-Administration ist keine disziplinierte Vorgehensweise in vielen Organisationen. Der Eintrag erfolgt in der Regel auf Anzeigen-hoc-Basis. Sie könnten einen Abschnitt haben, der das HR-Team darüber informiert, dass sie einen neuen Auftragnehmer an Bord holen, aber sie kümmern sich verteilt um die Vorgehensweise. Und nachdem der Auftragnehmer die Arbeit beendet hat, besteht keine Möglichkeit, die Personalabteilung oder die IT darüber zu informieren, dass der Auftragnehmer noch gegangen ist, damit ihre Zugänglichkeit/Konten gelöscht werden können. Oder, selbst wenn dies der Fall ist, kann das manuelle Entziehen dieses Zugriffs und das Entziehen der Bereitstellung des dritten sozialen Treffens Zeit, wenn nicht Monate dauern.
Es ist eine Herausforderung für die Personalabteilung, ebenso wie für IT- und Sicherheitsteams, zu wissen, was mit 3rd-Treffen auf uns zukommt, wenn es keinen fokussierten, zentralisierten Aufzeichnungsprozess gibt. Was ist zum Beispiel, wenn ein Auftragnehmer verlängert bleibt? Wie lange dauert diese Verlängerung? Wurde die Vereinbarung früher als geplant abgeschlossen und niemand benachrichtigt? Diese Wissenslücken können zu Sicherheitsbedenken führen, da stehende Zugänge, die nicht mehr genutzt oder überwacht werden, einfache Ziele für Angreifer sein können.
Warum die offensichtliche Sorge nicht die Dinge korrigiert
Die HR-Technik eines Unternehmens ist im Allgemeinen für und unterstützt Vollzeitmitarbeiter gedacht, die in das Verzeichnisunternehmen aufgenommen werden. Angelegenheiten wie Gemeinschaft und Anwendung bleiben erhalten, und der Arbeitsstatus fällt in diesen Bereich. Aber in den meisten Fällen werden Auftragnehmer und andere 3rd-Funktionen aus einer Vielzahl von Gründen nicht zu diesen Methoden hinzugefügt.
Es scheint, als wäre es das Richtige, dritte Treffen in das HCMS einzubeziehen. Aber es gab eine Reihe von Gerichtsverfahren, die genau diese Strategie beinhalteten. In dem Moment, in dem ein Nicht-Mitarbeiter der internen HR-Methode angehört, wird sein Beschäftigungsstatus in Frage gestellt – das heißt, können sie noch immer rechtmäßig als unabhängige Auftragnehmer angesehen werden? Oder sind sie Mitarbeiter und fordern aus diesem Grund Leistungen, die normalerweise Vollzeitmitarbeitern vorbehalten sind?
Die Vorteile von Identity Governance und Access
Damit selbstbewusste Dritte den richtigen Zugang zu den Einheiten und Programmen haben, die sie für ihre Arbeit benötigen, benötigen Unternehmen eine leistungsstarke Identitätsverwaltung und -zugriff (IGA). Ihre Zugänglichkeit darf auch nur für das erforderliche geeignete Intervall erfolgen. Diese Strategie ist grundlegend für die Verwendung eines Designs mit den geringsten Privilegien, was normalerweise bedeutet, dass Endbenutzer nur den geringsten Grad an Zugriff haben, der für ihre Karriere erforderlich ist, und zwar nur für einen angemessenen Zeitraum. In der Regel beschränken potenzielle Kunden die Anzahl der Endbenutzer und Konten mit breiten oder erhöhten Zugriffsrechten, wodurch das Risiko von Vorfällen durch Lateral Movement und Ransomware drastisch verringert wird.
Durch den Einsatz einer vollständigen IGA-Lösung können Unternehmen die ID-Lebenszyklusprozesse für Dritte rationalisieren, was die Automatisierung von Onboarding, Offboarding, Betriebserweiterungen und Abteilungsänderungen umfasst. IGA verwaltet den Zugriff auf Assets in einer hybriden IT-Umgebung und verbessert die Audit- und Compliance-Berichterstattung, um einen sicheren Überblick über die Risiken zu haben.
Stakeholder einbeziehen und wissen, worauf es ankommt
Es geht nicht nur darum, 3rd-Treffen zu sichern – der Einsatz einer zentralisierten IGA-Lösung hilft bei der Sicherung und Kontrolle aller Identitäten. Aber das Szenario dafür zu erstellen, ist aus einer Vielzahl von Motiven ein Problem.
Es ist sehr wichtig, die Herzen und Köpfe des kritischen Managements von Beginn des IGA-Prozesses an zu gewinnen. IGA-Implementierungen, die durch Unternehmensmodelle beschrieben werden – mit Unterstützung der Geschäftsführung – sind profitabler als nur von IT gesteuerte Menschen.
Da Stabilität so normalerweise als Preiszentrum wahrgenommen wird, kann es schwierig sein, die Situation für kleine Unternehmen für IGA zu verbessern. Es gibt auch das Problem des Gesamtwerts des Besitzes (TCO). Die Führungskräfte müssen sich bei den Softwarehändlern erkundigen, wie hoch die gesamten Kosten sein werden, sowohl kurzfristig als auch langfristig. Time-to-Value ist eine weitere Überlegung, da IGA schnell funktionieren sollte, um gleichzeitig seine Stabilität zu demonstrieren und zu verhindern, dass es in einer unbegrenzten Einrichtung versinkt. Vorzugsweise muss ein IGA-Beschluss in weniger als 12 Wochen einen Wert liefern.
Konfigurierbarkeit und Skalierbarkeit sind während des gesamten Evaluierungsansatzes für IGA-Alternativen von entscheidender Bedeutung. Während frühere Implementierungen auf kundenspezifische Anpassungen abzielten, liegen die Prioritäten heute in der Konfiguration und Systemausrichtung auf ideale Techniken. Als Belohnung wird dieser Gesichtspunkt die TCO merklich verringern.
Auch die Klassifizierung von Infotypen ist entscheidend. Diese Funktion verbessert die Verwaltung und Berichterstellung auf Geräten mit sensiblen oder für die DSGVO-Konformität erforderlichen Informationen, die nur für Teilmengen von Drittereignissen erforderlich sein sollten. Datenklassifizierungsfunktionen verbessern die Standardverwaltung und -übersicht von Datenbeständen erheblich und ermöglichen faktenabhängige Entscheidungen und Schlussfolgerungen. Suchen Sie nach der Möglichkeit, Passwörter bequem zu ändern, ohne mit einem Support-Desk sprechen zu müssen, und Passwörter über alle zugehörigen Anwendungen hinweg zu synchronisieren, sodass Benutzer nur ein Passwort im Auge behalten sollten.
Risiko reduzieren
Unternehmen verlassen sich inzwischen auf 3rd Events, um sie dabei zu unterstützen, die Lücken zu schließen und bestimmte Formen von Anbietern bereitzustellen. Dennoch kann ihre Präsenz in der Gemeinschaft ein Schutzrisiko darstellen, wenn sie nicht effizient verwaltet wird. Mehrere Unternehmen sind bei der Bereitstellung und Deaktivierung des Zugriffs auf interne Mittel willkürlich vorgegangen, aber IGA präsentiert weniger komplizierte und reibungslosere Verfahren, um einige dieser Arbeiten gut zu automatisieren. Die IGA bietet Unternehmen die Möglichkeit, den Eintritt für alle Drittveranstaltungen über ihre Betriebszugehörigkeit regelmäßig automatisiert zu erledigen. Ein solcher Prozess kann dazu beitragen, sowohl diese internen als auch externen Bedrohungen für die Gemeinschaft und ihre Vermögenswerte zu verringern.
Rod Simmons, Vizepräsident des Gegenstandssystems, Omada