第3回懇親会の運営を手に入れる
公開: 2022-01-12
請負業者、臨時職員、コンサルタントなど、3番目の集まりは会社の生涯の定番になりました。 企業は通常、人事部門の機能構築されたHCMS(人的資金管理プログラム)の結果としてスタッフを規制し、通常はディレクトリ会社で管理されます。 そうは言っても、3番目のイベントは、企業がさまざまな方法で処理および規制する可能性が高い完全な他のスタッフグループです。
要するに、ポネモンインスティテュートの企業の54%が、遠方のアクセシビリティについて報告しています。彼らは、ネットワークへのアクセシビリティを持つ3番目のイベントの詳細な在庫が不足していると述べています。 また、回答者の65%は、自分のビジネスが最もデリケートな情報を取得した3番目の機能を本当に知らないと述べています。 これを続けることはできません。 企業は、3回目の集まりを含め、アクセス権を持つすべてのエンティティを指揮する必要があります。
第三の懇親会管理の欠如は可能性を生み出す
さらに、上記のレポートでは、51%の企業が3回目のbashによって引き起こされた情報侵害の専門家を抱えていることがわかりました。 問題は、本質的にサードパーティが本質的に安全でないということではなく、内部アクセスを必要とする非従業員IDの管理は、アクセスが必要な従業員のIDの管理よりも明確に適用されるということです。
3回目の管理は、多くの組織の間で統制のとれた行動方針ではありません。 エントリーは通常、広告の場で提供されます。 新しい請負業者を採用することをHRチームに通知するセクションを1つ作成することもできますが、彼らは分散して行動の過程を処理しています。 そして、請負業者が作業を終えた後、請負業者がまだ残っていることをHRまたはITに通知する必要がないため、アクセス可能性/アカウントを排除できます。 または、そうである場合でも、そのアクセスを手動で削除し、3回目の懇親会のプロビジョニングを解除すると、数か月ではないにしても、時間がかかる可能性があります。
集中的で一元化された記録プロセスがない場合、ITチームや安全チームと同様に、HR部門にとって、3回目の集まりで何が進んでいるのかを知ることは困難です。 たとえば、請負業者が長引く場合はどうなりますか? その延長はどのくらい長くなりますか? 契約は準備される前に終了し、誰にも通知されませんでしたか? これらの専門知識のギャップは、もはや採用または監視されていない永続的なアクセシビリティが攻撃者の単純な標的になる可能性があるため、高速道路での保護の懸念を引き起こす可能性があります。
明らかな世話が物事を修正しない理由
企業のHR技術は、一般的に、ディレクトリ会社に追加される合計時間の労働力を対象としており、サポートしています。 コミュニティやアプリケーションなどの問題が発生し、作業ステータスはその範囲内に収まります。 しかし、ほとんどの場合、さまざまな理由から、請負業者やその他の3番目の機能は実際にはこれらのメソッドに追加されません。
明らかに正しいのは、HCMSへの3回目の集まりを含むことであるように思われます。 しかし、まさにこの戦略を含むさまざまな訴訟がありました。 非従業員が内部HR方式に追加された瞬間、それは彼らの雇用状況を発行するように呼びかけます。つまり、彼らは今でも合法的に公平な請負業者と見なすことができますか? それとも彼らはスタッフであり、そのため、通常は総時間のスタッフメンバーのために予約されている特典を求めていますか?
IDガバナンスとアクセスの利点
自信を持って第3の集まりが、雇用したいユニットやプログラムに適切に参加できるようにするために、企業は強力なIDガバナンスとアクセス(IGA)を求めています。 それらのアクセス可能性も、必要な適切な間隔の間だけでなければなりません。 この戦略は、最小限の特権取得設計を利用するための基本です。つまり、通常、エンドユーザーは、適切な期間のみ、キャリアを実行するために必要な最小限のアクセスしかありません。 これは通常、潜在的な顧客がエンドユーザーとアカウントの数を制限することで、横方向の動きやランサムウェアに起因するインシデントのリスクを大幅に軽減するように機能します。
完全なIGAソリューションを採用することで、企業はサードパーティのIDライフサイクルプロセスを合理化できます。これには、オンボーディング、オフボーディング、運用拡張、部門変更の自動化が含まれます。 IGAは、ハイブリッドIT環境全体で資産の取得を管理し、監査とコンプライアンスのレポートを改善して、確実なリスクの概要を確認します。
利害関係者を巻き込み、何を垣間見るべきかを認識している
3回目の集まりを保護するだけではありません。一元化されたIGAソリューションを導入することで、すべてのIDを保護および制御できます。 しかし、このためのシナリオを作成することは、さまざまな動機にとって問題です。
IGAプロセスの最初から重要な管理の心をつかむことは非常に重要です。 エグゼクティブの助けを借りて、エンタープライズモデルによって記述されたIGAの展開は、ITのみによって推進される人々よりも収益性が高くなります。
安定性は通常、値札センターとして注目されているため、IGAの小規模ビジネスの状況を把握するのは難しい場合があります。 所有の全体的な価値(TCO)の問題もあります。 リーダーは、短期的および長期的の両方で、全体の費用がいくらになるかをソフトウェアディストリビューターに確認する必要があります。 IGAは、その安定性が本当に価値があることを示し、無制限のセットアップにとらわれないようにするために、同様に迅速に実行する必要があるため、価値を得るまでの時間はさらに検討する必要があります。 できれば、IGAの決議は12週間以内に価値を提供する必要があります。
構成可能性とスケーラビリティは、IGAの代替案の評価アプローチ全体で重要です。 過去の実装がカスタマイズを対象とした場合、今日の優先事項は、理想的な手法への構成とシステムの調整です。 見返りとして、この視点はTCOを大幅に削減します。
情報タイプの分類も重要です。 この機能により、GDPRコンプライアンスに必要な機密情報や情報を備えたデバイスの管理とレポートが改善されます。これは、3番目のイベントのサブセットでのみ必要になるはずです。 データ分類機能により、標準の管理と詳細プロパティの監視がはるかに良くなり、事実に依存した選択の作成と結論が可能になります。 サポートデスクに話しかけることなくパスワードを簡単に緩和し、関連するすべてのアプリケーション間でパスワードを同期できるため、消費者は1つのパスワードのみを覚えておく必要があります。
リスクの軽減
企業は、ギャップを埋め、特定の形式のプロバイダーを提供するために、3番目のイベントに依存するようになりました。 それでも、コミュニティ内でのそれらの存在は、効率的に管理されない場合、保護の危険になる可能性があります。 いくつかの企業は、内部手段へのアクセシビリティのプロビジョニングとプロビジョニング解除に無計画に取り組んできましたが、IGAは、この作業の一部を適切に自動化するための、より複雑でスムーズな手順を提供します。 IGAは、企業が在職期間中のすべての3番目のイベントに対して自動化された方法で定期的にエントリを処理する可能性を企業に提供します。 このようなプロセスは、コミュニティとその資産に対する内部および外部の両方の脅威を軽減するのに役立ちます。
ロッド・シモンズ、アイテムシステム担当副社長、オマダ