Manejar el control de descarga de la tercera reunión social
Publicado: 2022-01-12
Las reuniones de terceros se han convertido en un elemento básico de la vida empresarial: contratistas, personal temporal, consultores y similares. Las corporaciones normalmente regulan a su personal como resultado del HCMS (programa de administración de dinero humano) construido por función de su departamento de recursos humanos y generalmente se administran en la empresa de directorio. Habiendo dicho eso, los terceros eventos son un grupo completamente diferente de personal que es probable que las empresas manejen y regulen de diferentes maneras.
De hecho, el 54% de las empresas en un informe del Ponemon Institute sobre la accesibilidad remota de terceros dijeron que carecen de un inventario detallado de los terceros eventos que tienen acceso a su red. Además, el 65% de los encuestados dijeron que sus empresas realmente no saben qué terceras funciones tienen acceso a su información más delicada. Esto no puede continuar. Las corporaciones solo necesitan tomar el mando de todas las entidades que tienen acceso, incluidas las reuniones de terceros.
La falta de gestión de reuniones de terceros genera posibilidades
Además, el informe al que se hace referencia anteriormente descubrió que el 51% de las empresas han experimentado una violación de datos provocada por un tercer golpe. El problema no es esencialmente que los terceros sean intrínsecamente inseguros, sino que la administración de las identidades de los no empleados que requieren accesibilidad interna es una aplicación diferente a la administración de las identidades de los empleados que deben tener acceso.
La administración de tercera ocasión no es un curso de acción disciplinado entre muchas organizaciones. La entrada generalmente se proporciona sobre una base de anuncio-hoc. Podría tener una sección que notifique al equipo de recursos humanos que incorporarán a un nuevo contratista, pero se encargarán del curso de acción de manera dispersa. Y después de que el contratista haya terminado el trabajo, no hay posibilidad de notificar a Recursos Humanos o TI que el contratista aún se ha ido para que se eliminen sus accesos/cuentas. O, incluso si lo es, eliminar manualmente ese acceso y desaprovisionar la tercera reunión social puede demorar, si no meses.
Es un desafío para el departamento de recursos humanos, así como para los equipos de TI y seguridad, saber qué sucede con las terceras reuniones si no hay un proceso de registro centrado y centralizado. Por ejemplo, ¿qué pasa si un contratista permanece prolongado? ¿Qué tan prolongada es esa extensión? ¿Terminó el acuerdo antes de lo preparado y no se notificó a nadie? Estas brechas de experiencia pueden causar problemas de seguridad en el futuro, ya que la accesibilidad permanente que ya no se utiliza o supervisa puede ser un objetivo sencillo para los atacantes.
Por qué el cuidado obvio no corrige las cosas
La técnica de recursos humanos de una empresa generalmente está destinada y respalda la fuerza de trabajo de tiempo total, que se agrega a la empresa de directorio. Cuestiones como la comunidad y la obtención de solicitudes, y el estado del trabajo caen dentro de ese ámbito. Pero en la mayoría de las condiciones, los contratistas y otras funciones de terceros realmente no se agregan a estos métodos por una amplia gama de razones.
Parecería que lo correcto sería incluir reuniones de terceros en el HCMS. Pero ha habido una variedad de juicios relacionados con esta misma estrategia. En el momento en que una persona que no es un empleado se suma al sistema interno de recursos humanos, se cuestiona su situación laboral, es decir, ¿aún se les puede considerar legalmente contratistas imparciales? ¿O son parte del personal y por esa razón requieren beneficios normalmente reservados para los miembros del personal a tiempo completo?
Las ventajas del gobierno de la identidad y el acceso
Para asegurarse de que las terceras reuniones tengan la entrada adecuada para las unidades y los programas en los que quieren hacer su trabajo, las empresas necesitan acceso y gobierno de identidad (IGA) poderosos. Su accesibilidad también debe ser sólo por el intervalo adecuado requerido. Esta estrategia es fundamental en el uso de un diseño de obtención de privilegios mínimos, lo que generalmente significa que los usuarios finales solo tienen el nivel mínimo de acceso necesario para hacer sus carreras, solo durante el período de tiempo adecuado. Por lo general, los clientes potenciales limitan la cantidad de usuarios finales y cuentas con derechos de acceso amplios o elevados, lo que funciona para reducir drásticamente el riesgo de incidentes derivados del movimiento lateral y el ransomware.
Al emplear una solución IGA completa, las empresas pueden agilizar los procesos del ciclo de vida de la identificación para terceros, lo que incluye la automatización de la incorporación, la eliminación, las extensiones operativas y los cambios departamentales. IGA administra la obtención de activos a través de un entorno de TI híbrido y mejora los informes de auditoría y cumplimiento para garantizar una visión general constante del riesgo.
Involucrar a las partes interesadas y ser conscientes de lo que se puede vislumbrar
No se trata solo de asegurar las terceras reuniones: implementar una solución IGA centralizada ayudará a proteger y controlar todas las identidades. Pero hacer el escenario para esto es un problema por una variedad de motivos.
Es muy importante ganarse los corazones y las mentes de la gestión crítica desde el comienzo del proceso de IGA. Las implementaciones de IGA que están descritas por modelos empresariales, con ayuda ejecutiva, son más rentables que las personas impulsadas solo por TI.
Dado que la estabilidad se considera tan comúnmente como un centro de precio, puede ser difícil hacer que la situación de la pequeña empresa para IGA. También está la cuestión del valor total de posesión (TCO). Los líderes deberán consultar con los distribuidores de software cuál será el costo total, tanto a corto como a largo plazo. El tiempo de valor es otra consideración, ya que IGA debe funcionar rápidamente, también para demostrar que su estabilidad realmente vale la pena y evitar que se quede atascado en una configuración ilimitada. Preferiblemente, una resolución de IGA debe proporcionar valor en menos de 12 semanas.
La configurabilidad y la escalabilidad son fundamentales en todo el enfoque de evaluación de las alternativas de IGA. Cuando las implementaciones anteriores se enfocaban en la personalización, las prioridades actuales son la configuración y la alineación del sistema con las técnicas ideales. Como recompensa, este punto de vista reducirá considerablemente el TCO.
La clasificación de los tipos de información también es crucial. Esta capacidad mejora la administración y la generación de informes sobre dispositivos con información confidencial o necesaria para el cumplimiento del RGPD, que solo debería ser necesaria para subconjuntos de terceros eventos. Las funciones de clasificación de datos hacen que la gestión estándar y la supervisión de la propiedad de los detalles sean mucho mejores y permiten la toma de decisiones y las conclusiones en función de los hechos. Busque la capacidad de relajar fácilmente las contraseñas sin hablar con un servicio de soporte y sincronizar las contraseñas en todas las aplicaciones relacionadas para que los usuarios solo tengan que recordar una contraseña.
Reducir el riesgo
Las empresas han llegado a depender de 3rd events para ayudarlas a llenar los vacíos y ofrecer ciertos tipos de proveedores. Aún así, su presencia dentro de la comunidad puede ser un peligro para la protección si no se gestiona de manera eficiente. Varias empresas han sido desordenadas con el aprovisionamiento y desaprovisionamiento de acceso a medios internos, pero IGA presenta procedimientos menos complicados y más fluidos para automatizar bien parte de este trabajo. IGA ofrece a las empresas el potencial de ocuparse regularmente de la entrada de forma automatizada para todos los terceros eventos durante su mandato. Dicho proceso puede ayudar a reducir las amenazas internas y externas a la comunidad y sus activos.
Rod Simmons, vicepresidente de sistema de artículos, Omada