Prise en charge de la 3e réunion sociale obtenir la gestion
Publié: 2022-01-12
Les troisièmes réunions sont devenues un élément essentiel de la vie de l'entreprise : entrepreneurs, employés temporaires, consultants, etc. Les entreprises réglementent normalement leur personnel en fonction du HCMS (programme de gestion de l'argent humain) construit par leur service des ressources humaines et ils sont généralement gérés dans la société d'annuaire. Cela dit, les tiers événements sont un tout autre groupe de personnel que les entreprises sont susceptibles de gérer et de réglementer de différentes manières.
En effet, 54% des entreprises dans un rapport du Ponemon Institute sur l'accessibilité à distance des tiers ont déclaré qu'elles n'avaient pas de stock détaillé des tiers événements qui ont accès à leur réseau. En outre, 65 % des répondants ont déclaré que leurs entreprises ne savent vraiment pas quelles fonctions tierces ont accès à leurs informations les plus délicates. Cela ne peut pas continuer. les entreprises doivent simplement prendre le contrôle de toutes les entités qui y ont accès, y compris les tiers.
Le manque de gestion des tiers sociaux crée une possibilité
En outre, le rapport mentionné ci-dessus a révélé que 51 % des entreprises ont subi une violation de données déclenchée par un troisième coup. Le problème n'est pas nécessairement que les tiers sont intrinsèquement peu sûrs, c'est que la gestion des identités des non-employés qui nécessitent une accessibilité interne est une application différente de la gestion des identités des employés qui doivent y avoir accès.
L'administration de la troisième occasion n'est pas une ligne de conduite disciplinée parmi de nombreuses organisations. L'entrée est généralement fournie sur une base publicitaire. Vous pourriez avoir une section qui informe l'équipe des RH qu'elle embauche un nouvel entrepreneur, mais elle s'occupe du plan d'action de manière dispersée. Et une fois que l'entrepreneur a terminé le travail, il n'est pas nécessaire d'informer les RH ou l'informatique que l'entrepreneur est toujours parti afin que leur accessibilité/comptes puissent être éliminés. Ou, même si c'est le cas, supprimer manuellement cet accès et déprovisionner la troisième réunion sociale peut prendre des temps, voire des mois.
Il est difficile pour le service des ressources humaines, ainsi que pour les équipes informatiques et de sécurité, de savoir ce qui se passe avec les troisièmes réunions s'il n'y a pas de processus d'enregistrement ciblé et centralisé. Par exemple, que se passe-t-il si un entrepreneur reste longtemps ? Quelle est la durée de cette prolongation ? L'accord s'est-il terminé avant d'être préparé, et personne n'a été notifié ? Ces lacunes en matière d'expertise peuvent causer des problèmes de protection sur l'autoroute, car l'accessibilité permanente qui n'est plus utilisée ou surveillée peut être une cible simple pour les attaquants.
Pourquoi le soin évident ne corrige pas les choses
Le système RH d'une entreprise est généralement destiné et prend en charge la main-d'œuvre à temps total, qui est ajoutée à l'entreprise de répertoire. Des questions telles que la communauté et l'application s'acquièrent, et le statut de travail tombe dans ce domaine. Mais dans la plupart des cas, les sous-traitants et autres fonctions tierces ne sont vraiment pas ajoutés à ces méthodes pour un large éventail de raisons.
Il semblerait que la bonne solution serait d'impliquer des troisièmes réunions au HCMS. Mais il y a eu un assortiment de poursuites impliquant cette stratégie même. Dès qu'un non-employé est en dehors du système RH interne, cela remet en question son statut d'emploi, c'est-à-dire, peut-il encore légalement être considéré comme un entrepreneur impartial ? Ou sont-ils du personnel et pour cette raison font-ils appel à des avantages normalement réservés aux membres du personnel à temps plein ?
Les avantages de la gouvernance des identités et des accès
Pour s'assurer que les tierces parties disposent de la bonne entrée pour les unités et les programmes qu'elles souhaitent utiliser, les entreprises ont besoin d'une gouvernance et d'un accès aux identités (IGA) puissants. Leur accessibilité doit également être uniquement pour l'intervalle approprié requis. Cette stratégie est fondamentale dans l'utilisation d'une conception d'obtention du moindre privilège, ce qui signifie généralement que les utilisateurs finaux n'ont que le moindre degré d'accès requis pour faire leur carrière, uniquement pendant la période de temps appropriée. Cela oblige généralement les clients potentiels à limiter le nombre d'utilisateurs finaux et de comptes avec des droits d'accès étendus ou élevés, ce qui réduit considérablement le risque d'incidents résultant de mouvements latéraux et de ransomwares.
En utilisant une solution IGA complète, les entreprises peuvent rationaliser les processus de cycle de vie des identifiants pour les tiers, ce qui inclut l'automatisation de l'intégration, de la désintégration, l'exploitation des extensions et les changements de service. IGA gère l'accès aux actifs dans un environnement informatique hybride et améliore les rapports d'audit et de conformité pour avoir une vue d'ensemble constante des risques.
Impliquer les parties prenantes et être conscient de ce qu'il faut entrevoir
Il ne s'agit pas seulement de sécuriser les troisièmes rencontres - le déploiement d'une solution IGA centralisée aidera à sécuriser et à contrôler toutes les identités. Mais faire le scénario pour cela est un problème pour une variété de motifs.
Il est très important de gagner les cœurs et les esprits de la gestion critique dès le début du processus IGA. Les déploiements IGA qui sont décrits par des modèles d'entreprise – avec l'aide de la direction – sont plus rentables que les personnes dirigées uniquement par l'informatique.
Étant donné que la stabilité est si souvent considérée comme un centre de prix, il peut être difficile de faire la situation des petites entreprises pour IGA. Il y a aussi la question de la valeur globale de possession (TCO). Les dirigeants devront vérifier auprès des distributeurs de logiciels quelle sera la dépense totale, à la fois à court et à long terme. Le temps de mise en valeur est une autre considération, car IGA doit fonctionner rapidement, également pour démontrer sa stabilité et l'empêcher de rester embourbé dans une configuration illimitée. De préférence, une résolution IGA doit fournir une valeur en moins de 12 semaines.
La configurabilité et l'évolutivité sont essentielles tout au long de l'approche d'évaluation des alternatives IGA. Alors que les implémentations passées ciblaient la personnalisation, les priorités d'aujourd'hui sont la configuration et l'alignement du système sur des techniques idéales. En récompense, ce point de vue réduira sensiblement le TCO.
La classification des types d'informations est également cruciale. Cette fonctionnalité améliore l'administration et la création de rapports sur les appareils contenant des informations sensibles ou nécessaires à la conformité au RGPD, qui ne devraient être nécessaires que pour des sous-ensembles d'événements tiers. Les fonctions de classification des données améliorent considérablement la gestion standard et la surveillance des détails et permettent de créer des choix et des conclusions en fonction des faits. Cherchez la possibilité d'assouplir facilement les mots de passe sans parler à un service d'assistance et de synchroniser les mots de passe sur toutes les applications associées afin que les utilisateurs ne doivent garder à l'esprit qu'un seul mot de passe.
Réduction des risques
Les entreprises en sont venues à s'appuyer sur des 3e événements pour les aider à combler les lacunes et à fournir certaines formes de prestataires. Pourtant, leur présence au sein de la communauté peut constituer un danger pour la protection si elle n'est pas gérée efficacement. Plusieurs entreprises ont été aléatoires avec le provisionnement et le déprovisionnement de l'accessibilité aux moyens internes, mais IGA présente des procédures moins compliquées et plus fluides pour bien automatiser une partie de ce travail. IGA offre aux entreprises la possibilité de s'occuper régulièrement de l'entrée de manière automatisée pour tous les événements tiers tout au long de leur mandat. Un tel processus peut aider à réduire à la fois ces menaces internes et externes à la communauté et à ses actifs.
Rod Simmons, vice-président du système d'objets, Omada