Ottenere la gestione del 3° incontro sociale ottenere la gestione
Pubblicato: 2022-01-12
Le terze riunioni sono diventate un punto fermo della vita dell'azienda: appaltatori, personale momentaneo, consulenti e simili. le società normalmente regolano il proprio personale come risultato dell'HCMS (programma di gestione del denaro umano) costruito in funzione del proprio dipartimento delle risorse umane e sono comunemente gestiti nella società di directory. Detto questo, i terzi eventi sono un altro gruppo completo di personale che le aziende probabilmente gestiranno e regoleranno in modi diversi.
In particolare, il 54% delle aziende in un rapporto del Ponemon Institute sull'accessibilità a distanza del 3° incontro ha dichiarato di non avere uno stock dettagliato dei terzi eventi che hanno accessibilità alla loro rete. Inoltre, il 65% degli intervistati ha dichiarato che la propria attività non sa quali terze funzioni hanno ottenuto le informazioni più delicate. Questo non può continuare. le aziende richiedono semplicemente di assumere il comando di tutte le entità che hanno accesso, comprese le terze riunioni.
La mancanza di una gestione degli assembramenti di terze parti produce possibilità
Inoltre, il rapporto di cui sopra ha scoperto che il 51% delle società ha sperimentato una violazione delle informazioni innescata da un terzo bash. Il problema non è essenzialmente che le terze parti sono intrinsecamente insicure, è che l'amministrazione delle identità di non dipendenti che richiedono l'accessibilità interna è un'applicazione distintiva rispetto alla gestione delle identità dei dipendenti che devono avere accesso.
L'amministrazione di 3a occasione non è una linea d'azione disciplinata tra numerose organizzazioni. L'ingresso è generalmente fornito su base ad hoc. Potresti avere una sezione che notifichi al team delle risorse umane che stanno portando a bordo un nuovo appaltatore, ma si stanno occupando della linea di condotta in modo disperso. E dopo che l'appaltatore ha terminato il lavoro, non è possibile notificare alle risorse umane o IT che l'appaltatore ha ancora lasciato in modo che i suoi account/accessibilità possano essere eliminati. O, anche se lo fosse, la rimozione manuale di quell'accesso e il deprovisioning del 3° incontro sociale possono richiedere tempi, se non mesi.
È difficile per il dipartimento delle risorse umane, così come i team IT e di sicurezza, sapere cosa sta succedendo con il terzo incontro se non esiste un processo di registrazione concentrato e centralizzato. Ad esempio, cosa succede se un appaltatore rimane a lungo? Quanto è prolungata questa estensione? L'accordo è terminato prima del previsto e nessuna persona è stata informata? Queste lacune di competenze possono causare problemi di protezione lungo l'autostrada, poiché l'accessibilità permanente che non è più impiegata o monitorata può essere un obiettivo semplice per gli aggressori.
Perché l'ovvio prendersi cura di non corregge le cose
La tecnica delle risorse umane di un'azienda è generalmente destinata e supporta la forza lavoro a tempo totale, che viene aggiunta alla società di directory. Questioni come la comunità e l'applicazione ottengono e lo stato del lavoro cadono all'interno di tale competenza. Ma nella maggior parte delle condizioni, gli appaltatori e altre terze funzioni non vengono davvero aggiunte a questi metodi per una vasta gamma di motivi.
Sembrerebbe che l'apparentemente corretto sarebbe quello di coinvolgere il terzo incontro con l'HCMS. Ma ci sono stati un assortimento di cause legali che coinvolgono proprio questa strategia. Nel momento in cui un non dipendente è in più rispetto al metodo delle risorse umane interne, questo mette in discussione il loro stato lavorativo, ovvero, possono anche ora essere legalmente considerati appaltatori imparziali? Oppure sono dipendenti e per questo chiedono benefici normalmente riservati ai dipendenti a tempo pieno?
I vantaggi della governance dell'identità e dell'accesso
Per assicurarsi che le terze riunioni abbiano l'ingresso appropriato per le unità e i programmi che vogliono svolgere il loro lavoro, le imprese vogliono una potente governance e accesso dell'identità (IGA). Anche la loro accessibilità deve avvenire solo per l'intervallo adeguato richiesto. Questa strategia è fondamentale nell'utilizzo di un progetto con il minimo privilegio di ottenere, il che di solito significa che gli utenti finali hanno solo il minimo grado di accesso richiesto per svolgere la loro carriera, solo per il periodo di tempo adeguato. Questo di solito porta i clienti a limitare il numero di utenti finali e account con diritti di acquisizione ampi o elevati, il che funziona per ridurre drasticamente il rischio di incidenti derivanti da movimenti laterali e ransomware.
Impiegando una soluzione IGA completa, le aziende possono semplificare i processi del ciclo di vita degli ID per terze parti, che includono l'automazione di onboarding, offboarding, gestire estensioni e cambiamenti dipartimentali. IGA gestisce l'acquisizione delle risorse in un ambiente IT ibrido e migliora il reporting di audit e conformità per garantire una panoramica costante del rischio.
Coinvolgere gli stakeholder ed essere consapevoli di cosa intravedere
Non si tratta solo di garantire un terzo incontro: l'implementazione di una soluzione IGA centralizzata aiuterà a proteggere e controllare tutte le identità. Ma creare lo scenario per questo è un problema per una varietà di motivi.
È molto importante conquistare i cuori e le menti della gestione critica dall'inizio del processo IGA. Le implementazioni IGA descritte dai modelli aziendali, con l'aiuto dei dirigenti, sono più redditizie delle persone guidate esclusivamente dall'IT.
Dal momento che la stabilità è così normalmente notata come un centro di cartellino del prezzo, può essere difficile fare la situazione delle piccole imprese per IGA. C'è anche la questione del valore complessivo del possesso (TCO). I leader dovranno verificare con i distributori di software quale sarà l'intera spesa, sia a breve che a lungo termine. Il tempo per valere è un'ulteriore considerazione, poiché IGA dovrebbe funzionare rapidamente, allo stesso modo per dimostrare la sua stabilità e per evitare che rimanga impantanato in una configurazione illimitata. Preferibilmente, una risoluzione IGA deve fornire valore in meno di 12 settimane.
La configurabilità e la scalabilità sono fondamentali durante l'approccio di valutazione per le alternative IGA. Quando le implementazioni passate miravano alla personalizzazione, le priorità di oggi sono la configurazione e l'allineamento del sistema alle tecniche ideali. Come ricompensa, questo punto di vista ridurrà sensibilmente il TCO.
Anche la classificazione dei tipi di informazioni è cruciale. Questa funzionalità migliora l'amministrazione e la segnalazione sui dispositivi con informazioni sensibili o necessarie per la conformità al GDPR, che dovrebbero essere necessarie solo per sottoinsiemi di 3° eventi. Le funzioni di classificazione dei dati migliorano notevolmente la gestione standard e la supervisione delle proprietà dei dettagli e consentono la creazione di scelte e conclusioni dipendenti dai fatti. Cerca la capacità di rilassare comodamente le password senza parlare con un supporto tecnico e di sincronizzare le password in tutte le applicazioni correlate in modo che i consumatori dovrebbero tenere a mente una sola password.
Ridurre il rischio
Le aziende hanno iniziato a fare affidamento su 3° eventi per aiutarle a colmare le lacune e fornire determinate forme di fornitori. Tuttavia, la loro presenza all'interno della comunità può rappresentare un pericolo di protezione se non gestita in modo efficiente. Diverse aziende sono state casuali con il provisioning e il deprovisioning dell'accessibilità ai mezzi interni, ma IGA presenta procedure meno complicate e più agevoli per automatizzare bene parte di questo lavoro. IGA offre alle aziende il potenziale per occuparsi regolarmente dell'ingresso in modo automatizzato per tutti i terzi eventi durante il loro mandato. Tale processo può aiutare a ridurre le minacce interne ed esterne alla comunità e alle sue risorse.
Rod Simmons, vicepresidente del sistema di articoli, Omada