Załatwienie trzeciego spotkania towarzyskiego, uzyskanie zarządzania
Opublikowany: 2022-01-12
Trzecie spotkania stały się podstawą życia firmy: kontrahenci, doraźny personel, konsultanci i tym podobne. korporacje zwykle regulują swój personel w wyniku funkcjonalnego HCMS (programu zarządzania ludzkimi pieniędzmi) działu HR i są one zwykle zarządzane w firmie katalogowej. Powiedziawszy to, trzecie wydarzenia to zupełnie inna grupa pracowników, którą firmy prawdopodobnie będą obsługiwać i regulować na różne sposoby.
Na przykład, 54% firm w raporcie Instytutu Ponemon na temat dostępności na odległość z trzeciego miejsca stwierdziło, że brakuje im szczegółowego spisu wydarzeń, które mają dostęp do ich sieci. Co więcej, 65% respondentów stwierdziło, że ich firmy naprawdę nie wiedzą, które trzecie funkcje uzyskały do ich najbardziej wrażliwych informacji. To nie może trwać dalej. korporacje muszą po prostu przejąć kontrolę nad wszystkimi podmiotami, które mają dostęp, w tym trzecimi spotkaniami.
Brak zarządzania trzeciorzędnymi zgromadzeniami stwarza możliwości
Ponadto w raporcie, o którym mowa powyżej, odkryto, że 51% korporacji ma eksperta w zakresie naruszenia informacji wywołanego trzecim uderzeniem. Problem nie polega zasadniczo na tym, że osoby trzecie są z natury niepewne, ale na tym, że administrowanie tożsamościami osób niebędących pracownikami, które wymagają wewnętrznej dostępności, ma szczególne zastosowanie niż zarządzanie tożsamościami pracowników, którzy muszą mieć dostęp.
Administracja trzeciej okazji nie jest dyscypliną wśród wielu organizacji. Wejście jest zazwyczaj umeblowane na zasadzie reklamy-hoc. Możesz mieć jedną sekcję, która powiadamia zespół HR o przyjęciu nowego kontrahenta na pokład, ale zajmują się przebiegiem działań w sposób rozproszony. A gdy wykonawca zakończy pracę, nie ma możliwości powiadomienia HR lub IT, że wykonawca nadal opuścił, więc ich dostęp / konta można wyeliminować. Lub, nawet jeśli tak jest, ręczne odebranie dostępu i wyrejestrowanie trzeciego spotkania towarzyskiego może mieć czas, jeśli nie miesiące.
Dla działu HR, tak samo skutecznie, jak dla zespołów IT i bezpieczeństwa, wiedza o tym, co się dzieje podczas trzeciego spotkania, jest wyzwaniem, jeśli nie ma skoncentrowanego, scentralizowanego procesu rejestrowania. Na przykład, co się stanie, jeśli wykonawca zostanie przedłużony? Jak przedłużone jest to przedłużenie? Czy umowa zakończyła się wcześniej niż została przygotowana, a nikt nie został powiadomiony? Te luki w wiedzy mogą powodować obawy związane z ochroną na autostradzie, ponieważ stały dostęp, który nie jest już wykorzystywany lub monitorowany, może być nieskomplikowanym celem dla atakujących.
Dlaczego oczywiste dbanie o rzeczy nie naprawia
Technika HR przedsiębiorstwa jest zasadniczo przeznaczona dla pracowników zatrudnionych w pełnym wymiarze czasu pracy, którzy są dodawani do firmy katalogowej. Sprawy takie jak społeczność i aplikacja są naliczane, a status pracy spada w tym zakresie. Ale w większości warunków wykonawcy i inne trzecie funkcje naprawdę nie są dodawane do tych metod z wielu różnych powodów.
Wydaje się, że pozornie poprawne byłoby zaangażowanie trzeciego spotkania w HCMS. Ale było wiele spraw sądowych dotyczących tej właśnie strategii. W momencie, gdy osoba niebędąca pracownikiem jest dodatkiem do wewnętrznej metody HR, wywołuje ona kwestię ich statusu zatrudnienia – to znaczy, czy nawet teraz mogą być zgodnie z prawem uważani za bezstronnych wykonawców? A może są to pracownicy iz tego powodu domagają się korzyści zarezerwowanych zwykle dla pracowników zatrudnionych na cały etat?
Zalety zarządzania tożsamością i dostępu
Aby upewnić się, że trzecie spotkania mają właściwy wpis dla jednostek i programów, w których chcą pracować, przedsiębiorstwa chcą potężnego zarządzania tożsamością i dostępu (IGA). Również ich dostępność musi być zapewniona tylko w wymaganym odpowiednim odstępie czasu. Ta strategia ma fundamentalne znaczenie w wykorzystaniu najmniejszego przywileju uzyskania projektu, co zwykle oznacza, że użytkownicy końcowi mają tylko najmniejszy dostęp wymagany do wykonywania swojej kariery, tylko przez odpowiedni okres czasu. Zwykle potencjalni klienci ograniczają liczbę użytkowników końcowych i kont z szerokimi lub podwyższonymi prawami do uzyskiwania, co ma na celu drastyczne zmniejszenie ryzyka incydentów wynikających z ruchu bocznego i oprogramowania ransomware.
Stosując kompletne rozwiązanie IGA, firmy mogą usprawnić procesy cyklu życia identyfikatorów dla stron trzecich, co obejmuje automatyzację onboardingu i offboardingu, rozszerzeń operacyjnych i zmian w działach. IGA zarządza pozyskiwaniem zasobów w hybrydowym środowisku IT i poprawia raportowanie audytu i zgodności, aby zapewnić stały przegląd ryzyka.
Zaangażowanie interesariuszy i świadomość tego, na co zwracać uwagę
To nie tylko kwestia zabezpieczenia trzeciego spotkania – wdrożenie scentralizowanego rozwiązania IGA pomoże zabezpieczyć i kontrolować wszystkie tożsamości. Ale stworzenie takiego scenariusza jest problemem z różnych motywów.
Bardzo ważne jest zdobycie serc i umysłów krytycznego zarządzania od początku procesu IGA. Wdrożenia IGA opisane przez modele korporacyjne – z pomocą kadry kierowniczej – są bardziej opłacalne niż osoby kierowane wyłącznie przez IT.
Ponieważ stabilność jest tak zwykle postrzegana jako centrum cenowe, może być trudno stworzyć małą sytuację biznesową dla IGA. Jest też kwestia całkowitej wartości posiadania (TCO). Liderzy będą musieli sprawdzić z dystrybutorami oprogramowania, jaki będzie cały wydatek, zarówno w perspektywie krótko, jak i długoterminowej. Czas do wartości to dalsza uwaga, ponieważ IGA powinna działać szybko, zarówno po to, aby zademonstrować naprawdę wartość swojej stabilności i uniknąć ugrzęźnięcia w nieograniczonej konfiguracji. Najlepiej, gdy rozdzielczość IGA musi zapewnić wartość w czasie poniżej 12 tygodni.
Konfigurowalność i skalowalność mają kluczowe znaczenie w całym podejściu do oceny alternatyw IGA. Kiedy wcześniejsze wdrożenia były ukierunkowane na dostosowywanie, dzisiejszymi priorytetami są konfiguracja i dopasowanie systemu do idealnych technik. W nagrodę ten punkt widzenia znacznie obniży całkowity koszt posiadania.
Istotna jest również klasyfikacja typów informacji. Ta funkcja usprawnia administrowanie i raportowanie na urządzeniach z informacjami wrażliwymi lub informacjami niezbędnymi do zapewnienia zgodności z RODO, co powinno być konieczne tylko w przypadku podzbiorów 3. zdarzeń. Funkcje klasyfikacji danych znacznie poprawiają standardowe zarządzanie i nadzór nad własnością szczegółów oraz pozwalają na dokonywanie wyborów i wyciąganie wniosków na podstawie faktów. Wydaje się, że istnieje możliwość wygodnego złagodzenia haseł bez konieczności kontaktu z działem pomocy technicznej i synchronizowania haseł we wszystkich powiązanych aplikacjach, dzięki czemu konsumenci powinni pamiętać tylko o jednym haśle.
Zmniejszenie ryzyka
Przedsiębiorstwa zaczęły polegać na wydarzeniach trzecich, aby wesprzeć je w wypełnianiu luk i dostarczaniu określonych form usługodawców. Jednak ich obecność w społeczności może stanowić zagrożenie dla ochrony, jeśli nie jest skutecznie zarządzana. Kilka firm przypadkowo udostępnia i usuwa dostęp do środków wewnętrznych, ale IGA przedstawia mniej skomplikowane i płynniejsze procedury, aby dobrze zautomatyzować niektóre z tych prac. IGA oferuje przedsiębiorstwom możliwość regularnego dbania o wpisy w sposób zautomatyzowany dla wszystkich wydarzeń trzecich w trakcie ich kadencji. Taki proces może pomóc zredukować zarówno te wewnętrzne, jak i zewnętrzne zagrożenia dla społeczności i jej zasobów.
Rod Simmons, wiceprezes Item System, Omada