Obtendo o controle da 3ª reunião social obter gerenciamento
Publicados: 2022-01-12
Terceiros encontros tornaram-se um marco na vida da empresa: empreiteiros, pessoal temporário, consultores e afins. as corporações normalmente regulam sua equipe como resultado do HCMS (programa de gerenciamento de dinheiro humano) construído pelo departamento de RH e geralmente são gerenciados na empresa de diretório. Dito isto, os terceiros eventos são um grupo completamente diferente de funcionários que as empresas provavelmente lidarão e regularão de maneiras diferentes.
A propósito, 54% das empresas em um relatório do Ponemon Institute sobre acessibilidade à distância de 3ª reunião afirmaram que não têm um estoque detalhado dos terceiros eventos que têm acessibilidade à sua rede. Além disso, 65% dos entrevistados afirmaram que seus negócios realmente não sabem quais são as 3ª funções que obtêm suas informações mais delicadas. Isso não pode continuar. as corporações exigem apenas assumir o comando de todas as entidades que têm acesso, incluindo terceiros encontros.
A falta de gestão do terceiro encontro social produz possibilidade
Além disso, o relatório mencionado acima descobriu que 51% das corporações têm uma violação de informações desencadeada por um terceiro bash. O problema não é essencialmente que terceiros são inerentemente inseguros, é que a administração das identidades de não-funcionários que exigem acessibilidade interna é uma aplicação distinta do que o gerenciamento das identidades dos funcionários que precisam ter acesso.
Administração de terceira ocasião não é um curso de ação disciplinado entre muitas organizações. A entrada é normalmente fornecida em uma base de propaganda. Você pode ter uma seção que notifique a equipe de RH que eles estão trazendo um novo contratado, mas eles estão cuidando do curso de ação de forma dispersa. E depois que o contratado terminar o trabalho, não há como notificar o RH ou TI que o contratado ainda saiu para que suas acessibilidades/contas possam ser eliminadas. Ou, mesmo que seja, retirar manualmente esse acesso e desprovisionar o 3º encontro social pode levar tempos, se não meses.
É um desafio para o departamento de RH, bem como para as equipes de TI e segurança, saber o que está acontecendo com os 3ºs encontros se não houver um processo de registro centralizado e focado. Por exemplo, e se um empreiteiro permanecer por mais tempo? Quão prolongada é essa extensão? O acordo terminou antes do que foi preparado e nenhuma pessoa foi notificada? Essas lacunas de conhecimento podem causar problemas de proteção na estrada, pois a acessibilidade permanente, que não está mais sendo empregada ou monitorada, pode ser alvos simples para invasores.
Por que o óbvio cuidar não corrige as coisas
A técnica de RH de uma empresa geralmente é destinada e suporta a força de trabalho em tempo total, que é adicionada ao diretório da empresa. Assuntos como a comunidade e o aplicativo são obtidos, e o status do trabalho cai dentro desse escopo. Mas na maioria das condições, empreiteiros e outras funções de 3º não são adicionados a esses métodos por uma ampla variedade de razões.
Parece que o aparente correto seria envolver terceiros encontros para o HCMS. Mas tem havido uma variedade de ações judiciais envolvendo essa mesma estratégia. Uma vez que um não-funcionário é adicionado ao sistema de RH interior, ele põe em causa a sua situação de emprego - ou seja, eles ainda podem ser legalmente considerados contratantes imparciais? Ou são funcionários e, por isso, exigem benefícios normalmente reservados aos funcionários em tempo integral?
As vantagens da governança de identidade e acesso
Para fazer com que os terceiros encontros tenham a entrada adequada para as unidades e programas em que desejam trabalhar, as empresas desejam uma governança e acesso de identidade poderoso (IGA). Sua acessibilidade também deve ser apenas para o intervalo adequado necessário. Essa estratégia é fundamental na utilização de um design de obtenção de privilégio mínimo, o que geralmente significa que os usuários finais têm apenas o menor grau de acesso necessário para fazer suas carreiras, apenas pelo período de tempo adequado. Isso geralmente os clientes em potencial restringem a quantidade de usuários finais e contas com direitos de obtenção amplos ou elevados, o que funciona para diminuir drasticamente o risco de incidentes decorrentes de movimentação lateral e ransomware.
Ao empregar uma solução IGA completa, as empresas podem simplificar os processos de ciclo de vida de id para terceiros, o que inclui automatizar a integração, remoção, extensões de operação e mudanças departamentais. A IGA gerencia a obtenção de ativos em um ambiente de TI híbrido e melhora os relatórios de auditoria e conformidade para garantir uma visão geral de risco constante.
Envolver as partes interessadas e estar ciente do que vislumbrar
Não é apenas uma questão de garantir terceiros encontros – a implantação de uma solução IGA centralizada ajudará a proteger e controlar todas as identidades. Mas fazer o cenário para isso é um problema por vários motivos.
É muito importante conquistar os corações e mentes da gestão crítica desde o início do processo IGA. As implantações de IGA descritas por modelos corporativos – com ajuda executiva – são mais lucrativas do que pessoas orientadas apenas por TI.
Uma vez que a estabilidade é normalmente vista como um centro de preço, pode ser difícil fazer a situação das pequenas empresas para IGA. Há também a questão do valor geral de posse (TCO). Os líderes precisarão verificar com os distribuidores de software qual será a despesa total, tanto em termos breves quanto prolongados. Tempo para valer a pena é outra consideração, como IGA deve funcionar rapidamente, tanto para demonstrar sua estabilidade realmente vale a pena e evitar que fique atolado em configurações ilimitadas. De preferência, uma resolução IGA deve fornecer valor em menos de 12 semanas.
A configurabilidade e a escalabilidade são críticas em toda a abordagem de avaliação das alternativas de IGA. Quando as implementações anteriores visavam a customização, as prioridades atuais são a configuração e o alinhamento do sistema com as técnicas ideais. Como recompensa, esse ponto de vista diminuirá consideravelmente o TCO.
A classificação dos tipos de informação também é crucial. Esse recurso melhora a administração e a geração de relatórios sobre dispositivos com informações confidenciais ou necessárias para a conformidade com o GDPR, o que deve ser necessário apenas para subconjuntos de 3º eventos. As funções de classificação de dados tornam o gerenciamento padrão e a supervisão da propriedade de detalhes muito melhores e permitem a criação de escolhas e conclusões dependentes de fatos. Parece ter a capacidade de relaxar convenientemente as senhas sem falar com um suporte e sincronizar senhas em todos os aplicativos relacionados, de modo que os usuários devem ter em mente apenas uma senha.
Reduzindo o risco
As empresas passaram a contar com 3º eventos para apoiá-las, preencher as lacunas e fornecer certas formas de provedores. Ainda assim, sua presença na comunidade pode ser um risco de proteção se não for gerenciada com eficiência. Várias empresas têm sido aleatórias com o provisionamento e desprovisionamento de acessibilidade a meios internos, mas o IGA apresenta procedimentos menos complicados e mais fáceis para automatizar bem parte desse trabalho. A IGA oferece às empresas o potencial de cuidar regularmente da entrada de forma automatizada para todos os terceiros eventos ao longo de seu mandato. Esse processo pode ajudar a reduzir essas ameaças internas e externas à comunidade e seus ativos.
Rod Simmons, vice-presidente do sistema de itens, Omada