Получение управления 3-й социальной группой
Опубликовано: 2022-01-12
Третьи встречи стали основным продуктом жизни компании: подрядчики, временный персонал, консультанты и тому подобное. корпорации обычно регулируют свой персонал в результате функциональной разработки их отдела кадров HCMS (программа управления человеческими денежными средствами), и ими обычно управляют в справочной компании. Сказав это, третьи мероприятия — это совершенно другая группа сотрудников, с которой компании, вероятно, будут обращаться и регулировать по-разному.
В частности, 54% компаний в отчете Ponemon Institute о дистанционной доступности 3-го собрания заявили, что им не хватает подробного списка третьих событий, которые имеют доступ к их сети. Кроме того, 65% респондентов заявили, что их компании действительно не знают, какие третьи функции имеют доступ к их самой конфиденциальной информации. Это не может продолжаться. корпорации требуют просто взять на себя командование всеми организациями, имеющими доступ, включая третьи тусовки.
Отсутствие управления сторонними собраниями создает возможность
Кроме того, в упомянутом выше отчете было обнаружено, что 51% корпораций имеют опыт утечки информации, вызванной третьей атакой. Проблема не в том, что третьи стороны изначально небезопасны, а в том, что администрирование удостоверений, не являющихся сотрудниками, для которых требуется внутренний доступ, отличается от управления удостоверениями сотрудников, которые должны иметь доступ.
Администрация 3-го раза не является дисциплинированным курсом действий среди многих организаций. Запись обычно предоставляется на рекламной основе. У вас может быть один раздел, который уведомляет команду HR о том, что они берут на борт нового подрядчика, но они заботятся о ходе действий рассредоточенно. И после того, как подрядчик закончил работу, нет возможности уведомить отдел кадров или ИТ о том, что подрядчик все еще ушел, чтобы их доступ/учетные записи можно было исключить. Или, даже если это так, ручное удаление этого доступа и деинициализация 3-го социального собрания может занять время, если не месяцы.
Отделу кадров, а также ИТ-специалистам и командам по технике безопасности сложно узнать, что происходит с третьими встречами, если нет целенаправленного централизованного процесса записи. Например, что, если подрядчик остается продлен? Насколько продолжительным является это расширение? Соглашение закончилось раньше, чем было подготовлено, и никто не был уведомлен? Эти пробелы в знаниях могут вызвать проблемы с защитой в будущем, поскольку постоянная доступность, которая больше не используется или не контролируется, может стать несложной целью для злоумышленников.
Почему очевидная забота не исправляет ситуацию
HR-система предприятия обычно предназначена и поддерживает штатную рабочую силу, которая добавляется в каталог компании. Такие вопросы, как получение сообщества и приложений, а также рабочий статус, не входят в эту компетенцию. Но в большинстве случаев подрядчики и другие третьи функции действительно не добавляются к этим методам по целому ряду причин.
Казалось бы, кажущимся правильным было бы привлечь 3-ю тусовку к HCMS. Но было множество судебных исков, связанных с этой самой стратегией. В тот момент, когда внештатный сотрудник появляется во внутреннем методе управления персоналом, это ставит под сомнение его статус занятости — то есть могут ли они даже сейчас на законных основаниях считаться беспристрастными подрядчиками? Или они являются штатными сотрудниками и по этой причине требуют льгот, обычно предназначенных для штатных сотрудников?
Преимущества управления идентификацией и доступом
Чтобы быть уверенными, что третьи компании имеют надлежащий вход для подразделений и программ, которые они хотят выполнять, предприятиям требуется мощное управление идентификацией и доступом (IGA). Их доступность также должна быть только в течение требуемого подходящего интервала. Эта стратегия лежит в основе использования схемы получения наименьших привилегий, которая обычно означает, что конечные пользователи имеют только наименьшую степень доступа, необходимую для работы, только в течение подходящего периода времени. Как правило, потенциальные клиенты ограничивают количество конечных пользователей и учетных записей с широкими или повышенными правами доступа, что значительно снижает риск инцидентов, связанных с боковым перемещением и программами-вымогателями.
Используя комплексное решение IGA, предприятия могут оптимизировать процессы жизненного цикла id для третьих сторон, что включает в себя автоматизацию регистрации и отключения, работы с расширениями и изменений в отделах. IGA управляет доступом к активам в гибридной ИТ-среде и улучшает отчетность по аудиту и соответствию требованиям, чтобы обеспечить постоянный обзор рисков.
Вовлечение заинтересованных сторон и понимание того, на что обратить внимание
Это не просто вопрос защиты 3-х встреч — развертывание централизованного решения IGA поможет защитить и контролировать все удостоверения. Но сделать сценарий для этого — проблема по самым разным мотивам.
Очень важно завоевать сердца и умы критического руководства с самого начала процесса IGA. Развертывания IGA, которые описываются корпоративными моделями — с помощью руководства — более прибыльны, чем люди, движимые только ИТ.
Поскольку стабильность обычно рассматривается как центр ценников, может быть сложно создать ситуацию для малого бизнеса для IGA. Существует также проблема общей стоимости владения (TCO). Руководителям необходимо будет уточнить у дистрибьюторов программного обеспечения, каковы будут общие расходы, как в краткосрочной, так и в долгосрочной перспективе. Время окупаемости является еще одним соображением, так как IGA должна работать быстро, а также демонстрировать свою стабильность и не допускать того, чтобы она погрязла в неограниченных настройках. Желательно, чтобы резолюция IGA окупилась менее чем за 12 недель.
Конфигурируемость и масштабируемость имеют решающее значение при оценке альтернатив IGA. Если прошлые реализации были нацелены на настройку, то сегодняшние приоритеты — конфигурация и согласование системы с идеальными методами. В качестве вознаграждения эта точка зрения значительно снизит совокупную стоимость владения.
Классификация типов информации также имеет решающее значение. Эта возможность улучшает администрирование и отчетность по устройствам с конфиденциальной информацией или информацией, необходимой для соответствия GDPR, которая должна быть необходима только для подмножеств третьих событий. Функции классификации данных значительно упрощают стандартное управление и контроль над деталями и позволяют делать выбор и делать выводы на основе фактов. Кажется, для возможности удобного смягчения паролей без обращения в службу поддержки и для синхронизации паролей во всех связанных приложениях, поэтому потребители должны помнить только один пароль.
Снижение риска
Предприятия стали полагаться на третьи события, чтобы помочь им заполнить пробелы и предоставить определенные формы поставщиков. Тем не менее, их присутствие в сообществе может быть угрозой для защиты, если не эффективно управлять. Несколько компаний небрежно относились к предоставлению и удалению доступа к внутренним средствам, но IGA предлагает менее сложные и более плавные процедуры, позволяющие хорошо автоматизировать часть этой работы. IGA предлагает предприятиям возможность регулярно автоматически вводить данные обо всех третьих мероприятиях за время их пребывания в должности. Такой процесс может помочь уменьшить как внутренние, так и внешние угрозы для сообщества и его активов.
Род Симмонс, вице-президент по системе предметов, Omada