3. sosyal toplantı yönetimini ele almak
Yayınlanan: 2022-01-12
Üçüncü buluşmalar, şirket yaşamının temel unsurlarından biri haline geldi: müteahhitler, geçici personel, danışmanlar ve benzerleri. şirketler normal olarak personellerini İK departmanlarının işlev olarak yapılandırılmış HCMS'sinin (insan parası yönetim programı) bir sonucu olarak düzenler ve genellikle rehber şirkette yönetilirler. Bununla birlikte, üçüncü olaylar, işletmelerin farklı şekillerde ele alması ve düzenlemesi muhtemel olan tam bir diğer personel grubudur.
Ponemon Enstitüsü'nün 3. buluşma uzaktan erişilebilirliği raporundaki işletmelerin %54'ü, ağlarına erişimi olan üçüncü olaylarla ilgili ayrıntılı bir stoktan yoksun olduklarını belirtti. Ayrıca, ankete katılanların %65'i işletmelerinin en hassas bilgilerine hangi 3. fonksiyonların ulaştığını gerçekten bilmediklerini belirtti. Bu devam edemez. şirketler, üçüncü buluşmalar da dahil olmak üzere, erişimi olan tüm varlıkların komutasını üstlenmek zorundadır.
Üçüncü sosyal toplanma yönetiminin olmaması olasılık üretir
Buna ek olarak, yukarıda atıfta bulunulan rapor, şirketlerin %51'inin üçüncü bir darbe tarafından tetiklenen bir bilgi ihlali konusunda uzman olduğunu keşfetti. Sorun, esasen üçüncü tarafların doğası gereği güvensiz olmaları değil, dahili erişilebilirlik gerektiren çalışan olmayan kimliklerin yönetiminin, erişimi olması gereken çalışanların kimliklerinin yönetiminden farklı bir uygulama olmasıdır.
3. kez yönetim, çok sayıda kuruluş arasında disiplinli bir davranış biçimi değildir. Giriş tipik olarak reklam amaçlı olarak döşenmiştir. İK ekibine yeni bir müteahhit getirdiğini bildiren bir bölümünüz olabilir, ancak eylem planına dağınık bir şekilde bakıyorlar. Ve müteahhit işi bitirdikten sonra, müteahhitin hala ayrıldığını İK veya BT'ye bildirme yetkisi yoktur, böylece erişilebilirlik/hesaplar ortadan kaldırılabilir. Veya öyle olsa bile, bu erişimi manuel olarak kaldırmak ve 3. sosyal toplantının yetkilendirmesini kaldırmak aylar olmasa da zaman alabilir.
Odaklanmış, merkezi bir kayıt süreci yoksa, 3. buluşmalarda neler olup bittiğini bilmek BT ve güvenlik ekipleri kadar etkili bir şekilde İK departmanı için zordur. Örneğin, bir müteahhit uzun süre kalırsa ne olur? Bu uzatma ne kadar uzar? Anlaşma hazırlanandan daha önce bitti mi ve hiç kimseye haber verilmedi mi? Bu uzmanlık boşlukları, artık kullanılmayan veya izlenmeyen sürekli erişilebilirlik, saldırganlar için karmaşık olmayan hedefler olabileceğinden, otoyolda koruma endişelerine neden olabilir.
Neden bariz özen bir şeyleri düzeltmiyor?
Bir işletmenin İK tekniği genellikle rehber şirkete eklenen toplam zamanlı işgücüne yöneliktir ve bunları destekler. Topluluk ve uygulama gibi konular elde edilir ve çalışma durumu bu görüş alanına girer. Ancak çoğu durumda, müteahhitler ve diğer 3. işlevler, çok çeşitli nedenlerle bu yöntemlere gerçekten eklenmez.
Görünen doğru olan, 3. buluşmaları HCMS'ye dahil etmek gibi görünüyor. Ancak bu stratejiyi içeren bir dizi dava var. Çalışan olmayan bir kişinin dahili İK yönteminin dışında olduğu an, istihdam statülerini ortaya çıkarır - yani, yasal olarak şu anda bile tarafsız yükleniciler olarak kabul edilebilirler mi? Yoksa personel mi ve bu nedenle normalde toplam zamanlı personel için ayrılan faydaları mı talep ediyor?
Kimlik yönetimi ve erişiminin avantajları
İşletmeler, üçüncü buluşmaların işlerini yapmak istedikleri birim ve programlara uygun girişe sahip olmalarını sağlamak için güçlü kimlik yönetimi ve erişimi (IGA) istiyor. Erişilebilirlikleri de yalnızca gerekli olan uygun aralık için olmalıdır. Bu strateji, en az ayrıcalık elde etme tasarımının kullanılmasında temel oluşturur; bu, genellikle son kullanıcıların, yalnızca uygun zaman diliminde, kariyerlerini yapmak için gereken en az erişim derecesine sahip oldukları anlamına gelir. Bu, genellikle potansiyel müşterilerin, yanal hareket ve fidye yazılımlarından kaynaklanan olay riskini büyük ölçüde azaltma işlevi gören geniş veya yüksek edinme haklarına sahip son kullanıcıların ve hesapların miktarını kısıtlamaya yöneliktir.
İşletmeler, eksiksiz bir IGA çözümünü kullanarak, üçüncü taraflar için işe alım, işten çıkarma, işletme uzantıları ve departman değişikliklerini otomatikleştirmeyi içeren kimlik yaşam döngüsü süreçlerini düzene sokabilir. IGA, bir hibrit BT ortamında varlıkları elde etmeyi yönetir ve kesin sabit risk genel görünümü için denetim ve uyumluluk raporlamasını iyileştirir.
Paydaşları dahil etmek ve neye bakılacağının farkında olmak
Bu sadece 3. buluşmaları güvence altına almak meselesi değildir - merkezi bir IGA çözümünü dağıtmak, tüm kimlikleri güvence altına almaya ve kontrol etmeye yardımcı olacaktır. Ancak bunun için senaryo yapmak, çeşitli güdüler için bir sorundur.
IGA sürecinin başlangıcından itibaren kritik yönetimin kalbini ve zihnini kazanmak çok önemlidir. Kurumsal modeller tarafından açıklanan IGA dağıtımları - yönetici yardımı ile - yalnızca BT tarafından yönlendirilen insanlardan daha karlı.
İstikrar normalde bir fiyat etiketi merkezi olarak fark edildiğinden, küçük işletme durumunu IGA için yapmak zor olabilir. Ayrıca toplam sahip olma değeri (TCO) sorunu da var. Liderlerin, hem kısa hem de uzun vadede tüm masrafın ne olacağını yazılım distribütörleriyle kontrol etmesi gerekecek. IGA'nın, istikrarının gerçekten değerli olduğunu göstermek ve sınırsız kurulumda batmasını önlemek için eşit olarak hızlı bir şekilde gerçekleştirmesi gerektiği için, değer zamanı bir başka husustur. Tercihen, bir IGA kararı 12 haftadan kısa sürede değer sağlamalıdır.
Yapılandırılabilirlik ve ölçeklenebilirlik, IGA alternatifleri için değerlendirme yaklaşımı boyunca kritik öneme sahiptir. Geçmişteki uygulamalar özelleştirmeyi hedeflediğinde, günümüzün öncelikleri konfigürasyon ve ideal tekniklere göre sistem uyumudur. Bir ödül olarak, bu bakış açısı toplam sahip olma maliyetini önemli ölçüde azaltacaktır.
Bilgi türlerinin sınıflandırılması da çok önemlidir. Bu yetenek, yalnızca 3. olayların alt kümeleri tarafından gerekli olması gereken GDPR uyumluluğu için gerekli hassas veya bilgilere sahip cihazların yönetimini ve raporlamasını geliştirir. Veri sınıflandırma işlevleri, standart yönetimi ve ayrıntı özelliğinin gözetimini çok daha iyi hale getirir ve gerçeğe bağlı seçim oluşturma ve sonuçlara izin verir. Bir destek masasıyla konuşmadan parolaları rahatça gevşetme ve tüketicilerin yalnızca bir parolayı akıllarında tutmaları için parolaları ilgili tüm uygulamalar arasında senkronize etme becerisine bakın.
Riski azaltmak
Kuruluşlar, boşlukları doldurmalarını ve belirli sağlayıcı biçimleri sunmalarını desteklemek için 3. etkinliklere güvenmeye başladı. Yine de topluluk içindeki varlıkları, verimli bir şekilde yönetilmezse bir koruma tehlikesi olabilir. Birçok şirket, iç araçlara erişilebilirlik sağlama ve yetkilendirmeden çıkarma konusunda gelişigüzel olmuştur, ancak IGA bu işin bir kısmını iyi bir şekilde otomatikleştirmek için daha az karmaşık ve daha sorunsuz prosedürler sunmaktadır. IGA, işletmelere, görev süreleri boyunca tüm üçüncü olaylar için otomatik bir şekilde girişle düzenli olarak ilgilenme potansiyeli sunar. Böyle bir süreç, topluluğa ve varlıklarına yönelik bu iç ve dış tehditlerin azaltılmasına yardımcı olabilir.
Rod Simmons, eşya sistemi başkan yardımcısı, Omada