第三次社交聚会获得管理
已发表: 2022-01-12
第三次聚会已成为公司生命周期的主要内容:承包商、临时人员、顾问等。 公司通常通过其人力资源部门的职能构建 HCMS(人力资源管理计划)来规范其员工,并且他们通常在目录公司中进行管理。 话虽如此,第三个事件是企业可能以不同方式处理和监管的另一组完整的员工。
在这一点上,Ponemon Institute 的一份关于 3rd-get together 远程可访问性的报告中,54% 的企业表示他们缺乏可访问其网络的第三个事件的详细库存。 此外,65% 的受访者表示他们的企业真的不知道哪些第三功能获得了他们最敏感的信息。 这不能继续下去。 公司只需要控制所有有权访问的实体,包括第三次聚会。
缺乏第三方社交聚会管理产生可能
此外,上面引用的报告发现,51% 的公司已经发现了由第三次 bash 引发的信息泄露事件。 问题本质上并不在于第三方本质上是不安全的,而是需要内部可访问性的非员工身份的管理是一个独特的应用,而不是必须具有访问权限的员工身份的管理。
在众多组织中,第 3 次管理不是一个有纪律的行动过程。 条目通常是在广告的基础上提供的。 您可以有一个部分通知 HR 团队他们正在引入新的承包商,但他们正在以分散的方式处理行动过程。 在承包商完成工作后,没有通知 HR 或 IT 承包商仍然离开,因此可以消除他们的可访问性/帐户。 或者,即使是这样,手动取消该访问权限并取消配置第三次社交聚会可能会花费时间,如果不是几个月的话。
如果没有集中的记录流程,人力资源部门以及 IT 和安全团队很难知道第三次聚会的进展情况。 例如,如果承包商被延长怎么办? 延长的时间有多长? 协议是否提前完成,没有通知任何人? 这些专业知识差距可能会导致高速公路上的保护问题,因为不再需要使用或监控的站立可访问性可能是攻击者的简单目标。
为什么显而易见的照顾并不能纠正事情
企业的 HR 技术通常适用于并支持添加到目录公司的全职员工。 社区和应用程序等事项,以及工作状态下降在该范围内。 但在大多数情况下,承包商和其他第 3 项功能实际上并没有被添加到这些方法中,原因有很多。
似乎显然正确的是让 HCMS 参加第三次聚会。 但是已经有各种各样的诉讼涉及这种策略。 非雇员一旦超出内部 HR 方法的范围,就会引发他们的就业状况问题——也就是说,他们现在还能合法地被视为公正的承包商吗? 或者他们是工作人员,因此要求通常为全职工作人员保留的福利?
身份治理和访问的优势
为了让自信的第三次聚会能够正确进入他们想要就业的单位和项目,企业需要强大的身份治理和访问 (IGA)。 它们的可访问性也必须仅限于所需的适当间隔。 这种策略是利用最低权限获取设计的基础,这通常意味着最终用户只有在适当的时间段内完成其职业所需的最低程度的访问权限。 这通常是潜在客户限制最终用户和拥有广泛或更高获取权限的帐户的数量,这可以大大降低横向移动和勒索软件引发的事件风险。
通过采用完整的 IGA 解决方案,企业可以简化第三方的身份生命周期流程,包括自动化入职、离职、运营扩展和部门变更。 IGA 管理整个混合 IT 环境中的资产获取,并改进审计和合规性报告以确保稳定的风险概览。
让利益相关者参与进来,并了解需要了解的内容
这不仅仅是确保第三次聚会安全的问题——部署集中式 IGA 解决方案将有助于保护和控制所有身份。 但是,出于各种动机,为此制作场景是一个问题。
从 IGA 流程开始就赢得批判性管理的人心是非常重要的。 企业模型描述的 IGA 部署(在高管的帮助下)比仅由 IT 驱动的人员更有利可图。
由于稳定性通常被视为价格标签中心,因此很难为 IGA 制定小型企业的情况。 还有总拥有价值(TCO)的问题。 领导者需要与软件分销商核实短期和长期的全部费用。 实现价值的时间是一个进一步的考虑因素,因为 IGA 应该快速执行,同样证明其稳定性确实值得,并避免它陷入无限设置的泥潭。 最好是,IGA 决议必须在 12 周内提供价值。
可配置性和可扩展性在整个 IGA 备选方案的评估方法中至关重要。 当过去的实施以定制为目标时,今天的优先事项是配置和系统与理想技术的一致性。 作为回报,这种观点将显着降低 TCO。
信息类型的分类也很重要。 此功能改进了对具有 GDPR 合规性所需的敏感信息或信息的设备的管理和报告,而这些信息仅应由第三个事件的子集所必需。 数据分类功能使细节属性的标准管理和监督变得更好,并允许基于事实的选择创建和结论。 似乎能够方便地放松密码而无需与支持台交谈,并在所有相关应用程序中同步密码,因此消费者应该只记住一个密码。
降低风险
企业已经开始依靠 3rd 事件来支持他们填补空白并提供某些形式的提供商。 如果没有得到有效管理,它们在社区中的存在仍然可能是一种保护危险。 几家公司在供应和取消供应对内部手段的可访问性方面一直很随意,但 IGA 提供了不太复杂和更顺畅的程序来很好地自动化其中的一些工作。 IGA 为企业提供了在其任期内以自动化方式定期处理所有第三方事件的进入的潜力。 这样的过程可以帮助减少对社区及其资产的内部和外部威胁。
Rod Simmons, Omada项目系统副总裁