第三次社交聚會獲得管理
已發表: 2022-01-12
第三次聚會已成為公司生命週期的主要內容:承包商、臨時人員、顧問等。 公司通常通過其人力資源部門的職能構建 HCMS(人力資源管理計劃)來規範其員工,並且他們通常在目錄公司中進行管理。 話雖如此,第三個事件是企業可能以不同方式處理和監管的另一組完整的員工。
在這一點上,Ponemon Institute 的一份關於 3rd-get together 遠程可訪問性的報告中,54% 的企業表示他們缺乏可訪問其網絡的第三個事件的詳細庫存。 此外,65% 的受訪者表示他們的企業真的不知道哪些第三功能獲得了他們最敏感的信息。 這不能繼續下去。 公司只需要控制所有有權訪問的實體,包括第三次聚會。
缺乏第三方社交聚會管理產生可能
此外,上面引用的報告發現,51% 的公司已經發現了由第三次 bash 引發的信息洩露事件。 問題本質上並不在於第三方本質上是不安全的,而是需要內部可訪問性的非員工身份的管理是一個獨特的應用,而不是必須具有訪問權限的員工身份的管理。
在眾多組織中,第 3 次管理不是一個有紀律的行動過程。 條目通常是在廣告的基礎上提供的。 您可以有一個部分通知 HR 團隊他們正在引入新的承包商,但他們正在以分散的方式處理行動過程。 在承包商完成工作後,沒有通知 HR 或 IT 承包商仍然離開,因此可以消除他們的可訪問性/帳戶。 或者,即使是這樣,手動取消該訪問權限並取消配置第三次社交聚會可能會花費時間,如果不是幾個月的話。
如果沒有集中的記錄流程,人力資源部門以及 IT 和安全團隊很難知道第三次聚會的進展情況。 例如,如果承包商被延長怎麼辦? 延長的時間有多長? 協議是否提前完成,沒有通知任何人? 這些專業知識差距可能會導致高速公路上的保護問題,因為不再需要使用或監控的站立可訪問性可能是攻擊者的簡單目標。
為什麼顯而易見的照顧並不能糾正事情
企業的 HR 技術通常適用於並支持添加到目錄公司的全職員工。 社區和應用程序等事項,以及工作狀態下降在該範圍內。 但在大多數情況下,承包商和其他第 3 項功能實際上並沒有被添加到這些方法中,原因有很多。
似乎顯然正確的是讓 HCMS 參加第三次聚會。 但是已經有各種各樣的訴訟涉及這種策略。 非僱員一旦超出內部 HR 方法的範圍,就會引發他們的就業狀況問題——也就是說,他們現在還能合法地被視為公正的承包商嗎? 或者他們是工作人員,因此要求通常為全職工作人員保留的福利?
身份治理和訪問的優勢
為了讓自信的第三次聚會能夠正確進入他們想要就業的單位和項目,企業需要強大的身份治理和訪問 (IGA)。 它們的可訪問性也必須僅限於所需的適當間隔。 這種策略是利用最低權限獲取設計的基礎,這通常意味著最終用戶只有在適當的時間段內完成其職業所需的最低程度的訪問權限。 這通常是潛在客戶限制最終用戶和擁有廣泛或更高獲取權限的帳戶的數量,這可以大大降低橫向移動和勒索軟件引發的事件風險。
通過採用完整的 IGA 解決方案,企業可以簡化第三方的身份生命週期流程,包括自動化入職、離職、運營擴展和部門變更。 IGA 管理整個混合 IT 環境中的資產獲取,並改進審計和合規性報告以確保穩定的風險概覽。
讓利益相關者參與進來,並了解需要了解的內容
這不僅僅是確保第三次聚會安全的問題——部署集中式 IGA 解決方案將有助於保護和控制所有身份。 但是,出於各種動機,為此製作場景是一個問題。
從 IGA 流程開始就贏得批判性管理的人心是非常重要的。 企業模型描述的 IGA 部署(在高管的幫助下)比僅由 IT 驅動的人員更有利可圖。
由於穩定性通常被視為價格標籤中心,因此很難為 IGA 制定小型企業的情況。 還有總擁有價值(TCO)的問題。 領導者需要與軟件分銷商核實短期和長期的全部費用。 實現價值的時間是一個進一步的考慮因素,因為 IGA 應該快速執行,同樣證明其穩定性確實值得,並避免它陷入無限設置的泥潭。 最好是,IGA 決議必須在 12 週內提供價值。
可配置性和可擴展性在整個 IGA 備選方案的評估方法中至關重要。 當過去的實施以定制為目標時,今天的優先事項是配置和系統與理想技術的一致性。 作為回報,這種觀點將顯著降低 TCO。
信息類型的分類也很重要。 此功能改進了對具有 GDPR 合規性所需的敏感信息或信息的設備的管理和報告,而這些信息僅應由第三個事件的子集所必需。 數據分類功能使細節屬性的標準管理和監督變得更好,並允許基於事實的選擇創建和結論。 似乎能夠方便地放鬆密碼而無需與支持台交談,並在所有相關應用程序中同步密碼,因此消費者應該只記住一個密碼。
降低風險
企業已經開始依靠 3rd 事件來支持他們填補空白並提供某些形式的提供商。 如果沒有得到有效管理,它們在社區中的存在仍然可能是一種保護危險。 幾家公司在供應和取消供應對內部手段的可訪問性方面一直很隨意,但 IGA 提供了不太複雜和更順暢的程序來很好地自動化其中的一些工作。 IGA 為企業提供了在其任期內以自動化方式定期處理所有第三方事件的進入的潛力。 這樣的過程可以幫助減少對社區及其資產的內部和外部威脅。
Rod Simmons, Omada項目系統副總裁