Laut neuere Forschungen54 % der Unternehmen erlitten allein in den letzten 12 Monaten einen Verstoß gegen die Daten Dritter – und die Kosten dieser Verstöße steigen weiter. Heute, den durchschnittliche Kosten einer Datenverletzung ist in den Vereinigten Staaten auf 4.45 Millionen US-Dollar gestiegen, was einem Anstieg von mehr als 15 % in den letzten drei Jahren entspricht, und die Daten zeigen, dass die Beteiligung Dritter einer der bedeutendsten erschwerenden Faktoren ist.
Der Begriff „Verstoß durch Dritte“ lässt viele glauben, dass die Schuld für einen solchen Vorfall beim Dritten liegt, aber das ist nicht immer der Fall. Während es wichtig ist, die Sicherheitspraktiken potenzieller Partner und Anbieter gründlich zu überprüfen, müssen Unternehmen auch die Identitäten von Nicht-Mitarbeitern effektiv schützen und verwalten, um sich nicht unnötigen Risiken auszusetzen. Da Umfang und Schwere der Verstöße Dritter weiter zunehmen, ist eine effektive Umsetzung erforderlich Risikomanagement außerhalb der Mitarbeiter Praktiken werden für moderne Unternehmen immer wichtiger.
Die Identität von Nicht-Mitarbeitern nimmt rasant zu
Die Menge der von einem durchschnittlichen Unternehmen verwendeten Identitäten ist in den letzten Jahren sprunghaft angestiegen, und Identitäten von Nicht-Mitarbeitern bilden da keine Ausnahme. A aktuellen Studie von McKinsey hat herausgefunden, dass 36 % der Arbeitskräfte in den USA mittlerweile aus Auftrags-, Vertrags-, Freiberuflern und Zeitarbeitern bestehen – ein Anstieg gegenüber 27 % im Jahr 2016. Zusätzlich zu den Vertragsarbeitern arbeiten die heutigen Unternehmen eng mit Partnerorganisationen, Lieferkettenanbietern usw. zusammen. Berater und andere externe Einheiten, die alle unterschiedlichen Zugriff auf die digitalen Umgebungen der Organisation benötigen.
Die Menge an Nicht-Mitarbeiter-Identitäten ist beträchtlich genug, ohne auf nicht-menschliche Identitäten einzugehen, wie sie beispielsweise mit den 130 verschiedenen Software-as-a-Service-Anwendungen (SaaS) verbunden sind durchschnittliches Unternehmen heute verwendet. Um in der digitalen Umgebung einer Organisation arbeiten zu können, benötigen diese nicht mitarbeiterbezogenen Einheiten ordnungsgemäß bereitgestellte Identitäten. Diese Identitäten müssen während ihres gesamten Lebenszyklus effektiv verwaltet werden, um ihr Risiko zu verringern und zu vermeiden, dass sie zu einer potenziellen Bedrohung werden.
Der Lebenszyklus der Nicht-Mitarbeiter-Identität
Eine der größten Herausforderungen bei der Sicherung und Verwaltung von Nicht-Mitarbeiter-Identitäten ist der Onboarding-Prozess. IT- und Sicherheitsabteilungen verfügen nicht immer über die erforderlichen Informationen über die spezifischen Arbeitsfunktionen, die ein nicht angestellter Mitarbeiter möglicherweise ausführen muss, was die Bereitstellung erschwert. Und da Sicherheitsteams oft unter dem Druck stehen, den Geschäftsbetrieb nicht zu behindern, besteht der Weg des geringsten Widerstands oft darin, mehr Berechtigungen als nötig zu erteilen. Dies trägt zur Rationalisierung von Abläufen bei, ist aber auch gefährlich: Je mehr Berechtigungen eine Identität hat, desto mehr Schaden kann ein Angreifer anrichten, wenn diese Identität kompromittiert wird.
Auch die vorübergehende Natur nicht angestellter Arbeitnehmer erschwert die Verwaltung des Identitätslebenszyklus. Verwaiste Konten stellen ein erhebliches Problem dar: Wenn niemand der IT- oder Sicherheitsabteilung mitteilt, dass ein Auftragnehmer das Unternehmen verlassen hat, kann sein Konto – einschließlich aller Berechtigungen und Berechtigungen – auf unbestimmte Zeit aktiv bleiben. Ebenso gefährlich sind veraltete Berechtigungen oder doppelte Konten. Es ist wichtig, die Berechtigungen, die ein Vertragsarbeiter benötigt, regelmäßig neu zu bewerten und nicht mehr benötigte Berechtigungen zu eliminieren. Es klingt einfach, aber heutzutage verwalten Unternehmen oft Hunderte oder Tausende von Nicht-Mitarbeitern. Die ordnungsgemäße Bereitstellung dieser Ressourcen stellt eine große Herausforderung dar, die jedoch für die Bewältigung von Risiken außerhalb der Mitarbeiter von entscheidender Bedeutung ist.
Best Practices für das Risikomanagement außerhalb von Mitarbeitern
Unternehmen benötigen eine Lösung, die in der Lage ist, alle Nicht-Mitarbeiteridentitäten über ein einziges Dashboard zu visualisieren – eine Lösung, die auch die Berechtigungen und Berechtigungen jeder Identität klar darstellen kann. Das bedeutet, dass Sie über eine Lösung verfügen, die automatisierte Funktionen integrieren kann und so die Bereitstellung neuer Konten und die Außerbetriebnahme älterer Konten erleichtert.
Das Erstellen vordefinierter Rollen für bestimmte Positionen kann das Onboarding schneller und sicherer machen, und wenn ein neuer Nicht-Mitarbeiter seine Arbeit aufnimmt, sollten seine Berechtigungen ein Enddatum haben. Es ist auch wichtig, jedem nicht angestellten Mitarbeiter einen internen „Sponsor“ zuzuweisen, der weiß, welche Berechtigungen er für die Ausführung seiner Arbeit benötigt, und der dafür verantwortlich ist, die IT-Abteilung über alle Änderungen seines Status zu informieren. Darüber hinaus ist es auch wichtig, dass die Lösung verfolgt, wenn sich das Sponsoring ändert – etwa wenn der Sponsor die Organisation verlässt oder eine neue Rolle übernimmt.
Eine wirksame Lösung für das Risikomanagement außerhalb der Mitarbeiter sollte auch den Revalidierungsprozess erleichtern. Organisationen sollten regelmäßige Kontrollen durchführen, um zu überprüfen, ob noch Nicht-Mitarbeiter in der Organisation arbeiten. Dazu kann eine monatliche Benachrichtigung gehören, die an den Sponsor jedes Nicht-Mitarbeiters gesendet wird, um seinen Status zu bestätigen.
Das System sollte außerdem in der Lage sein, zu überwachen, ob Berechtigungen aktiv genutzt werden, und die IT- und Sicherheitsteams zu benachrichtigen, wenn eine Identität entweder inaktiv zu sein scheint oder mit Berechtigungen überlastet ist, die sie nicht benötigt. Die Überprüfung, dass Identitäten nur über die Berechtigungen verfügen, die sie benötigen, und die Vermeidung des Problems verwaister Konten gehören zu den wichtigsten Elementen des Risikomanagements außerhalb von Mitarbeitern.
Da Unternehmen immer mehr Vertragsarbeiter, Drittanbieter, SaaS-Anwendungen und andere mitarbeiterfremde Einheiten einsetzen, ist die Einführung eines modernen Ansatzes für das mitarbeiterfremde Risikomanagement nicht länger optional, sondern von wesentlicher Bedeutung.
Über den Autor
Ben Cody verfügt über mehr als 30 Jahre Erfahrung in der Entwicklung und Bereitstellung von Unternehmenssoftwareprodukten sowie in der erfolgreichen Führung innovativer und effizienter Produktorganisationen. Als Senior Vice President of Product Management bei SailPoint überwacht Ben die Produktstrategie, Roadmap und Lieferung des Unternehmens. Bevor er zu SailPoint kam, hatte Ben leitende Produktmanagementfunktionen bei Digital Guardian und McAfee inne. Seine Fachkenntnisse umfassen Identitäts- und Zugriffsmanagement, Datenschutz, Bedrohungserkennung, Cloud-Sicherheit und IT-Service-Management. Ben hat einen BAA in Managementinformationssystemen von der University of Oklahoma. Wenn er nicht gerade Produkte herstellt, die Identitäten schützen, ist er ein begeisterter Winzer.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Automobil / Elektrofahrzeuge, Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- ChartPrime. Verbessern Sie Ihr Handelsspiel mit ChartPrime. Hier zugreifen.
- BlockOffsets. Modernisierung des Eigentums an Umweltkompensationen. Hier zugreifen.
- Quelle: https://www.darkreading.com/risk/facing-third-party-threats-with-non-employee-risk-management
- :hast
- :Ist
- :nicht
- $UP
- 12
- 12 Monate
- 15%
- 2016
- 30
- a
- Über Uns
- Zugang
- Konto
- Trading Konten
- aktiv
- aktiv
- Zusatz
- Die Annahme
- Alle
- allein
- ebenfalls
- immer
- unter
- an
- und
- jedem
- erscheint
- Anwendungen
- Ansatz
- SIND
- AS
- damit verbundenen
- At
- Automatisiert
- durchschnittlich
- vermeiden
- Vermeidung von
- BE
- weil
- werden
- Werden
- Sein
- Glauben
- ben
- Größte
- Verletzung
- Verstöße
- Building
- Geschäft
- Unternehmen
- aber
- by
- CAN
- fähig
- Häuser
- sicher
- Kette
- challenges
- Herausforderungen
- Änderungen
- Schecks
- eng
- Cloud
- Cloud-Sicherheit
- kommt
- Unternehmen
- abschließen
- Kompromittiert
- Schichtannahme
- Berater
- fortsetzen
- weiter
- Vertrag
- Auftragnehmer
- Kosten
- kritischem
- Zyklus
- Gefährlich
- Armaturenbrett
- technische Daten
- Datenmissbrauch
- Datenschutz
- Datum
- liefern
- Lieferanten
- Abteilungen
- Entdeckung
- anders
- schwer
- digital
- do
- die
- Don
- im
- jeder
- einfacher
- Effektiv
- effektiv
- effizient
- entweder
- Elemente
- eliminieren
- Ende
- genug
- Unternehmen
- Unternehmenssoftware
- Entitäten
- Arbeitsumfeld
- Umgebungen
- gleichermaßen
- essential
- Ausnahme
- ERFAHRUNGEN
- Expertise
- Erweiterung
- zugewandt
- Faktoren
- beschleunigt
- Eigenschaften
- Aussichten für
- gefunden
- frei
- für
- Funktionen
- bekommen
- gewähren
- Wachsen Sie über sich hinaus
- Wächter
- Haben
- mit
- he
- Statt
- hilft
- seine
- hält
- HTTPS
- hunderte
- IBM
- Identitäten
- Identitätsschutz
- if
- Umsetzung
- wichtig
- in
- Zwischenfall
- das
- integrieren
- Erhöhung
- zunehmend
- zunehmend
- zeigt
- Information
- Information Systems
- innovativ
- intern
- in
- Beteiligung
- isn
- IT
- IT-Service
- SEINE
- Job
- Beitritt
- Aufbewahrung
- führenden
- umwandeln
- am wenigsten
- links
- Legacy
- liegt
- Lebensdauer
- länger
- gemacht
- um
- MACHT
- Making
- verwalten
- verwaltet
- Management
- Management-Lösung
- flächendeckende Gesundheitsprogramme
- viele
- max-width
- Kann..
- McAfee
- McKinsey
- Mittel
- könnte
- Million
- modern
- Überwachung
- monatlich
- Monat
- mehr
- vor allem warme
- Natur
- notwendig,
- Need
- Bedürfnisse
- Neu
- nicht
- Benachrichtigung
- Benachrichtigung
- jetzt an
- Anzahl
- of
- vorgenommen,
- Oklahoma
- on
- Einsteigen
- EINEM
- Einsen
- einzige
- Einkauf & Prozesse
- or
- Organisation
- Organisationen
- Andere
- aussen
- übrig
- Partner
- Party
- passt
- Weg
- Ausführen
- Berechtigungen
- Plato
- Datenintelligenz von Plato
- PlatoData
- für einige Positionen
- Potenzial
- Praktiken
- Präsident
- Druck
- früher
- Vor
- Aufgabenstellung:
- Prozessdefinierung
- Produkt
- Produktmanagement
- Produkte
- richtig
- Risiken zu minimieren
- Sicherheit
- Bereitstellung
- Putting
- Veteran
- regulär
- regelmäßig
- bleiben
- erfordern
- Robustes Design
- für ihren Verlust verantwortlich.
- Rise
- Auferstanden
- Risiko
- Risikomanagement
- Fahrplan
- Rollen
- Rollen
- s
- SaaS
- Verbindung
- Sicherung
- Sicherheitdienst
- Senior
- geschickt
- mehrere
- sollte
- signifikant
- Einfacher
- Single
- Software
- Lösung
- Jemand,
- überspannt
- spezifisch
- Sponsor
- Sponsored
- Patenschaftsprogramme
- beginnt
- Staaten
- Status
- Immer noch
- Strategie
- rationalisieren
- Erfolg
- so
- erlitt
- liefern
- Supply Chain
- System
- Systeme und Techniken
- nimmt
- Teams
- erzählt
- vorübergehend
- Begriff
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- Sie
- sich
- Diese
- vom Nutzer definierten
- Dritte
- basierte Online-to-Offline-Werbezuordnungen von anderen gab.
- Daten von Drittanbietern
- fehlen uns die Worte.
- gründlich
- diejenigen
- Tausende
- Bedrohung
- Bedrohungen
- nach drei
- während
- zu
- heute
- verfolgen sind
- was immer dies auch sein sollte.
- für
- Vereinigt
- USA
- Universität
- unnötig
- us
- -
- benutzt
- verwendet
- Nutzen
- BESTÄTIGEN
- Anbieter
- verifizieren
- VET
- Schraubstock
- Vizepräsident:in
- Volumen
- GUT
- Was
- wann
- ob
- welche
- während
- WHO
- werden wir
- mit
- .
- ohne
- Arbeiten
- Arbeiter
- Arbeiter
- Belegschaft
- arbeiten,
- Jahr
- Zephyrnet