Según la la investigación reciente, el 54% de las empresas sufrieron una filtración de datos de terceros solo durante los 12 meses anteriores, y el costo de esas vulneraciones sigue aumentando. Hoy el costo promedio de una violación de datos ha aumentado a $4.45 millones en los Estados Unidos, un aumento de más del 15% en los últimos tres años, y los datos indican que la participación de terceros es uno de los factores exacerbantes más importantes.
El término "incumplimiento de un tercero" lleva a muchos a creer que la culpa de tal incidente recae en el tercero, pero no siempre es así. Si bien es importante examinar minuciosamente las prácticas de seguridad de posibles socios y proveedores, las organizaciones también deben proteger y gestionar de forma eficaz las identidades de los no empleados para evitar ponerse en riesgos innecesarios. A medida que el volumen y la gravedad de las infracciones de terceros siguen creciendo, la implementación de medidas eficaces gestión de riesgos no empleados Estas prácticas serán cada vez más críticas para las empresas modernas.
Las identidades de no empleados se están disparando
El volumen de identidades utilizadas por la organización promedio se ha disparado en los últimos años, y las identidades de no empleados no son una excepción. A estudio reciente de McKinsey encontró que el 36% de la fuerza laboral de EE. UU. ahora está compuesta por trabajadores autónomos, contratados, independientes y temporales, en comparación con el 27% en 2016. Además de los trabajadores contratados, las empresas de hoy trabajan en estrecha colaboración con organizaciones asociadas, proveedores de la cadena de suministro, consultores y otras entidades externas, todos los cuales requieren distintos grados de acceso a los entornos digitales de la organización.
El volumen de identidades de no empleados es lo suficientemente significativo como para entrar en identidades no humanas, como las asociadas con las 130 aplicaciones diferentes de software como servicio (SaaS) que existen en la actualidad. empresa promedio utiliza hoy en día. Para trabajar dentro del entorno digital de una organización, cada una de estas entidades que no son empleados necesita identidades proporcionadas adecuadamente, y esas identidades deben administrarse de manera efectiva a lo largo de su ciclo de vida para reducir su riesgo y evitar convertirse en una amenaza potencial.
El ciclo de vida de la identidad de no empleado
Uno de los mayores desafíos cuando se trata de proteger y gestionar las identidades de no empleados es el proceso de incorporación. Los departamentos de TI y seguridad no siempre tienen la información necesaria sobre las funciones laborales específicas que un trabajador no empleado puede necesitar realizar, lo que dificulta el aprovisionamiento. Y debido a que los equipos de seguridad a menudo están bajo presión para evitar obstruir las operaciones comerciales, el camino de menor resistencia suele ser otorgar más permisos de los necesarios. Esto ayuda a agilizar las operaciones, pero también es peligroso: cuantos más permisos tenga una identidad, más daño puede causar un atacante si esa identidad se ve comprometida.
La naturaleza transitoria de los trabajadores no empleados también dificulta la gestión del ciclo de vida de la identidad. Las cuentas huérfanas son un problema importante: si nadie avisa a TI o a seguridad que un contratista se ha ido, su cuenta (completa con todos sus permisos y derechos) puede permanecer activa indefinidamente. Igualmente peligrosos son los permisos heredados o las cuentas duplicadas. Es importante reevaluar periódicamente los permisos que necesita un trabajador subcontratado, eliminando derechos que ya no son necesarios. Suena sencillo, pero las organizaciones actuales suelen gestionar cientos o miles de personas que no son empleados. Mantenerlos adecuadamente provisionados es un desafío importante, pero esencial para gestionar el riesgo de los no empleados.
Mejores prácticas para la gestión de riesgos de no empleados
Las organizaciones necesitan una solución capaz de visualizar todas las identidades de no empleados desde un único panel, una que también pueda ilustrar claramente los permisos y derechos de los que disfruta cada identidad. Eso significa tener una solución que pueda incorporar funciones automatizadas, lo que facilitará el aprovisionamiento de nuevas cuentas y el desmantelamiento de las antiguas.
La creación de roles predefinidos para ciertos puestos puede hacer que la incorporación sea más rápida y segura, y cuando una nueva persona que no es empleado comienza a trabajar, sus permisos deben tener una fecha de finalización. También es importante asignar un “patrocinador” interno a cada trabajador no empleado, alguien que sepa qué permisos necesita para realizar su trabajo y sea responsable de alertar a TI sobre cualquier cambio en su estado. Por extensión, también es fundamental que la solución registre cuándo cambia el patrocinio, como cuando el patrocinador deja la organización o asume un nuevo rol.
Una solución eficaz de gestión de riesgos para no empleados también debería facilitar el proceso de revalidación. Las organizaciones deben realizar controles periódicos para validar si personas que no son empleados todavía trabajan dentro de la organización. Esto podría incluir una notificación mensual enviada al patrocinador de cada no empleado para confirmar su estado.
El sistema también debe ser capaz de monitorear si los permisos se están utilizando activamente y notificar a los equipos de TI y de seguridad si una identidad parece estar inactiva o con exceso de derechos que no necesita. Verificar que las identidades tengan solo los derechos que necesitan y evitar el problema de las cuentas huérfanas se encuentran entre los elementos más importantes de la gestión de riesgos de no empleados.
A medida que las empresas utilizan un número cada vez mayor de trabajadores subcontratados, proveedores externos, aplicaciones SaaS y otras entidades que no son empleados, adoptar un enfoque moderno para la gestión de riesgos de no empleados ya no es opcional: es esencial.
Sobre la autora
Ben Cody tiene más de 30 años de experiencia en la creación y entrega de productos de software empresarial, así como también liderando exitosamente organizaciones de productos innovadoras y eficientes. Como vicepresidente senior de gestión de productos de SailPoint, Ben supervisa la estrategia, la hoja de ruta y la entrega de productos de la empresa. Antes de unirse a SailPoint, Ben ocupó puestos sénior de gestión de productos en Digital Guardian y McAfee. Su experiencia abarca la gestión de identidades y accesos, la protección de datos, la detección de amenazas, la seguridad en la nube y la gestión de servicios de TI. Ben tiene una licenciatura en Sistemas de Información de Gestión de la Universidad de Oklahoma. Cuando no está creando productos que protejan las identidades, es un ávido viticultor.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- ChartPrime. Eleve su juego comercial con ChartPrime. Accede Aquí.
- Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
- Fuente: https://www.darkreading.com/risk/facing-third-party-threats-with-non-employee-risk-management
- :posee
- :es
- :no
- $ UP
- 12
- 12 meses
- 15%
- 2016
- 30
- a
- Nuestra Empresa
- de la máquina
- Mi Cuenta
- Cuentas
- lector activo
- activamente
- adición
- Adopción
- Todos
- solo
- también
- hacerlo
- entre
- an
- y
- cualquier
- aparece
- aplicaciones
- enfoque
- somos
- AS
- asociado
- At
- Confirmación de Viaje
- promedio
- evitar
- evitar
- BE
- porque
- a las que has recomendado
- cada vez
- "Ser"
- CREEMOS
- bien
- Mayor
- incumplimiento
- infracciones
- Construir la
- negocios
- pero
- by
- PUEDEN
- capaz
- case
- a ciertos
- cadena
- Reto
- retos
- Cambios
- Cheques
- con claridad.
- de cerca
- Soluciones
- Cloud Security
- proviene
- compañía
- completar
- Comprometida
- Confirmar
- consultores
- continue
- continúa
- contrato
- Contratista
- Cost
- crítico
- Cycle
- peligroso
- página de información de sus operaciones
- datos
- Violacíon de datos
- protección de datos
- Fecha
- entregar
- entrega
- departamentos
- Detección
- una experiencia diferente
- difícil
- digital
- do
- sí
- don
- durante
- cada una
- más fácil
- Eficaz
- de manera eficaz
- eficiente
- ya sea
- elementos
- eliminando
- final
- suficientes
- Empresa
- software empresarial
- entidades
- Entorno
- ambientes
- igualmente
- esencial
- excepción
- experience
- Experiencia
- extensión
- tener problemas con
- factores importantes
- más rápida
- Caracteristicas
- encontrado
- freelance
- Desde
- funciones
- conseguir
- conceder
- Crecer
- tutor
- Tienen
- es
- he
- Retenida
- ayuda
- su
- mantiene
- HTTPS
- Cientos
- IBM
- identidades
- Identidad
- if
- implementación
- importante
- in
- incidente
- incluir
- incorporar
- aumente
- creciente
- cada vez más
- Indica
- información
- Sistemas De Información
- originales
- interno
- dentro
- la participación de
- ISN
- IT
- Servicio de TI
- SUS
- Trabajos
- unión
- acuerdo
- líder
- Prospectos
- menos
- izquierda
- Legado
- se encuentra
- Vida
- por más tiempo
- hecho
- para lograr
- HACE
- Realizar
- gestionan
- gestionado
- Management
- Solución de gestión
- administrar
- muchos
- max-ancho
- Puede..
- Mcafee
- McKinsey
- significa
- podría
- millones
- Moderno
- monitoreo
- mensual
- meses
- más,
- MEJOR DE TU
- Naturaleza
- necesario
- ¿ Necesita ayuda
- Nuevo
- no
- .
- notificar
- ahora
- número
- of
- a menudo
- Oklahoma
- on
- Inmersión
- ONE
- las
- , solamente
- Operaciones
- or
- organización
- para las fiestas.
- Otro
- afuera
- Más de
- Socio
- socios
- fiesta
- pasado
- camino
- Realizar
- permisos
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- abiertas
- posible
- prácticas
- presidente
- presión
- anterior
- Anterior
- Problema
- Producto
- gestión de producto
- Productos
- correctamente
- proteger
- Protección
- provisión
- Poniendo
- reducir
- regular
- regularmente
- permanecer
- exigir
- Resistencia
- responsable
- Subir
- Resucitado
- Riesgo
- Gestión sistemática del riesgo,
- hoja de ruta
- Función
- También soy miembro del cuerpo docente de World Extreme Medicine (WEM) y embajadora europea de igualdad para The Transformational Travel Council (TTC). En mi tiempo libre, soy una incansable aventurera, escaladora, patrona de día, buceadora y defensora de la igualdad de género en el deporte y la aventura. En XNUMX, fundé Almas Libres, una ONG nacida para involucrar, educar y empoderar a mujeres y niñas a través del deporte urbano, la cultura y la tecnología.
- s
- SaaS
- seguro
- asegurar
- EN LINEA
- mayor
- expedido
- de coches
- Varios
- tienes
- importante
- sencillos
- soltero
- Software
- a medida
- Alguien
- se extiende
- soluciones y
- patrocinar
- Patrocinado
- patrocinio
- comienza
- Zonas
- Estado
- Sin embargo
- Estrategia
- aerodinamizar
- comercial
- tal
- sufrió
- suministro
- cadena de suministro
- te
- Todas las funciones a su disposición
- toma
- equipos
- decirles
- temporal
- término
- que
- esa
- La
- su
- Les
- sí mismos
- Estas
- ellos
- Código
- terceros.
- datos de terceros
- así
- a fondo
- aquellos
- miles
- amenaza
- amenazas
- Tres
- a lo largo de
- a
- hoy
- seguir
- verdadero
- bajo
- United
- Estados Unidos
- universidad
- innecesario
- us
- utilizan el
- usado
- usos
- utilizar
- VALIDAR
- vendedores
- verificando
- VET
- vicio
- Vice Presidenta
- volumen
- WELL
- ¿
- cuando
- sean
- que
- mientras
- QUIENES
- seguirá
- dentro de
- sin
- Actividades:
- obrero
- los trabajadores.
- Empleados
- trabajando
- años
- zephyrnet