Secondo recente ricerca, il 54% delle aziende ha subito una violazione dei dati da parte di terzi solo nei 12 mesi precedenti e il costo di tali violazioni continua ad aumentare. Oggi, il costo medio di una violazione dei dati è salito a 4.45 milioni di dollari negli Stati Uniti, con un aumento di oltre il 15% negli ultimi tre anni, e i dati indicano che il coinvolgimento di terze parti è uno dei fattori aggravanti più significativi.
Il termine “violazione da parte di terzi” porta molti a credere che la colpa di un simile incidente spetti a terzi, ma non è sempre così. Sebbene sia importante esaminare attentamente le pratiche di sicurezza di potenziali partner e fornitori, le organizzazioni devono anche proteggere e gestire in modo efficace le identità dei non dipendenti per evitare di esporsi a rischi inutili. Poiché il volume e la gravità delle violazioni da parte di terzi continuano a crescere, un’implementazione efficace gestione del rischio non dipendente diventeranno sempre più cruciali per le imprese moderne.
Le identità dei non dipendenti sono alle stelle
Il volume delle identità utilizzate dall’organizzazione media è salito alle stelle negli ultimi anni e le identità dei non dipendenti non fanno eccezione. UN recente studio di McKinsey ha rilevato che il 36% della forza lavoro statunitense è ora costituito da lavoratori temporanei, a contratto, freelance e temporanei, rispetto al 27% del 2016. Oltre ai lavoratori a contratto, le aziende di oggi lavorano a stretto contatto con organizzazioni partner, fornitori della catena di fornitura, consulenti e altre entità esterne, che richiedono tutti diversi gradi di accesso agli ambienti digitali dell'organizzazione.
Il volume delle identità non dipendenti è sufficientemente significativo senza entrare in identità non umane, come quelle associate alle 130 diverse applicazioni SaaS (Software-as-a-Service) compagnia media usa oggi. Per lavorare nell'ambiente digitale di un'organizzazione, ciascuna di queste entità non dipendenti necessita di identità adeguatamente fornite e tali identità devono essere gestite in modo efficace durante tutto il loro ciclo di vita per ridurre i rischi ed evitare di diventare una potenziale minaccia.
Il ciclo di vita dell'identità dei non dipendenti
Una delle maggiori sfide quando si tratta di proteggere e gestire le identità dei non dipendenti è il processo di onboarding. I reparti IT e di sicurezza non sempre dispongono delle informazioni necessarie sulle funzioni lavorative specifiche che un lavoratore non dipendente potrebbe dover svolgere, il che rende difficile il provisioning. E poiché i team di sicurezza sono spesso sotto pressione per evitare di ostacolare le operazioni aziendali, il percorso di minor resistenza è spesso quello di concedere più autorizzazioni del necessario. Ciò aiuta a semplificare le operazioni, ma è anche pericoloso: maggiori sono i permessi di un'identità, maggiore è il danno che un utente malintenzionato può arrecare se l'identità viene compromessa.
La natura transitoria dei lavoratori non dipendenti rende difficile anche la gestione del ciclo di vita dell’identità. Gli account orfani rappresentano un problema significativo: se nessuno informa l'IT o la sicurezza che un appaltatore se n'è andato, il suo account, completo di tutte le autorizzazioni e i diritti, può rimanere attivo indefinitamente. Altrettanto pericolose sono le autorizzazioni legacy o gli account duplicati. È importante rivalutare regolarmente le autorizzazioni di cui ha bisogno un lavoratore a contratto, eliminando i diritti che non sono più necessari. Sembra semplice, ma le organizzazioni odierne spesso gestiscono centinaia o migliaia di non dipendenti. Mantenerli adeguatamente riforniti è una sfida significativa, ma essenziale per gestire il rischio non dipendente.
Migliori pratiche per la gestione del rischio dei non dipendenti
Le organizzazioni necessitano di una soluzione in grado di visualizzare tutte le identità dei non dipendenti da un'unica dashboard, che possa anche illustrare chiaramente le autorizzazioni e i diritti di cui gode ciascuna identità. Ciò significa disporre di una soluzione in grado di incorporare funzionalità automatizzate, semplificando il provisioning di nuovi account e la disattivazione di quelli più vecchi.
La creazione di ruoli predefiniti per determinate posizioni può rendere l'onboarding più rapido e sicuro e, quando un nuovo non dipendente inizia a lavorare, le sue autorizzazioni dovrebbero avere una data di fine. È inoltre importante assegnare uno "sponsor" interno a ciascun lavoratore non dipendente, qualcuno che conosca le autorizzazioni di cui ha bisogno per svolgere il proprio lavoro e sia responsabile di avvisare l'IT di eventuali cambiamenti nel suo stato. Per estensione, è anche fondamentale che la soluzione tenga traccia dei cambiamenti di sponsorizzazione, ad esempio quando lo sponsor lascia l'organizzazione o assume un nuovo ruolo.
Un'efficace soluzione di gestione del rischio non dipendente dovrebbe anche semplificare il processo di riconvalida. Le organizzazioni dovrebbero eseguire controlli regolari per verificare se i non dipendenti stanno ancora lavorando all’interno dell’organizzazione. Ciò potrebbe includere una notifica mensile inviata allo sponsor di ciascun non dipendente per confermarne lo stato.
Il sistema dovrebbe anche essere in grado di monitorare se le autorizzazioni vengono utilizzate attivamente e di avvisare i team IT e di sicurezza se un'identità sembra essere dormiente o dotata di diritti di cui non ha bisogno. Verificare che le identità abbiano solo i diritti di cui hanno bisogno ed evitare il problema dei conti orfani sono tra gli elementi più importanti della gestione del rischio dei non dipendenti.
Poiché le aziende utilizzano un numero crescente di lavoratori a contratto, fornitori di terze parti, applicazioni SaaS e altre entità non dipendenti, l'adozione di un approccio moderno alla gestione dei rischi non dipendenti non è più facoltativa: è essenziale.
L'autore
Ben Cody ha oltre 30 anni di esperienza nella creazione e fornitura di prodotti software aziendali, nonché successo nella guida di organizzazioni di prodotti innovative ed efficienti. In qualità di vicepresidente senior della gestione dei prodotti di SailPoint, Ben supervisiona la strategia, la tabella di marcia e la consegna dei prodotti dell'azienda. Prima di entrare in SailPoint, Ben ha ricoperto ruoli di gestione prodotto senior presso Digital Guardian e McAfee. La sua esperienza spazia dalla gestione delle identità e degli accessi, alla protezione dei dati, al rilevamento delle minacce, alla sicurezza del cloud e alla gestione dei servizi IT. Ben ha conseguito una laurea in Sistemi informativi gestionali presso l'Università dell'Oklahoma. Quando non costruisce prodotti che proteggono le identità, è un appassionato viticoltore.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Automobilistico/VE, Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Grafico Prime. Migliora il tuo gioco di trading con ChartPrime. Accedi qui.
- BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
- Fonte: https://www.darkreading.com/risk/facing-third-party-threats-with-non-employee-risk-management
- :ha
- :È
- :non
- $ SU
- 12
- 12 mesi
- 15%
- 2016
- 30
- a
- WRI
- accesso
- Il mio account
- conti
- attivo
- attivamente
- aggiunta
- Adottando
- Tutti
- da solo
- anche
- sempre
- tra
- an
- ed
- in qualsiasi
- appare
- applicazioni
- approccio
- SONO
- AS
- associato
- At
- Automatizzata
- media
- evitare
- evitando
- BE
- perché
- diventare
- diventando
- essendo
- CREDIAMO
- Ben
- Maggiore
- violazione
- violazioni
- Costruzione
- affari
- aziende
- ma
- by
- Materiale
- capace
- Custodie
- certo
- catena
- Challenge
- sfide
- Modifiche
- Controlli
- chiaramente
- strettamente
- Cloud
- Cloud Security
- viene
- azienda
- completamento di una
- Compromissione
- Confermare
- consulenti
- continua
- continua
- contratto
- Contraente
- Costo
- critico
- ciclo
- Pericoloso
- cruscotto
- dati
- violazione di dati
- protezione dati
- Data
- consegna
- consegna
- dipartimenti
- rivelazione
- diverso
- difficile
- digitale
- do
- effettua
- don
- durante
- ogni
- più facile
- Efficace
- in maniera efficace
- efficiente
- o
- elementi
- eliminando
- fine
- abbastanza
- Impresa
- software aziendale
- entità
- Ambiente
- ambienti
- Allo stesso modo
- essential
- eccezione
- esperienza
- competenza
- estensione
- di fronte
- Fattori
- più veloce
- Caratteristiche
- Nel
- essere trovato
- indipendente
- da
- funzioni
- ottenere
- concedere
- Crescere
- custode
- Avere
- avendo
- he
- Eroe
- aiuta
- il suo
- detiene
- HTTPS
- centinaia
- IBM
- identità
- Identità
- if
- Implementazione
- importante
- in
- incidente
- includere
- incorporare
- Aumento
- crescente
- sempre più
- indica
- informazioni
- Sistemi di informazione
- creativi e originali
- interno
- ai miglioramenti
- coinvolgimento
- ISN
- IT
- Servizio IT
- SUO
- Lavoro
- accoppiamento
- conservazione
- principale
- Leads
- meno
- a sinistra
- Eredità
- si trova
- Vita
- più a lungo
- fatto
- make
- FA
- Fare
- gestire
- gestito
- gestione
- Soluzione di gestione
- gestione
- molti
- max-width
- Maggio..
- Mcafee
- McKinsey
- si intende
- forza
- milione
- moderno
- monitoraggio
- mensile
- mese
- Scopri di più
- maggior parte
- Natura
- necessaria
- Bisogno
- esigenze
- New
- no
- notifica
- notificando
- adesso
- numero
- of
- di frequente
- Oklahoma
- on
- Procedura di Onboarding
- ONE
- quelli
- esclusivamente
- Operazioni
- or
- organizzazione
- organizzazioni
- Altro
- al di fuori
- ancora
- partner
- partner
- partito
- passato
- sentiero
- Eseguire
- permessi
- Platone
- Platone Data Intelligence
- PlatoneDati
- posizioni
- potenziale
- pratiche
- Presidente
- pressione
- precedente
- Precedente
- Problema
- processi
- Prodotto
- gestione del prodotto
- Prodotti
- propriamente
- protegge
- protezione
- fornitura
- Mettendo
- ridurre
- Basic
- regolarmente
- rimanere
- richiedere
- resistenza all'usura
- responsabile
- Aumento
- Aumentato
- Rischio
- gestione del rischio
- tabella di marcia
- Ruolo
- ruoli
- s
- SaaS
- sicuro
- fissaggio
- problemi di
- anziano
- inviato
- servizio
- alcuni
- dovrebbero
- significativa
- Un'espansione
- singolo
- Software
- soluzione
- Qualcuno
- campate
- specifico
- sponsor
- Sponsored
- sponsorizzazione
- inizio
- stati
- Stato dei servizi
- Ancora
- Strategia
- snellire
- il successo
- tale
- subito
- fornire
- supply chain
- sistema
- SISTEMI DI TRATTAMENTO
- prende
- le squadre
- dice
- temporaneo
- termine
- di
- che
- Il
- loro
- Li
- si
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- Terza
- di parti terze standard
- dati di terze parti
- questo
- a fondo
- quelli
- migliaia
- minaccia
- minacce
- tre
- per tutto
- a
- oggi
- pista
- vero
- per
- Unito
- Stati Uniti
- Università
- inutile
- us
- uso
- utilizzato
- usa
- utilizzare
- CONVALIDARE
- fornitori
- verifica
- VET
- vice
- Vicepresidente
- volume
- WELL
- Che
- quando
- se
- quale
- while
- OMS
- volere
- con
- entro
- senza
- Lavora
- lavoratore
- lavoratori
- Forza lavoro
- lavoro
- anni
- zefiro