По Недавние исследованияТолько за предыдущие 54 месяцев 12% предприятий пострадали от утечки данных третьих сторон, и цена этих нарушений продолжает расти. Сегодня средняя стоимость утечки данных в США выросла до 4.45 млн долларов США, увеличившись более чем на 15% за последние три года, и данные показывают, что участие третьих сторон является одним из наиболее значительных усугубляющих факторов.
Термин «нарушение третьей стороной» заставляет многих полагать, что вина за такой инцидент лежит на третьей стороне, но это не всегда так. Хотя важно тщательно проверять методы обеспечения безопасности потенциальных партнеров и поставщиков, организациям также необходимо эффективно защищать и управлять личными данными, не являющимися сотрудниками, чтобы не подвергать себя ненужному риску. Поскольку объем и серьезность нарушений со стороны третьих сторон продолжают расти, внедрение эффективных управление рисками, не связанными с сотрудниками практики будут становиться все более важными для современного бизнеса.
Идентичность лиц, не являющихся сотрудниками, стремительно растет
За последние несколько лет количество идентификационных данных, используемых средней организацией, резко возросло, и идентификационные данные, не являющиеся сотрудниками, не являются исключением. А Недавнее исследование Компания McKinsey обнаружила, что 36% рабочей силы в США сейчас состоит из штатных, контрактных, внештатных и временных работников — по сравнению с 27% в 2016 году. Помимо контрактных работников, сегодняшние предприятия тесно сотрудничают с партнерскими организациями, поставщиками цепочек поставок, консультанты и другие внешние организации, каждому из которых требуется разная степень доступа к цифровой среде организации.
Объем идентичностей, не являющихся сотрудниками, достаточно значителен, если не вдаваться в нечеловеческие идентичности, например, связанные со 130 различными приложениями программного обеспечения как услуги (SaaS), которые средняя компания использует сегодня. Для работы в цифровой среде организации каждому из этих субъектов, не являющихся сотрудниками, необходимы должным образом предоставленные удостоверения, и этими удостоверениями необходимо эффективно управлять на протяжении всего их жизненного цикла, чтобы снизить риск и не стать потенциальной угрозой.
Жизненный цикл личности, не являющейся сотрудником
Одной из самых больших проблем, когда дело доходит до защиты и управления личными данными лиц, не являющихся сотрудниками, является процесс адаптации. Отделы ИТ и безопасности не всегда располагают необходимой информацией о конкретных должностных функциях, которые может потребоваться выполнять сотруднику, не являющемуся штатным сотрудником, что затрудняет обеспечение. А поскольку на команды безопасности часто оказывается давление, чтобы они не препятствовали бизнес-операциям, путь наименьшего сопротивления часто заключается в предоставлении большего количества разрешений, чем необходимо. Это помогает оптимизировать операции, но это также опасно: чем больше разрешений имеет удостоверение, тем больший ущерб может нанести злоумышленник, если это удостоверение будет скомпрометировано.
Временный характер сотрудников, не являющихся сотрудниками, также затрудняет управление жизненным циклом удостоверения. Потерянные учетные записи представляют собой серьезную проблему: если никто не сообщает ИТ-отделу или службе безопасности, что подрядчик ушел, их учетная запись со всеми ее разрешениями и правами может оставаться активной в течение неопределенного времени. Не менее опасны устаревшие разрешения или дублирующиеся учетные записи. Важно регулярно переоценивать разрешения, необходимые контрактному работнику, устраняя права, которые больше не нужны. Звучит просто, но сегодняшние организации часто управляют сотнями или тысячами людей, не являющихся сотрудниками. Обеспечение их надлежащего обеспечения является серьезной проблемой, но она необходима для управления рисками, не связанными с сотрудниками.
Лучшие практики управления рисками, не связанными с сотрудниками
Организациям необходимо решение, способное визуализировать все личные данные, не являющиеся сотрудниками, на единой информационной панели, а также четко иллюстрировать разрешения и права, которыми обладает каждое удостоверение. Это означает наличие решения, которое может включать в себя автоматизированные функции, упрощающие создание новых учетных записей и списание старых.
Создание предопределенных ролей для определенных должностей может сделать адаптацию более быстрой и безопасной, а когда новый сотрудник, не являющийся сотрудником, приступает к работе, у его разрешений должна быть дата окончания. Также важно назначить внутреннего «спонсора» для каждого сотрудника, не являющегося сотрудником компании, — человека, который знает, какие разрешения им необходимы для выполнения своей работы, и несет ответственность за оповещение ИТ-специалистов о любых изменениях в их статусе. В более широком смысле, также важно, чтобы решение отслеживало изменения в спонсорстве — например, когда спонсор покидает организацию или берет на себя новую роль.
Эффективное решение по управлению рисками, не связанными с сотрудниками, также должно облегчить процесс повторной проверки. Организации должны проводить регулярные проверки, чтобы убедиться, что в организации все еще работают лица, не являющиеся сотрудниками. Это может включать ежемесячное уведомление, отправляемое спонсору каждого лица, не являющегося сотрудником, для подтверждения его статуса.
Система также должна быть способна отслеживать, активно ли используются разрешения, и уведомлять ИТ-специалисты и группы безопасности, если удостоверение оказывается либо неактивным, либо имеет избыточное количество прав, в которых оно не нуждается. Проверка того, что личности имеют только те права, которые им необходимы, и избежание проблемы потерянных учетных записей являются одними из наиболее важных элементов управления рисками, не связанными с сотрудниками.
Поскольку предприятия используют все большее число работников по контракту, сторонних поставщиков, приложений SaaS и других организаций, не являющихся сотрудниками, принятие современного подхода к управлению рисками, не являющимися сотрудниками, больше не является обязательным — это необходимо.
Об авторе
Бен Коди имеет более чем 30-летний опыт создания и поставки корпоративных программных продуктов, а также успешный опыт руководства инновационными и эффективными продуктовыми организациями. В качестве старшего вице-президента по управлению продуктами SailPoint Бен курирует стратегию, дорожную карту и доставку продуктов компании. До прихода в SailPoint Бен занимал руководящие должности по управлению продуктами в компаниях Digital Guardian и McAfee. Его опыт охватывает управление идентификацией и доступом, защиту данных, обнаружение угроз, облачную безопасность и управление ИТ-услугами. Бен получил степень бакалавра делового администрирования в области информационных систем управления в Университете Оклахомы. Когда он не создает продукты, защищающие личность, он является заядлым виноградарем.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- ЧартПрайм. Улучшите свою торговую игру с ChartPrime. Доступ здесь.
- Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
- Источник: https://www.darkreading.com/risk/facing-third-party-threats-with-non-employee-risk-management
- :имеет
- :является
- :нет
- $UP
- 12
- 12 месяцев
- 15%
- 2016
- 30
- a
- О нас
- доступ
- Учетная запись
- Учетные записи
- активный
- активно
- дополнение
- Принятие
- Все
- в одиночестве
- причислены
- всегда
- среди
- an
- и
- любой
- появляется
- Приложения
- подхода
- МЫ
- AS
- связанный
- At
- Автоматизированный
- в среднем
- избежать
- избегающий
- BE
- , так как:
- становиться
- становление
- не являетесь
- верить
- Бен
- Крупнейшая
- нарушение
- нарушения
- Строительство
- бизнес
- бизнес
- но
- by
- CAN
- способный
- случаев
- определенный
- цепь
- вызов
- проблемы
- изменения
- Проверки
- явно
- тесно
- облако
- Cloud Security
- выходит
- Компания
- полный
- Ослабленный
- подтвердить
- Консультанты
- продолжать
- продолжается
- контракт
- Подрядчик
- Цена
- критической
- цикл
- опасно
- приборная панель
- данным
- Данные нарушения
- защита данных
- Время
- доставки
- поставка
- ведомства
- обнаружение
- различный
- трудный
- Интернет
- do
- приносит
- Дон
- в течение
- каждый
- легче
- Эффективный
- фактически
- эффективный
- или
- элементы
- уничтожение
- конец
- достаточно
- Предприятие
- корпоративное программное обеспечение
- лиц
- Окружающая среда
- средах
- одинаково
- существенный
- исключение
- опыт
- опыта
- расширение
- всего лишь пяти граммов героина
- факторы
- быстрее
- Особенности
- Что касается
- найденный
- внештатно
- от
- Функции
- получающий
- предоставлять
- Расти
- опекун
- Есть
- имеющий
- he
- Герой
- помогает
- его
- имеет
- HTTPS
- Сотни
- IBM
- тождества
- Личность
- if
- Осуществляющий
- важную
- in
- инцидент
- включают
- включать
- Увеличение
- повышение
- все больше и больше
- указывает
- информация
- Информационные системы
- инновационный
- в нашей внутренней среде,
- в
- участие
- мобильной
- IT
- ИТ сервис
- ЕГО
- работа
- присоединение
- хранение
- ведущий
- Лиды
- наименее
- оставил
- Наследие
- лежит
- ЖИЗНЬЮ
- дольше
- сделанный
- сделать
- ДЕЛАЕТ
- Создание
- управлять
- управляемого
- управление
- Управленческое решение
- управления
- многих
- макс-ширина
- Май..
- Mcafee
- McKinsey
- означает
- может быть
- миллиона
- Модерн
- Мониторинг
- ежемесячно
- месяцев
- БОЛЕЕ
- самых
- природа
- необходимо
- Необходимость
- потребности
- Новые
- нет
- уведомление
- уведомляющее
- сейчас
- номер
- of
- .
- Оклахома
- on
- Вводный
- ONE
- те,
- только
- Операционный отдел
- or
- организация
- организации
- Другое
- внешнюю
- за
- партнер
- партнеры
- вечеринка
- мимо
- путь
- Выполнять
- Разрешения
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- позиции
- потенциал
- практиками
- президент
- давление
- предыдущий
- Предварительный
- Проблема
- процесс
- Продукт
- Управление продуктом
- Продукция
- должным образом
- для защиты
- защиту
- обеспечение
- Полагая
- уменьшить
- регулярный
- регулярно
- оставаться
- требовать
- Сопротивление
- ответственный
- Рост
- Risen
- Снижение
- управление рисками
- Дорожная карта
- Роли
- роли
- s
- SaaS
- безопасный
- обеспечение
- безопасность
- старший
- послать
- обслуживание
- несколько
- должен
- значительный
- просто
- одинарной
- Software
- Решение
- Кто-то
- пролеты
- конкретный
- спонсор
- Спонсоров
- спонсорство
- начинается
- Области
- Статус:
- По-прежнему
- Стратегия
- упорядочить
- успех
- такие
- пострадали
- поставка
- цепочками поставок
- система
- системы
- принимает
- команды
- говорит
- временный
- срок
- чем
- который
- Ассоциация
- их
- Их
- сами
- Эти
- они
- В третьих
- сторонние
- сторонние данные
- этой
- тщательно
- те
- тысячи
- угроза
- угрозы
- три
- по всему
- в
- сегодня
- трек
- правда
- под
- Объединенный
- США
- Университет
- ненужный
- us
- использование
- используемый
- использования
- использовать
- VALIDATE
- поставщики
- проверка
- VET
- вице
- вице-президент
- объем
- ЧТО Ж
- Что
- когда
- будь то
- который
- в то время как
- КТО
- будете
- в
- без
- Работа
- работник
- рабочие
- Трудовые ресурсы
- работает
- лет
- зефирнет