Enligt senaste forskningen54 % av företagen drabbades av ett dataintrång från tredje part bara under de föregående 12 månaderna – och kostnaderna för dessa intrång fortsätter att stiga. Idag har genomsnittlig kostnad för ett dataintrång har stigit till 4.45 miljoner dollar i USA, en ökning med mer än 15 % under de senaste tre åren, och data indikerar att tredje parts inblandning är en av de mest betydande förvärrande faktorerna.
Termen "intrång från tredje part" får många att tro att felet för en sådan incident ligger hos den tredje parten, men det är inte alltid fallet. Även om det är viktigt att noggrant granska potentiella partners och leverantörers säkerhetspraxis, måste organisationer också effektivt säkra och hantera icke-anställdas identiteter för att undvika att utsätta sig själva för onödiga risker. Eftersom volymen och svårighetsgraden av tredje parts intrång fortsätter att växa, är implementeringen effektiv riskhantering för icke-anställda praxis kommer att bli allt viktigare för moderna företag.
Icke-anställda identiteter skjuter i höjden
Volymen av identiteter som används av den genomsnittliga organisationen har skjutit i höjden under de senaste åren, och icke-anställda identiteter är inget undantag. A färsk studie av McKinsey fann att 36 % av den amerikanska arbetsstyrkan nu består av gig-, kontrakts-, frilans- och tillfälligt anställda – en ökning från 27 % 2016. Förutom kontraktsanställda arbetar dagens företag nära med partnerorganisationer, leverantörer av leveranskedjor, konsulter och andra externa enheter, som alla kräver olika grad av tillgång till organisationens digitala miljöer.
Volymen av icke-anställda identiteter är tillräckligt stor utan att komma in i icke-mänskliga identiteter, såsom de som är förknippade med de 130 olika SaaS-applikationerna (Software-as-a-Service). genomsnittligt företag använder idag. För att arbeta i en organisations digitala miljö behöver var och en av dessa icke-anställda enheter korrekt tillhandahållna identiteter, och dessa identiteter måste hanteras effektivt under hela sin livscykel för att minska risken och undvika att bli ett potentiellt hot.
Livscykeln för icke-anställd identitet
En av de största utmaningarna när det gäller att säkra och hantera icke-anställdas identiteter är introduktionsprocessen. IT- och säkerhetsavdelningar har inte alltid den nödvändiga informationen om de specifika jobbfunktioner som en icke-anställd arbetare kan behöva utföra, vilket gör provisionering svår. Och eftersom säkerhetsteam ofta är under press för att undvika att hindra affärsverksamheten, är vägen för minsta motstånd ofta att ge fler tillstånd än nödvändigt. Detta hjälper till att effektivisera verksamheten, men det är också farligt: Ju fler behörigheter en identitet har, desto mer skada kan en angripare göra om den identiteten äventyras.
Den övergående naturen hos icke-anställda arbetare gör det också svårt att hantera identitetens livscykel. Föräldralösa konton är ett betydande problem: Om ingen berättar för IT eller säkerhet att en entreprenör har lämnat, kan deras konto – komplett med alla dess behörigheter och rättigheter – förbli aktivt på obestämd tid. Lika farliga är äldre behörigheter eller dubbletter av konton. Det är viktigt att regelbundet omvärdera de behörigheter en kontraktsanställd behöver, vilket eliminerar rättigheter som inte längre är nödvändiga. Det låter enkelt, men dagens organisationer hanterar ofta hundratals eller tusentals icke-anställda. Att hålla dem korrekt tillhandahållna är en betydande utmaning, men en som är avgörande för att hantera risker som inte är anställda.
Bästa praxis för icke-anställd riskhantering
Organisationer behöver en lösning som kan visualisera alla icke-anställdas identiteter från en enda instrumentpanel – en som också tydligt kan illustrera de behörigheter och rättigheter varje identitet åtnjuter. Det innebär att ha en lösning som kan inkludera automatiserade funktioner, vilket gör det lättare att tillhandahålla nya konton och avveckla äldre.
Att skapa fördefinierade roller för vissa positioner kan göra onboarding snabbare och säkrare, och när en ny icke-anställd börjar arbeta bör deras behörigheter ha ett slutdatum. Det är också viktigt att tilldela en intern "sponsor" till varje icke-anställd arbetare, någon som vet vilka behörigheter de behöver för att utföra sitt jobb och är ansvarig för att varna IT om eventuella förändringar i deras status. I förlängningen är det också avgörande att lösningen spårar när sponsring ändras – till exempel när sponsorn lämnar organisationen eller tar på sig en ny roll.
En effektiv riskhanteringslösning för icke-anställda bör också göra förlängningsprocessen enklare. Organisationer bör utföra regelbundna kontroller för att validera om icke-anställda fortfarande arbetar inom organisationen. Detta kan inkludera ett månatligt meddelande som skickas till varje icke-anställds sponsor för att bekräfta deras status.
Systemet bör också kunna övervaka om behörigheter används aktivt och meddela IT- och säkerhetsteamen om en identitet verkar vara antingen vilande eller överprovisionerad med rättigheter som den inte behöver. Att verifiera att identiteter bara har de rättigheter de behöver och att undvika problemet med föräldralösa konton är bland de viktigaste delarna av riskhantering för icke-anställda.
Eftersom företag använder ett ökande antal kontraktsanställda, tredjepartsleverantörer, SaaS-applikationer och andra icke-anställda enheter, är det inte längre valfritt att anta ett modernt tillvägagångssätt för icke-anställds riskhantering – det är viktigt.
Om författaren
Ben Cody har över 30 års erfarenhet av att bygga och leverera programvaruprodukter för företag, samt att leda innovativa och effektiva produktorganisationer. Som SailPoints Senior Vice President of Product Management övervakar Ben företagets produktstrategi, färdplan och leverans. Innan han började på SailPoint hade Ben seniora produktledningsroller på Digital Guardian och McAfee. Hans expertis spänner över identitets- och åtkomsthantering, dataskydd, hotdetektering, molnsäkerhet och IT Service Management. Ben har en BAA i Management Information Systems från University of Oklahoma. När han inte bygger produkter som skyddar identiteter är han en ivrig vinodlare.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Fordon / elbilar, Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- ChartPrime. Höj ditt handelsspel med ChartPrime. Tillgång här.
- BlockOffsets. Modernisera miljökompensation ägande. Tillgång här.
- Källa: https://www.darkreading.com/risk/facing-third-party-threats-with-non-employee-risk-management
- : har
- :är
- :inte
- $UPP
- 12
- 12 månader
- 15%
- 2016
- 30
- a
- Om oss
- tillgång
- Konto
- konton
- aktiv
- aktivt
- Dessutom
- Anta
- Alla
- ensam
- också
- alltid
- bland
- an
- och
- vilken som helst
- visas
- tillämpningar
- tillvägagångssätt
- ÄR
- AS
- associerad
- At
- Automatiserad
- genomsnitt
- undvika
- undvika
- BE
- därför att
- blir
- passande
- Där vi får lov att vara utan att konstant prestera,
- tro
- ben
- störst
- brott
- överträdelser
- Byggnad
- företag
- företag
- men
- by
- KAN
- kapabel
- Vid
- vissa
- kedja
- utmanar
- utmaningar
- Förändringar
- Kontroller
- klart
- nära
- cloud
- Cloud Security
- kommer
- företag
- fullborda
- Äventyras
- Bekräfta
- konsulter
- fortsätta
- fortsätter
- kontrakt
- Entreprenör
- Pris
- kritisk
- cykel
- Dangerous
- instrumentbräda
- datum
- dataintrång
- dataskydd
- Datum
- leverera
- leverans
- avdelningar
- Detektering
- olika
- svårt
- digital
- do
- gör
- donation
- under
- varje
- lättare
- Effektiv
- effektivt
- effektiv
- antingen
- element
- eliminera
- änden
- tillräckligt
- Företag
- företagsprogramvara
- enheter
- Miljö
- miljöer
- lika
- väsentlig
- undantag
- erfarenhet
- expertis
- förlängning
- vänd
- faktorer
- snabbare
- Funktioner
- För
- hittade
- frilans
- från
- funktioner
- få
- bevilja
- Väx
- vårdnadshavare
- Har
- har
- he
- Held
- hjälper
- hans
- innehar
- HTTPS
- Hundratals
- IBM
- identiteter
- Identitet
- if
- genomföra
- med Esport
- in
- incident
- innefattar
- införliva
- Öka
- ökande
- alltmer
- pekar på
- informationen
- Informationssystem
- innovativa
- inre
- in
- inblandning
- isn
- IT
- IT-tjänst
- DESS
- Jobb
- sammanfogning
- hålla
- ledande
- Leads
- t minst
- vänster
- Legacy
- ligger
- livet
- längre
- gjord
- göra
- GÖR
- Framställning
- hantera
- förvaltade
- ledning
- Management Solution
- hantera
- många
- max-bredd
- Maj..
- Mcafee
- McKinsey
- betyder
- kanske
- miljon
- Modern Konst
- övervakning
- månad
- månader
- mer
- mest
- Natur
- nödvändigt för
- Behöver
- behov
- Nya
- Nej
- anmälan
- anmälande
- nu
- antal
- of
- Ofta
- Oklahoma
- on
- Onboarding
- ONE
- ettor
- endast
- Verksamhet
- or
- organisation
- organisationer
- Övriga
- utanför
- över
- partnern
- partner
- parti
- Tidigare
- bana
- Utföra
- behörigheter
- plato
- Platon Data Intelligence
- PlatonData
- positioner
- potentiell
- praxis
- VD
- tryck
- föregående
- Innan
- Problem
- process
- Produkt
- produktledning
- Produkter
- ordentligt
- skydda
- skydd
- tillhandahållande
- sätta
- minska
- regelbunden
- regelbundet
- förblir
- kräver
- Resistens
- ansvarig
- Rise
- Stigit
- Risk
- riskhanterings
- färdplan
- Roll
- roller
- s
- SaaS
- säkra
- säkring
- säkerhet
- senior
- skickas
- service
- flera
- skall
- signifikant
- Enkelt
- enda
- Mjukvara
- lösning
- någon
- spann
- specifik
- sponsra
- Sponsrade
- sponsorskap
- startar
- Stater
- status
- Fortfarande
- Strategi
- effektivisera
- framgång
- sådana
- lidit
- leverera
- leveranskedjan
- system
- System
- tar
- lag
- berättar
- temporär
- termin
- än
- den där
- Smakämnen
- deras
- Dem
- sig själva
- Dessa
- de
- Tredje
- tredje part
- tredjepartsdata
- detta
- grundligt
- de
- tusentals
- hot
- hot
- tre
- hela
- till
- i dag
- spår
- sann
- under
- United
- USA
- universitet
- onödig
- us
- användning
- Begagnade
- användningar
- utnyttja
- BEKRÄFTA
- försäljare
- verifiera
- VET
- vice
- Vice President
- volym
- VÄL
- Vad
- när
- om
- som
- medan
- VEM
- kommer
- med
- inom
- utan
- Arbete
- arbetstagaren
- arbetare
- arbetskraft
- arbetssätt
- år
- zephyrnet