За оцінками Недавні дослідження54% компаній постраждали від витоку даних третіх сторін лише протягом попередніх 12 місяців — і вартість цих порушень продовжує зростати. Сьогодні, середня вартість порушення даних зріс до 4.45 мільйона доларів у Сполучених Штатах, що становить понад 15% зростання за останні три роки, і дані вказують на те, що участь третіх сторін є одним із найбільш значущих факторів, що погіршують ситуацію.
Термін «порушення третьою стороною» спонукає багатьох вважати, що в такому інциденті винна третя сторона, але це не завжди так. Хоча важливо ретельно перевіряти методи безпеки потенційних партнерів і постачальників, організаціям також необхідно ефективно захищати та керувати особистими особами, які не є працівниками, щоб уникнути непотрібного ризику. Оскільки обсяг і серйозність порушень третіх сторін продовжують зростати, впровадження ефективних управління ризиками, що не стосуються працівників практики ставатимуть все більш критичними для сучасного бізнесу.
Ідентичності непрацівників стрімко зростають
Обсяг ідентифікацій, які використовуються середньостатистичною організацією, різко зріс за останні кілька років, і ідентифікатори, які не є працівниками, не є винятком. А Недавнє дослідження Компанія McKinsey виявила, що 36% робочої сили в США зараз складається з корпоративних, контрактних, позаштатних і тимчасових працівників — порівняно з 27% у 2016 році. Окрім контрактників, сучасні підприємства тісно співпрацюють із партнерськими організаціями, постачальниками ланцюгів постачання, консультантів та інших зовнішніх організацій, усім з яких потрібен різний ступінь доступу до цифрового середовища організації.
Обсяг ідентифікацій непрацівників досить значний, не вдаючись до нелюдських ідентифікацій, таких як ті, що пов’язані зі 130 різними додатками програмного забезпечення як послуги (SaaS). середня компанія використовує сьогодні. Щоб працювати в цифровому середовищі організації, кожній із цих організацій, які не є працівниками, потрібні належним чином налаштовані ідентифікатори, і цими ідентифікаторами потрібно ефективно керувати протягом усього життєвого циклу, щоб зменшити їхній ризик і уникнути перетворення на потенційну загрозу.
Життєвий цикл ідентичності непрацівника
Одна з найбільших проблем, коли справа доходить до захисту особистих даних непрацівників і керування ними, — це процес адаптації. ІТ-відділи та відділи безпеки не завжди мають необхідну інформацію про конкретні посадові функції, які можуть виконувати непрацівники, що ускладнює надання послуг. А оскільки команди безпеки часто відчувають тиск, щоб уникнути перешкоджання бізнес-операціям, шлях найменшого опору часто полягає у наданні більшої кількості дозволів, ніж необхідно. Це допомагає спростити операції, але це також небезпечно: чим більше дозволів має особа, тим більшої шкоди може завдати зловмисник, якщо цю особу скомпрометовано.
Перехідний характер працівників, які не є працівниками, також ускладнює керування життєвим циклом ідентичності. Загублені облікові записи є значною проблемою: якщо ніхто не повідомить ІТ-службі чи системі безпеки, що підрядник залишив службу, їхній обліковий запис разом із усіма його дозволами та повноваженнями може залишатися активним необмежений час. Не менш небезпечними є застарілі дозволи або дублікати облікових записів. Важливо регулярно переглядати дозволи, які потрібні контрактному працівнику, усуваючи права, які більше не потрібні. Звучить просто, але сучасні організації часто керують сотнями чи тисячами непрацівників. Забезпечення їх належним чином є серйозною проблемою, але важливою для управління ризиками, не пов’язаними з працівниками.
Найкращі практики управління ризиками, не пов’язаними з працівниками
Організаціям потрібне рішення, здатне візуалізувати всі особи, які не є працівниками, на одній інформаційній панелі — таке, яке також може чітко ілюструвати дозволи та права, якими користується кожна особа. Це означає наявність рішення, яке може включати автоматизовані функції, що полегшує надання нових облікових записів і виведення старих з експлуатації.
Створення попередньо визначених ролей для певних посад може зробити адаптацію швидшою та безпечнішою, а коли нова особа, яка не є співробітником, починає працювати, її дозволи мають мати дату завершення. Також важливо призначити внутрішнього «спонсора» кожному непрацівнику, людині, яка знає, які дозволи їм потрібні для виконання своєї роботи, і відповідає за сповіщення ІТ про будь-які зміни в їх статусі. Крім того, важливо, щоб рішення відстежувало, коли спонсорство змінюється — наприклад, коли спонсор залишає організацію або бере на себе нову роль.
Ефективне рішення для управління ризиками, не пов’язаними з працівниками, також має спростити процес повторної перевірки. Організації повинні проводити регулярні перевірки, щоб переконатися, що в організації все ще працюють непрацівники. Це може включати щомісячне сповіщення, яке надсилається кожному спонсору, який не є працівником, для підтвердження їх статусу.
Система також повинна мати можливість відстежувати, чи активно використовуються дозволи, і повідомляти команди ІТ і безпеки, якщо особа видається неактивною або надмірно забезпеченою правами, які їй не потрібні. Перевірка того, що особи мають лише ті права, які їм потрібні, і уникнення проблеми втрати облікових записів є одними з найважливіших елементів управління ризиками, не пов’язаними з працівниками.
Оскільки підприємства використовують дедалі більше контрактних працівників, сторонніх постачальників, додатки SaaS та інші організації, які не є працівниками, застосування сучасного підходу до управління ризиками, які не є працівниками, більше не є необов’язковим — це надзвичайно важливо.
Про автора
Бен Коді має понад 30 років досвіду створення та постачання корпоративних програмних продуктів, а також успішно веде інноваційні та ефективні організації з виробництва продуктів. Як старший віце-президент SailPoint з управління продуктами, Бен контролює продуктову стратегію компанії, дорожню карту та доставку. До того як приєднатися до SailPoint, Бен обіймав керівні посади в Digital Guardian і McAfee. Його досвід охоплює управління ідентифікацією та доступом, захист даних, виявлення загроз, хмарну безпеку та керування ІТ-послугами. Бен отримав ступінь бакалавра з інформаційних систем управління в Університеті Оклахоми. Коли він не створює продуктів, які захищають ідентичність, він затятий виноградар.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- ChartPrime. Розвивайте свою торгову гру за допомогою ChartPrime. Доступ тут.
- BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
- джерело: https://www.darkreading.com/risk/facing-third-party-threats-with-non-employee-risk-management
- : має
- :є
- : ні
- $UP
- 12
- 12 місяців
- 15%
- 2016
- 30
- a
- МЕНЮ
- доступ
- рахунки
- Рахунки
- активний
- активно
- доповнення
- Прийняття
- ВСІ
- тільки
- Також
- завжди
- серед
- an
- та
- будь-який
- з'являється
- застосування
- підхід
- ЕСТЬ
- AS
- асоційований
- At
- Автоматизований
- середній
- уникнути
- уникає
- BE
- оскільки
- ставати
- становлення
- буття
- Вірити
- Бен
- найбільший
- порушення
- порушення
- Створюємо
- бізнес
- підприємства
- але
- by
- CAN
- здатний
- випадок
- певний
- ланцюг
- виклик
- проблеми
- Зміни
- Перевірки
- очевидно
- тісно
- хмара
- Хмара безпеки
- приходить
- компанія
- повний
- Компрометація
- підтвердити
- Консультанти
- продовжувати
- триває
- контракт
- Підрядник
- Коштувати
- критичний
- цикл
- Небезпечний
- приладова панель
- дані
- Дані порушення
- захист даних
- Дата
- надання
- доставка
- відомства
- Виявлення
- різний
- важкий
- цифровий
- do
- робить
- Дон
- під час
- кожен
- легше
- Ефективний
- фактично
- ефективний
- або
- елементи
- усуваючи
- кінець
- досить
- підприємство
- програмне забезпечення підприємства
- юридичні особи
- Навколишнє середовище
- середовищах
- однаково
- істотний
- виняток
- досвід
- експертиза
- розширення
- облицювання
- фактори
- швидше
- риси
- для
- знайдений
- позаштатний
- від
- Функції
- отримання
- надавати
- Рости
- опікун
- Мати
- має
- he
- Герой
- допомагає
- його
- тримає
- HTTPS
- Сотні
- IBM
- тотожності
- Особистість
- if
- реалізації
- важливо
- in
- інцидент
- включати
- включати
- Augmenter
- зростаючий
- все більше і більше
- вказує
- інформація
- Інформаційні системи
- інноваційний
- внутрішній
- в
- участь
- isn
- IT
- IT service
- ЙОГО
- робота
- приєднання
- зберігання
- провідний
- Веде за собою
- найменш
- залишити
- Legacy
- лежить
- життя
- довше
- made
- зробити
- РОБОТИ
- Робить
- управляти
- вдалося
- управління
- Рішення для управління
- управління
- багато
- макс-ширина
- Може..
- Макафі
- McKinsey
- засоби
- може бути
- мільйона
- сучасний
- моніторинг
- щомісячно
- місяців
- більше
- найбільш
- природа
- необхідно
- Необхідність
- потреби
- Нові
- немає
- сповіщення
- повідомлення
- зараз
- номер
- of
- часто
- Оклахома
- on
- На борту
- ONE
- ті,
- тільки
- операції
- or
- організація
- організації
- Інше
- поза
- над
- партнер
- партнери
- партія
- Минуле
- шлях
- Виконувати
- Дозволи
- plato
- Інформація про дані Платона
- PlatoData
- позиції
- потенціал
- практики
- президент
- тиск
- попередній
- попередній
- Проблема
- процес
- Product
- Управління продуктом
- Продукти
- правильно
- захист
- захист
- забезпечення
- Поклавши
- зменшити
- регулярний
- регулярно
- залишатися
- вимагати
- Опір
- відповідальний
- Зростання
- Risen
- Risk
- управління ризиками
- Дорожня карта
- Роль
- ролі
- s
- SaaS
- безпечний
- забезпечення
- безпеку
- старший
- посланий
- обслуговування
- кілька
- Повинен
- значний
- простий
- один
- Софтвер
- рішення
- Хтось
- прольоти
- конкретний
- спонсор
- Рекламні
- спонсорство
- починається
- Штати
- Статус
- Як і раніше
- Стратегія
- раціоналізувати
- успіх
- такі
- страждав
- поставка
- ланцюжка поставок
- система
- Systems
- приймає
- команди
- розповідає
- тимчасовий
- термін
- ніж
- Що
- Команда
- їх
- Їх
- самі
- Ці
- вони
- третій
- третя сторона
- сторонні дані
- це
- ретельно
- ті
- тисячі
- загроза
- загрози
- три
- по всьому
- до
- сьогодні
- трек
- правда
- при
- United
- Сполучені Штати
- університет
- непотрібний
- us
- використання
- використовуваний
- використовує
- використовувати
- ПЕРЕВІР
- постачальники
- перевірка
- ПТО
- віце
- Віцепрезидент
- обсяг
- ДОБРЕ
- Що
- коли
- Чи
- який
- в той час як
- ВООЗ
- волі
- з
- в
- без
- Work
- робочий
- робочі
- Трудові ресурси
- робочий
- років
- зефірнет