Σύμφωνα με πρόσφατη έρευνα, το 54% των επιχειρήσεων υπέστη παραβίαση δεδομένων από τρίτους μόνο τους προηγούμενους 12 μήνες — και το κόστος αυτών των παραβιάσεων συνεχίζει να αυξάνεται. Σήμερα, το μέσο κόστος μιας παραβίασης δεδομένων έχει αυξηθεί στα 4.45 εκατομμύρια δολάρια στις Ηνωμένες Πολιτείες, σημειώνοντας αύξηση άνω του 15% τα τελευταία τρία χρόνια και τα δεδομένα δείχνουν ότι η εμπλοκή τρίτων είναι ένας από τους πιο σημαντικούς παράγοντες επιδείνωσης.

Ο όρος «παραβίαση τρίτων» κάνει πολλούς να πιστεύουν ότι το σφάλμα για ένα τέτοιο περιστατικό ανήκει στο τρίτο μέρος, αλλά αυτό δεν συμβαίνει πάντα. Αν και είναι σημαντικό να ελέγξετε διεξοδικά τις πρακτικές ασφάλειας των πιθανών συνεργατών και προμηθευτών, οι οργανισμοί πρέπει επίσης να προστατεύουν και να διαχειρίζονται αποτελεσματικά τις ταυτότητες των μη εργαζομένων για να αποφύγουν να θέσουν τους εαυτούς τους σε περιττό κίνδυνο. Καθώς ο όγκος και η σοβαρότητα των παραβιάσεων τρίτων συνεχίζουν να αυξάνονται, η εφαρμογή είναι αποτελεσματική διαχείριση κινδύνων από μη εργαζομένους πρακτικές θα γίνονται όλο και πιο κρίσιμες για τις σύγχρονες επιχειρήσεις.

Οι ταυτότητες μη εργαζομένων εκτοξεύονται

Ο όγκος των ταυτοτήτων που χρησιμοποιούνται από τον μέσο οργανισμό έχει εκτοξευθεί στα ύψη τα τελευταία αρκετά χρόνια και οι ταυτότητες που δεν είναι εργαζόμενοι δεν αποτελούν εξαίρεση. ΕΝΑ πρόσφατη μελέτη από την McKinsey διαπίστωσε ότι το 36% του εργατικού δυναμικού των ΗΠΑ αποτελείται πλέον από συναυλίες, συμβασιούχους, ελεύθερους επαγγελματίες και έκτακτους εργαζόμενους — από 27% το 2016. Εκτός από τους συμβασιούχους, οι σημερινές επιχειρήσεις συνεργάζονται στενά με οργανισμούς εταίρους, προμηθευτές εφοδιαστικής αλυσίδας, συμβούλους και άλλες εξωτερικές οντότητες, οι οποίες απαιτούν διαφορετικούς βαθμούς πρόσβασης στα ψηφιακά περιβάλλοντα του οργανισμού.

Ο όγκος των ταυτοτήτων μη εργαζομένων είναι αρκετά σημαντικός χωρίς να μπει σε μη ανθρώπινες ταυτότητες, όπως αυτές που σχετίζονται με τις 130 διαφορετικές εφαρμογές λογισμικού ως υπηρεσία (SaaS) μέση εταιρεία χρησιμοποιεί σήμερα. Για να εργαστούν μέσα στο ψηφιακό περιβάλλον ενός οργανισμού, αυτές οι οντότητες που δεν είναι εργαζόμενοι χρειάζονται η καθεμία κατάλληλα προβλεπόμενες ταυτότητες και αυτές οι ταυτότητες πρέπει να τυγχάνουν αποτελεσματικής διαχείρισης καθ' όλη τη διάρκεια του κύκλου ζωής τους για να μειώσουν τον κίνδυνο και να αποφύγουν να γίνουν πιθανή απειλή.

Ο κύκλος ζωής της ταυτότητας μη εργαζομένων

Μία από τις μεγαλύτερες προκλήσεις όσον αφορά την εξασφάλιση και τη διαχείριση ταυτοτήτων μη εργαζομένων είναι η διαδικασία ενσωμάτωσης. Τα τμήματα πληροφορικής και ασφάλειας δεν έχουν πάντα τις απαραίτητες πληροφορίες σχετικά με τις συγκεκριμένες λειτουργίες εργασίας που μπορεί να χρειαστεί να εκτελέσει ένας μη εργαζόμενος, γεγονός που καθιστά δύσκολη την παροχή. Και επειδή οι ομάδες ασφαλείας βρίσκονται συχνά υπό πίεση για να αποφύγουν την παρεμπόδιση των επιχειρηματικών λειτουργιών, ο δρόμος της μικρότερης αντίστασης είναι συχνά η χορήγηση περισσότερων αδειών από ό,τι χρειάζεται. Αυτό βοηθά στον εξορθολογισμό των λειτουργιών, αλλά είναι επίσης επικίνδυνο: Όσο περισσότερα δικαιώματα έχει μια ταυτότητα, τόσο μεγαλύτερη ζημιά μπορεί να κάνει ένας εισβολέας εάν αυτή η ταυτότητα παραβιαστεί.

Η παροδική φύση των μη μισθωτών εργαζομένων καθιστά επίσης δύσκολη τη διαχείριση του κύκλου ζωής της ταυτότητας. Οι ορφανοί λογαριασμοί είναι ένα σημαντικό πρόβλημα: Εάν κανείς δεν ενημερώσει το IT ή την ασφάλεια ότι ένας ανάδοχος έχει αποχωρήσει, ο λογαριασμός του — πλήρης με όλες τις άδειες και τα δικαιώματά του — μπορεί να παραμείνει ενεργός επ' αόριστον. Εξίσου επικίνδυνα είναι τα δικαιώματα παλαιού τύπου ή οι διπλότυποι λογαριασμοί. Είναι σημαντικό να επανεκτιμάτε τακτικά τις άδειες που χρειάζεται ένας συμβασιούχος εργαζόμενος, εξαλείφοντας τα δικαιώματα που δεν είναι πλέον απαραίτητα. Ακούγεται απλό, αλλά οι σημερινοί οργανισμοί συχνά διαχειρίζονται εκατοντάδες ή χιλιάδες μη εργαζομένους. Η σωστή παροχή τους είναι μια σημαντική πρόκληση, η οποία όμως είναι απαραίτητη για τη διαχείριση του κινδύνου εκτός των εργαζομένων.

Βέλτιστες πρακτικές για τη διαχείριση κινδύνων από μη εργαζομένους

Οι οργανισμοί χρειάζονται μια λύση ικανή να απεικονίζει όλες τις ταυτότητες μη εργαζομένων από έναν ενιαίο πίνακα ελέγχου — μια λύση που μπορεί επίσης να απεικονίσει ξεκάθαρα τις άδειες και τα δικαιώματα που απολαμβάνει κάθε ταυτότητα. Αυτό σημαίνει ότι έχετε μια λύση που μπορεί να ενσωματώσει αυτοματοποιημένες λειτουργίες, διευκολύνοντας την παροχή νέων λογαριασμών και τον παροπλισμό παλαιότερων.

Η δημιουργία προκαθορισμένων ρόλων για ορισμένες θέσεις μπορεί να κάνει την επιβίβαση ταχύτερη και πιο ασφαλή και όταν ένας νέος μη εργαζόμενος ξεκινά να εργάζεται, οι άδειές του θα πρέπει να έχουν ημερομηνία λήξης. Είναι επίσης σημαντικό να ορίσετε έναν εσωτερικό «χορηγό» σε κάθε μη εργαζόμενο εργαζόμενο, κάποιον που να γνωρίζει ποιες άδειες χρειάζονται για να εκτελέσει την εργασία του και να είναι υπεύθυνος για την ειδοποίηση του IT για τυχόν αλλαγές στην κατάστασή του. Κατ' επέκταση, είναι επίσης σημαντικό να παρακολουθεί η λύση όταν αλλάζει η χορηγία — όπως όταν ο χορηγός εγκαταλείπει τον οργανισμό ή αναλαμβάνει νέο ρόλο.

Μια αποτελεσματική λύση διαχείρισης κινδύνου εκτός των εργαζομένων θα πρέπει επίσης να διευκολύνει τη διαδικασία επανεπικύρωσης. Οι οργανισμοί θα πρέπει να διενεργούν τακτικούς ελέγχους για να επικυρώνουν εάν μη εργαζόμενοι εξακολουθούν να εργάζονται εντός του οργανισμού. Αυτό μπορεί να περιλαμβάνει μια μηνιαία ειδοποίηση που αποστέλλεται στον χορηγό κάθε μη εργαζομένου για επιβεβαίωση της κατάστασής του.

Το σύστημα θα πρέπει επίσης να μπορεί να παρακολουθεί εάν χρησιμοποιούνται ενεργά οι άδειες και να ειδοποιεί τις ομάδες IT και ασφάλειας εάν μια ταυτότητα φαίνεται να είναι είτε αδρανής είτε υπερβολικά εφοδιασμένη με δικαιώματα που δεν χρειάζεται. Η επαλήθευση ότι οι ταυτότητες έχουν μόνο τα δικαιώματα που χρειάζονται και η αποφυγή του προβλήματος των ορφανών λογαριασμών είναι από τα πιο σημαντικά στοιχεία της διαχείρισης κινδύνων εκτός των εργαζομένων.

Καθώς οι επιχειρήσεις χρησιμοποιούν έναν αυξανόμενο αριθμό συμβασιούχων, τρίτων προμηθευτών, εφαρμογών SaaS και άλλων μη εργαζομένων οντοτήτων, η υιοθέτηση μιας σύγχρονης προσέγγισης για τη διαχείριση κινδύνων εκτός των εργαζομένων δεν είναι πλέον προαιρετική — είναι απαραίτητη.

Σχετικά με το Συγγραφέας

Ο Ben Cody έχει πάνω από 30 χρόνια εμπειρίας στην κατασκευή και παράδοση προϊόντων λογισμικού για επιχειρήσεις, καθώς και κορυφαίους επιτυχημένους καινοτόμους και αποτελεσματικούς οργανισμούς προϊόντων. Ως Ανώτερος Αντιπρόεδρος Διαχείρισης Προϊόντων της SailPoint, ο Ben επιβλέπει τη στρατηγική προϊόντων, τον οδικό χάρτη και την παράδοση της εταιρείας. Πριν από την ένταξή του στη SailPoint, ο Ben κατείχε ανώτερους ρόλους διαχείρισης προϊόντων στην Digital Guardian και τη McAfee. Η τεχνογνωσία του καλύπτει τη διαχείριση ταυτότητας και πρόσβασης, την προστασία δεδομένων, την ανίχνευση απειλών, την ασφάλεια στο cloud και τη διαχείριση υπηρεσιών πληροφορικής. Ο Ben είναι κάτοχος πτυχίου BAA στα Πληροφοριακά Συστήματα Διαχείρισης από το Πανεπιστήμιο της Οκλαχόμα. Όταν δεν κατασκευάζει προϊόντα που προστατεύουν τις ταυτότητες, είναι μανιώδης αμπελουργός.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Αυτοκίνητο / EVs, Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• ChartPrime. Ανεβάστε το Trading Game σας με το ChartPrime. Πρόσβαση εδώ.
• BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/risk/facing-third-party-threats-with-non-employee-risk-management