حفاظت از نیروی کار مدرن مستلزم رویکرد جدیدی برای امنیت شخص ثالث است


ما هیجان زده هستیم که Transform 2022 را به صورت حضوری در 19 ژوئیه و تقریباً 20 تا 28 ژوئیه بازگردانیم. برای گفتگوهای روشنگر و فرصت های شبکه هیجان انگیز به رهبران هوش مصنوعی و داده بپیوندید. امروز ثبت نام کنید!


از هر رهبر منابع انسانی بپرسید: آنها به شما خواهند گفت که جذب و حفظ کارمندان همچنان یک چالش اصلی است. در حالی که این هرگز آسان نبوده است، شکی نیست که همه‌گیری COVID-19 (و نیروی کار توزیع شده) همه چیز را پیچیده‌تر کرده است. همانطور که این مقاله را می خوانید، بسیاری از کارگران به طور فعال به ترک نقش فعلی خود فکر می کنند، که از اهداف بلندمدت یا تعادل مطلوب بین کار و زندگی حمایت نمی کند. در حالی که سازمان‌ها تلاش می‌کنند تا از این “استعفای بزرگ” عبور کنند، بیش از 4 میلیون کارگر همچنان هر ماه استعفا می‌دهند.

با فرارسیدن سال 2022، تیم های استخدامی با یک مانع بزرگ دیگر روبرو هستند: کمبود استعدادهای جهانی. این روندها شرکت ها را به دنبال یافتن راه حل های خلاقانه برای اطمینان از تداوم کسب و کار در مواقع سخت می کند. نباید تعجب آور باشد که شرکت های بیشتری برای برآورده کردن نیازهای کوتاه مدت، کاهش هزینه ها و حفظ نوآوری به فروشندگان، تامین کنندگان و شرکای شخص ثالث متکی هستند. علاوه بر این، ظهور اقتصاد گیگ باعث شده است که کارکنان بیشتری وارد روابط کاری غیر سنتی یا موقت شوند. این روند به‌ویژه در صنعت مراقبت‌های بهداشتی رایج است، اما حدود 36 درصد از کارمندان آمریکایی به شکلی در کنار یا به‌جای یک شغل تمام‌وقت، یک برنامه کاری کنسرت دارند.

علاوه بر این، اکوسیستم تامین کنندگان شرکتی به طور تصاعدی پیچیده تر شده است. در میان آسیب‌پذیری‌های زنجیره تأمین که توسط همه‌گیری آشکار شده است، سازمان‌ها در حال گسترش و تنوع بخشیدن به تعداد روابط تأمین‌کننده خود هستند. در همین حال، تنظیم‌کننده‌ها تلاش‌های خود را برای مدیریت این اکوسیستم‌های تجاری افزایش داده‌اند.

در بسیاری از موارد، برون سپاری به کارگران موقت یا شرکای خارجی منطق تجاری خوبی دارد. گاهی اوقات، با توجه به محدودیت های موجود در استخر استعداد، به سادگی هیچ گزینه دیگری برای یک شرکت وجود ندارد. در هر صورت، سازمان‌ها باید از خطرات امنیتی که اشخاص ثالث به همراه دارند آگاه باشند – و اقداماتی که می‌توانند برای به حداقل رساندن احتمال وقوع نقض انجام دهند.

چالش های امنیتی شخص ثالث همچنان رایج است

وارد کردن نیروی کار شخص ثالث به روشی عجولانه – و بدون نظارت مناسب یا کنترل های امنیتی – سازمان ها را در معرض خطرات سایبری قابل توجهی قرار می دهد. این خطرات می‌تواند از خود کاربران یا تامین‌کنندگان شخص ثالث یا دسترسی آن اشخاص ثالث به خطر بیفتد و از آنها به عنوان مجرای حرکت جانبی استفاده شود که مهاجمان را قادر می‌سازد به حساس‌ترین داده‌های شرکت دسترسی داشته باشند. متأسفانه، فقدان کنترل متمرکز بر تامین کنندگان و شرکا، صرف نظر از صنعت، بسیار رایج است. در بسیاری از سازمان‌ها، بر خلاف کارمندان تمام وقت، کاربران شخص ثالث به‌طور موقت توسط بخش‌های جداگانه با استفاده از فرآیندهای دستی یا راه‌حل‌های سفارشی مدیریت می‌شوند. این دستور العملی برای افزایش خطر سایبری است.

نقض بدنام Target را در نظر بگیرید، که در میان بزرگ‌ترین نقض‌های امنیتی شخص ثالث در تاریخ باقی مانده است. در این حادثه، مهاجمان پس از به خطر انداختن اعتبار ورود به سیستم متعلق به یکی از کارمندان یک پیمانکار HVAC، راه خود را به شبکه غول خرده‌فروشی رساندند و در نهایت اطلاعات پرداخت 110 میلیون مشتری را به سرقت بردند.

در دنیای امروز، که در حال حاضر برون سپاری و کار از راه دور عادی شده است، اشخاص ثالث برای انجام کارهای خود نیاز به دسترسی به شبکه شرکتی دارند. اگر شرکت‌ها در کنترل‌های امنیتی شخص ثالث تجدیدنظر نکنند – و با رسیدگی به ریشه مشکل اقدامی انجام ندهند – در برابر آسیب‌پذیری‌های سایبری که می‌تواند کسب‌وکار و شهرت آن‌ها را تخریب کند، باز خواهند ماند.

فقدان فراگیر دید و کنترل

اگرچه اتکا به کارگران و فناوری شخص ثالث تقریباً در هر صنعتی گسترده است (و در برخی، معمولاً برای یک سازمان بیشتر از کارمندان کاربران شخص ثالث وجود دارد)، اغلب سازمان‌ها هنوز دقیقاً نمی‌دانند چه تعداد از روابط شخص ثالث وجود دارد. آنها دارند. حتی بدتر از آن، بیشتر آنها حتی نمی‌دانند که هر فروشنده، تامین‌کننده یا شریک چه تعداد کارمند را وارد رابطه یا سطح ریسک خود می‌کند. بر اساس یک نظرسنجی انجام شده توسط موسسه Ponemon، 66٪ از پاسخ دهندگان نمی دانند که سازمان آنها چه تعداد رابطه با شخص ثالث دارد، حتی اگر 61٪ از افراد مورد بررسی، نقض منتسب به شخص ثالث را تجربه کرده اند.

درک گستره کامل دسترسی شخص ثالث می تواند به ویژه زمانی چالش برانگیز باشد که با افراد خارجی از طریق برنامه های کاربردی مبتنی بر ابر مانند Slack، Microsoft Teams، Google Drive یا Dropbox همکاری داشته باشید. البته، پذیرش این پلتفرم‌ها با تغییر مقیاس بزرگ به سمت کارهای دوردست و ترکیبی که در دو سال گذشته اتفاق افتاده است، سر به فلک کشیده است.

چالش دیگر این است که اگرچه یک سازمان ممکن است تلاش كردن برای نگهداری یک پایگاه داده تامین کننده، اطمینان از درست و صحیح بودن آن با قابلیت های فنی فعلی تقریباً غیرممکن است. به دلیل فرآیندهایی مانند ثبت نام خود و دعوت از مهمان، هویت های خارجی از کنترل های امنیتی اعمال شده برای کارمندان جدا می مانند.

افزایش بهره نظارتی و تعهدات قراردادی

از آنجایی که حوادث و نقض‌های منتسب به اشخاص ثالث همچنان در حال افزایش هستند، تنظیم‌کننده‌ها به آن توجه می‌کنند. به عنوان مثال، Sarbanes-Oxley (SOX) اکنون شامل چندین کنترل است که به صراحت مدیریت ریسک شخص ثالث را هدف قرار می دهد. حتی گواهینامه مدل بلوغ امنیت سایبری (CMMC) صراحتاً بهبود بلوغ امنیت سایبری اشخاص ثالثی را که به دولت فدرال خدمت می کنند، هدف قرار می دهد. هدف نهایی چنین مقرراتی این است که تمام دسترسی های شخص ثالث را تحت کنترل های انطباق یکسانی که برای کارمندان لازم است قرار دهد تا یکپارچگی در کل نیروی کار وجود داشته باشد و بتوان به سرعت تخلفات را کاهش داد.

امروز، ما از شرکت ها انتظار داریم که تامین کنندگان، فروشندگان و شرکای خود را تحت فشار قرار دهند تا کنترل های امنیتی سخت گیرانه تری را اجرا کنند. با این حال، در درازمدت، چنین رویکردهایی ناپایدار هستند، زیرا اجرای استانداردها در سراسر یک سازمان شخص ثالث، اگر نگوییم غیرممکن، دشوار است. از این رو، تمرکز باید بر روی حصول اطمینان از اینکه محیط های مبتنی بر هویت به اندازه کافی قوی هستند برای شناسایی و مدیریت تهدیداتی که اشخاص ثالث ممکن است ایجاد کنند، تغییر کند.

در حال حاضر، راه حل های هویت غیرمتمرکز در حال حرکت به سمت جریان اصلی هستند. همانطور که این فناوری ها به طور گسترده پذیرفته می شوند، به رشد خود ادامه خواهند داد. این به بسیاری از سازمان ها کمک می کند تا مدیریت شخص ثالث را در آینده ساده کنند. همچنین به شرکت‌ها در سفر به سمت موقعیت‌های هویتی سازگار با اعتماد صفر کمک می‌کند. ادغام نظارت مستمر امنیتی و پیاده سازی سیستم های تأیید هویت مداوم نیز اهمیت فزاینده ای پیدا خواهد کرد.

پنج قدم برای کاهش ریسک شخص ثالث امروز

چالش های امروز پیچیده هستند اما غیر قابل حل نیستند. در اینجا پنج مرحله وجود دارد که سازمان ها می توانند برای بهبود حاکمیت دسترسی شخص ثالث در کوتاه مدت انجام دهند.

1) مدیریت شخص ثالث را ادغام کنید. این فرآیند می تواند با امور مالی و تدارکات آغاز شود. هر کسی که قراردادی برای ارائه خدمات به هر بخش در شرکت دارد، باید در یک سیستم ثبت معتبر که شامل اطلاعاتی در مورد امتیازات دسترسی اختصاص داده شده به کاربران خارجی است، شناسایی و فهرست شود.

تیم‌های امنیتی باید حساب‌های قدیمی را آزمایش کنند و حساب‌هایی را که دیگر مورد نیاز نیستند یا در حال استفاده نیستند، حذف کنند. علاوه بر این، آنها باید حمایت مالی و مسئولیت مشترک را به مدیران شخص ثالث اختصاص دهند.

2) فرآیندهای بررسی و پذیرش ریسک را مؤسسه کنید. هم سازمان و هم تأمین‌کننده/فروشنده‌اش باید گردش‌های کاری را برای بررسی و ورود کاربران شخص ثالث تعیین کنند تا اطمینان حاصل کنند که آنها همان چیزی هستند که می‌گویند – و فرآیند نصب آنها از اصل حداقل امتیاز پیروی می‌کند. پیاده سازی یک پورتال سلف سرویس که در آن کاربران شخص ثالث می توانند درخواست دسترسی داشته باشند و اسناد مورد نیاز را ارائه دهند، می تواند مسیر بهره وری را هموار کند. تصمیمات دسترسی باید بر اساس ریسک باشد.

3) سیاست ها و کنترل ها را تعریف و اصلاح کنید. سازمان – و فروشندگان و تامین کنندگان آن – باید به طور مداوم سیاست ها و کنترل ها را برای شناسایی تخلفات احتمالی و کاهش موارد مثبت کاذب بهینه کنند. سیاست ها و کنترل ها باید به صورت دوره ای آزمایش شوند و تیم های امنیتی نیز باید دسترسی کارمندان را بررسی کنند. با گذشت زمان، اصلاح خودکار می تواند هزینه های اداری را بیشتر به حداقل برساند.

4) کنترل های انطباق را برای کل نیروی کار خود تنظیم کنید. به دنبال راه حل حاکمیت دسترسی شخص ثالث باشید که یکپارچگی را در بین کارمندان و کاربران شخص ثالث امکان پذیر می کند، به ویژه از آنجایی که تنظیم کننده ها به طور فزاینده ای به این نیاز دارند. دسترسی به گزارش‌های انطباق خارج از جعبه برای SOX، GDPR، HIPAA و سایر مقررات مربوطه، اجرای کنترل‌های مناسب و ارائه اسناد حسابرسی لازم را آسان‌تر می‌کند.

5) مدیریت دسترسی ممتاز (PAM) را پیاده سازی کنید. گام مهم دیگری که سازمان ها می توانند برای افزایش بلوغ امنیت سایبری خود بردارند، پیاده سازی راه حل PAM است. این سازمان را قادر می‌سازد تا حداقل دسترسی با امتیاز و امتیاز صفر را به طور خودکار در تمام حساب‌های مربوطه اعمال کند.

دنیای کار دیگر مانند سال 2019 نخواهد بود. انعطاف‌پذیری، چابکی و دسترسی به استعدادهای درجه یک که کسب‌وکارها از پذیرش روش‌های مدرن کار به دست می‌آورند، تغییرات را بیش از ارزش‌تر کرده است. و شرکت‌ها می‌توانند ارزش عظیمی را در روابط تجاری پیچیده و پویا و اکوسیستم‌های تامین‌کننده امروزی درک کنند. آنها باید اطمینان حاصل کنند که استراتژی های امنیت سایبری آنها می تواند با تقویت هویت و حاکمیت دسترسی شخص ثالث ادامه یابد.

Paul Mezzera معاون استراتژی در Saviynt است.

DataDecisionMakers

به انجمن VentureBeat خوش آمدید!

DataDecisionMakers جایی است که کارشناسان، از جمله افراد فنی که کار داده را انجام می دهند، می توانند بینش ها و نوآوری های مرتبط با داده ها را به اشتراک بگذارند.

اگر می‌خواهید درباره ایده‌های پیشرفته و اطلاعات به‌روز، بهترین شیوه‌ها و آینده فناوری داده و داده مطالعه کنید، به ما در DataDecisionMakers بپیوندید.

حتی ممکن است در نظر داشته باشید که مقاله ای از خودتان مشارکت دهید!

از DataDecisionMakers بیشتر بخوانید