So reduzieren Sie das Zugriffsrisiko von Drittanbietern

Da Organisationen auf der ganzen Welt mit einem beispiellosen Fachkräftemangel konfrontiert sind und sich die Arbeitswelt nach der Störung durch die Pandemie immer noch erholt, ist es nicht ungewöhnlich, dass Unternehmen sich extern an Drittanbieter wenden, um Unterstützung zu erhalten.

Aber mit dieser zunehmenden Abhängigkeit von Anbietern, Auftragnehmern, Freiberuflern und anderen Drittarbeitern machen sich Unternehmen unbeabsichtigt anfälliger für Cyberangriffe. Um die Arbeit zu erledigen, für die sie eingestellt wurden, benötigen diese Drittunternehmen Zugriff auf alle relevanten Teile der Organisation, für die sie arbeiten – dies kann über mehrere Abteilungen, über verschiedene Standorte und für unterschiedliche Längen erfolgen Zeit. Die Angelegenheit wird durch die Tatsache weiter verkompliziert, dass diese Anbieter wahrscheinlich andere Onboarding-Prozesse als interne Mitarbeiter oder denselben Zugriff wie Vollzeitmitarbeiter benötigen und möglicherweise ein anderes, möglicherweise niedrigeres Sicherheitsniveau anwenden als das Unternehmen, das sie verwenden. Ich bin gekommen, um zu arbeiten. All diese Aspekte erschweren es, den Überblick über alle Drittanbieter zu behalten, sich einen umfassenden Überblick darüber zu verschaffen, wer auf was Zugriff hat und wer wo und wann kommt und geht.

Laut einer Umfrage des Ponemon Institute, haben 66 % der Unternehmen keine Ahnung, wie viele Beziehungen zu Drittanbietern sie in ihren Büchern haben oder wie sie verwaltet werden – obwohl 61 % angaben, dass ein Verstoß auf einen Dritten zurückzuführen ist. Zusätzlich, KasperskyIst jährlich Ökonomischer Bericht zur IT-Sicherheit fanden heraus, dass Vorfälle durch Dritte im Jahr 2021 die teuerste Art von Datenschutzverletzungen in Unternehmen waren.

Im Jahr 2022 gab es bereits zahlreiche Datenschutzverletzungen Dritter. Im Februar zum Beispiel Fertigungsriese Toyota musste einige Betriebe in Japan schließen, nachdem einer seiner wichtigsten Kunststofflieferanten eine Datenschutzverletzung erlitten hatte. Da der Dritte Zugang zu Toyota-Fertigungsstätten hatte, war eine Schließung zum Schutz der Daten erforderlich, obwohl der Verstoß auch einige Betriebe von Toyota-Tochtergesellschaften betraf und die Autoproduktion reduziert werden musste, was sich auf das Ergebnis von Toyota auswirkte.

Die Verwaltung von Drittanbietern kann kompliziert sein, aber ihre Vernachlässigung birgt erhebliche Risiken – was können Unternehmen also tun?

Zugriffssteuerung durch Drittanbieter

Einige Unternehmen können bis zu Tausenden von Beziehungen zu Drittanbietern haben, was bedeutet, dass ein enormer Arbeitsaufwand erforderlich ist, um Drittanbieter und ihre Identitäten zu inventarisieren und zu integrieren, einschließlich nichtmenschlicher Identitäten – wie dies sogar bei IoT-Geräten und Bots von Drittanbietern der Fall ist zu integrierende Identitäten, die das Ökosystem eines Unternehmens potenziell gefährden.

Das erste Problem dabei ist, dass traditionelle Tools für Identity Governance und Administration (IGA) nur darauf ausgelegt sind, Mitarbeiteridentitäten zu verwalten, sodass Identity Access Management (IAM)- und IT-Sicherheitsteams improvisieren mussten, wenn es um die Verwaltung der heutigen stärker digitalisierten und ständig wachsenden Unternehmen geht fremde Arbeitskräfte. Dieser Prozess ist nicht nachhaltig.

Aus diesem Grund ist die Einrichtung eines effektiven Zugriffsverwaltungsprogramms von Drittanbietern von entscheidender Bedeutung, das dabei hilft, nicht nur die zusätzliche Arbeitsbelastung des heutigen Marktes zu bewältigen, sondern auch digitale Identitäten zu handhaben. Im Folgenden sind fünf proaktive Schritte aufgeführt, die Unternehmen ergreifen können, um Risiken zu reduzieren, die Sicherheit des Zugriffs durch Dritte zu gewährleisten und den Stand der Governance durch Dritte zu verbessern.

5 Schritte zur Risikominderung

1. Schätzen Sie Ihre aktuelle Situation ein

Der erste Schritt zur Verringerung des Risikos einer Verletzung durch Dritte besteht darin, sich der Sicherheitsmaßnahmen Ihrer externen Anbieter bewusst zu sein. Eine der größten Herausforderungen bei Identitäten von Drittanbietern besteht darin, dass sie nicht das gleiche Maß an Prüfung durchlaufen wie Vollzeitbeschäftigte und interne Mitarbeiter – was bedeutet, dass ihre Identitäten in den meisten Fällen nicht Teil des Unternehmensidentitäts- und Authentifizierungsverzeichnisses sind .

Während viele Unternehmen Identitätsverwaltungslösungen einsetzen, sind die meisten Lösungen nicht darauf ausgelegt, die Komplexität der Verwaltung von Identitäten Dritter zu bewältigen. Es ist wichtig, zunächst damit zu beginnen, ob Ihre Organisation die eine zentralisierte Quelle für das Onboarding von Drittorganisationen haben. Überprüfen Sie als Nächstes, ob der Identitätszugriff von Drittanbietern sofort nach dem Kündigungs- oder Enddatum deaktiviert und widerrufen wird oder ob er bestehen bleibt. Ist der Zugriff von Drittanbietern in Ihrer Organisation überhaupt geregelt, und wenn ja, welche Kontrollen sind vorhanden, um den Zugriff einzuschränken, den Identitäten von Drittanbietern anfordern und auf den sie zugreifen können? Bestätigen Sie abschließend, ob Ihr IAM-System einen Überblick über das Risiko aller Arten von Identitäten bietet.

2. Konsolidieren Sie Drittorganisationen

Sobald Sie Ihre aktuelle Situation bewertet haben, können Sie mit der Einrichtung eines Identity Lifecycle Management-Programms für Dritte beginnen, indem Sie Dritte in einem Aufzeichnungssystem konsolidieren. Hier werden relevante Informationen über die Drittorganisation erfasst und aufgezeichnet, bevor der Zugriff auf die Identitäten von Drittparteien gewährt wird.

Dieser Schritt kann mit der Erstellung einer Liste der aktuellen Beziehungen zu Drittparteien beginnen – es ist eine gute Idee, sich an Beschaffungsteams zu wenden, da viele Drittparteien Vertragsbeziehungen haben. In Bezug auf Verträge ist es wichtig, die Vertragssprache zu überprüfen, um die Verantwortlichkeiten Dritter für die Verwaltung des Identitätszugriffs für Neueinsteiger, Umsteiger und Aussteiger zu berücksichtigen. Wenn Sie verlangen, dass auch Dritte Verstöße schnell offenlegen, können Sie umgehend Maßnahmen ergreifen, um die Folgen zu reduzieren. Bestimmen Sie als Nächstes einen dedizierten Sponsor, um die Kommunikation mit jedem Drittanbieter zu erleichtern und zu optimieren und sicherzustellen, dass sich alles bei diesem Anbieter an einem Ort befindet und es keine gekreuzten Drähte gibt.

Obwohl dieser Schritt zeitaufwändig und herausfordernd sein kann, ist er für den Aufbau einer erfolgreichen Grundlage für jedes Governance-Programm von unschätzbarem Wert.

3. Etablieren Sie einen risikobewussten Onboarding-Prozess

Die Schaffung eines Workflows für die Überprüfung und das Onboarding von Drittbenutzern, um sicherzustellen, dass sie die sind, für die sie sich ausgeben, ist für eine gute Governance unerlässlich. Beispielsweise hilft die Bereitstellung eines Self-Service-Portals, auf dem Dritte den Zugriff anfordern und die erforderlichen Unterlagen bereitstellen können, beim Sammeln von Informationen für die Überprüfung und den Identitätsnachweis. Es beschleunigt auch die Bereitstellungsprozesse, reduziert die administrativen Telefonanrufe und E-Mails, die den Prozess normalerweise verlangsamen, und ermöglicht Benutzern, schnell produktiv zu werden.

Diese Methode trägt auch dazu bei, dass der Onboarding-Prozess dem Konzept der geringsten Rechte folgt. Häufig als „gerade ausreichender“ Zugriff bezeichnet, müssen Drittbenutzern nur der entsprechende Zugriff gewährt werden, um ihre zugewiesenen Rollen zu erfüllen – mehr nicht. Indem Rollendefinitionen speziell für die eigentlichen Aufgaben erstellt werden, anstatt sie aus einem ähnlichen Format zu duplizieren, haben Dritte nur dann Zugriff auf das, was sie brauchen, wenn sie es brauchen.

4. Definieren und verfeinern Sie Richtlinien und Kontrollen

Die kontinuierliche Optimierung von Richtlinien und Kontrollen, um potenzielle Verstöße zu identifizieren und Fehlalarme zu reduzieren, kann den Verwaltungsaufwand und die Risiken erheblich reduzieren. Wenn sowohl Organisations- als auch Drittanbieter-Administratoren Richtlinien und Kontrollen regelmäßig testen, beispielsweise regelmäßige Zugriffsüberprüfungen und fortlaufende Zertifizierungen auf monatlicher oder wöchentlicher Basis durchführen, können sie sehen, wo Benutzer möglicherweise überlastet sind oder wo möglicherweise inaktive Konten mit vertraulichen Informationen vorhanden sind die entfernt werden müssen.

Es ist auch wichtig, Compliance-Kontrollen für die gesamte Belegschaft einzurichten, zumal mehrere regulatorische Rahmenbedingungen und Prüfer sich jetzt auf den Zugriff durch Dritte konzentrieren – Sarbanes-Oxley (SOX) zum Beispiel, das spezifische Kontrollen für das Management von Risiken durch Dritte umfasst.

Eine gute Möglichkeit, dies zu tun, besteht darin, alle Zugriffe von Drittanbietern in denselben Compliance-Prozess zu integrieren, den die Mitarbeiter durchlaufen. Dadurch wird die Konsistenz in der gesamten Belegschaft sichergestellt und es den Sicherheitsteams ermöglicht, Risiken und Verstöße schnell zu mindern, unabhängig davon, wer der Benutzer ist.

5. Implementieren Sie eine konvergierte Governance

Konvergiert Governance ist ein sicherer Weg, um die Reife der Cybersicherheit zu erhöhen. Durch die Nutzung einer Plattform, die die gesamte Identity Governance & Administration, Privileged Access Management und Third-Party Access Governance zusammenführt, erhalten Unternehmen vollständige Transparenz über ihre gesamte Belegschaft sowie ein weiteres Maß an Sicherheit, indem sie den Zugriff auf Systeme bei Bedarf sofort entziehen. Sicherheitsteams können von Anfang an zeitbasierten Zugriff gewähren und den Zugriff entfernen, wenn ein Vertrag mit einem Drittanbieter endet.

Es ist höchste Zeit

Da die Integration von Drittanbietern zunimmt – einschließlich Auftragnehmern und Freiberuflern sowie automatisierten Bots und anderen Diensten, die nicht von Mitarbeitern stammen – ist es von entscheidender Bedeutung, dass Unternehmen einen proaktiven Schritt unternehmen, um ein Zugriffssteuerungsprogramm von Drittanbietern in Angriff zu nehmen und anzuwenden. Indem sie die fünf oben genannten Schritte befolgen, sind Unternehmen auf dem besten Weg, Drittanbieterdienste sicher zu behalten, Risiken in ihren IT-Umgebungen zu reduzieren, wo immer Teams arbeiten, und in der Lage zu sein, effektiv zu verwalten und zu verwalten, obwohl noch mehr zu tun ist Überblick über alle Identitäten in ihrem System erhalten.

Chris Owen

Chris ist derzeit dafür verantwortlich, Saviynts Produktinnovation, Roadmap, Markteinführungsnachrichten und Wettbewerbsinformationen voranzutreiben.

Er hat in seiner 15-jährigen Karriere in verschiedenen technischen und Führungspositionen bei Quest / One Identity, CyberArk, BeyondTrust und Centrify einen reichen Erfahrungsschatz im Identity & Access Management (IAM) und Privileged Access Management (PAM) erworben.

Chris begann seine Karriere als technischer Leiter eines der damals größten Transformationsprojekte in Europa.

WAICF – Tauchen Sie ein in die KI und besuchen Sie eines der ...

Delia Salinas • 10. März 2022

Cannes veranstaltet jedes Jahr eine internationale Technologieveranstaltung namens World Artificial Intelligence Cannes Festival, besser bekannt unter dem Akronym WAICF. Eine der luxuriösesten Städte der Welt, an der französischen Riviera gelegen und Gastgeber der jährlichen Filmfestspiele von Cannes, der Midem und des Cannes Lions International Festival of Creativity. 

Die Evolution von VR und AR

Amber Donovan-Stevens • 28. Oktober 2021

Wir sehen uns an, wie sich die Extended-Reality-Technologien VR und AR vom reinen Gaming zu einer langsamen Integration in andere Aspekte unseres Lebens entwickelt haben.