COVID-19는 사이버 보안에 대한 위협입니까? 위기 상황에서 비직원 액세스 관리

채용에 도움이 필요하십니까? 그것은 간단합니다. 아래에 귀하의 정보를 입력하시면 귀하의 고용 요구 사항을 논의하기 위해 신속하게 연락을 드리겠습니다.

COVID-19 위기 동안 근로자를 일시 해고하거나 정리 해고하는 것은 많은 조직의 최악의 시나리오이지만 경영진이 변화하는 세계 경제에 대응함에 따라 점차 현실화되고 있습니다.

인력을 변경하는 것은 항상 어려운 일이지만 해당 인력에 “제3자” 또는 “계약자”라고도 하는 비직원이 포함될 경우 더욱 복잡해집니다. 비직원 역할이 해고되거나 제거된 후 보안 프로토콜을 적절하게 관리하지 못하면 위험 위협이 급증할 수 있습니다.

아래에서 ID 관리 회사인 SecZetta의 CEO이자 공동 설립자인 Dave Pgnolet은 조직이 위기 상황에서 비직원 위험 전략을 가장 잘 관리할 수 있는 방법에 대한 통찰력을 제공합니다.

Recruiter.com: 근로자를 “비고용인” 인구의 일부로 만드는 것은 무엇입니까?

데이브 피그놀렛: 직원이 아닌 사람은 조직의 정규 직원(FTE) 모집단에 속하지 않는 제3자로 분류됩니다. 여기에는 공급업체 직원 및 파트너, 계약자, 프리랜서, 자원봉사자, 심지어 봇과 같은 비전통적인 작업자도 포함됩니다. 이러한 비직원은 고유한 가치가 있지만 보안과 관련하여 조직의 영구 인력과는 다르게 보아야 합니다.

RC: 이 작업자 네트워크가 보안 관점에서 고유한 이유는 무엇입니까?

DP: 첫째, 직원이 아닌 인구가 점점 더 핵심 비즈니스 운영 및 경쟁 전략의 일부가 되고 있음을 이해하는 것이 중요합니다. 따라서 조직의 일부 FTE와 동일하거나 때로는 더 높은 수준의 액세스 권한이 부여됩니다.

일부 조직에서는 제3자 파트너 및 공급업체의 위험을 평가하지만 일반적으로 이러한 회사가 충분한 보안 제어를 갖추고 있는지 여부만 평가하고 액세스 권한을 부여할 개인을 실제로 검토하지는 않습니다. 이 관행은 조직에 비직원에 대한 중요한 정보가 부족하기 때문에 위험 노출을 증가시킵니다. HR 시스템은 각 FTE에 대한 데이터를 제공하지만 비직원에 대한 유사한 기록 시스템은 없습니다. 기본적으로 많은 조직에서 거의 알지 못하는 외부인에게 내부자 액세스 권한을 부여하고 있습니다.

RC: 직원이 아닌 사람들이 변동 기간 동안 조직에 예외적인 위협이 되는 이유는 무엇입니까?

DP: 변동이 심한 기간에는 조직의 우선 순위가 빠르게 변경되어 프로젝트가 연기되거나 취소될 수 있습니다. 조직은 최소한의 권한을 보장하기 위해 직원이 아닌 리소스에 대해 정기적인 감사를 수행해야 합니다(특히 변동이 심한 시기에). 프로젝트가 연기되거나 취소된 경우 관련 비직원의 액세스가 종료되어야 합니다. 그렇지 않은 경우 조직에서 실수로 과도한 권한을 가진 사용자와 분리된 계정을 생성하여 불필요하게 조직의 공격 영역을 확장할 수 있습니다.

RC: 어떻게 무급휴직과 정리 해고가 점점 더 보편화되는 현실에서 비직원 액세스를 효과적으로 관리할 수 있습니까?

DP: 시작하다 직원이 아닌 사람을 알고 있습니다. 2018년 Ponemon Institute 설문 조사에 따르면 민감한 정보를 공유하는 모든 타사 목록을 보유한 조직은 1/3이 조금 넘습니다. 조직은 시설 및 시스템에 액세스할 수 있는 직원이 아닌 모든 개인에 대한 중요한 정보를 유지하기 위해 기록 시스템을 만들어야 합니다. 이것은 직원이 아닌 사용자에게 적절한 기간 동안 필요한 액세스 권한만 부여되도록 관계를 적절하게 추적할 수 있는 유일한 방법입니다.

또한 “제로 트러스트 접근 방식”으로 운영하는 것이 좋습니다. 조직은 비직원에 관해서는 신뢰가 없다는 가정하에 운영되어야 하며 항상 최소 권한을 보장해야 합니다. 제로 트러스트 접근 방식은 각 비직원에 대한 신원 수준 결정을 동시에 수행하는 동시에 수행되어야 합니다. 조직은 비직원과의 관계 및 공급업체 또는 파트너 수준보다 더 작은 규모에서 필요한 엔터프라이즈 자산에 대한 액세스를 중앙에서 추적하고 관리해야 합니다. 이러한 목표를 신중하게 조합하면 비직원이 개별적으로 평가되어 필요한 최소한의 액세스 권한을 부여하여 전반적인 위험을 낮출 수 있습니다.

마지막으로 정기적인 감사 및 재검증 관행을 우선시할 것을 제안합니다. 직원이 아닌 각 사람에게 적시에 안전한 액세스 권한이 부여되고 취소되도록 정기적으로 감사를 실시해야 합니다. 비직원이 프로젝트 기간 동안 재확인 연습을 통해 자신의 상태를 재확인하도록 하면 필요할 때 필요한 사람에게만 적절한 액세스 권한이 부여됩니다.

RC: HR 및 IT 리더는 무급휴직 및 해고 근로자의 액세스 권한을 프로비저닝 해제하기 위한 안전한 프로세스를 보장하기 위해 어떻게 협력할 수 있습니까?

DP: 리더는 감사가 완료된 후 더 이상 필요하지 않은 것으로 간주되는 액세스 권한을 디프로비저닝하기 위해 자동화된 워크플로가 생성되도록 협력해야 합니다.

그러나 미래를 준비하는 것도 중요합니다. 비직원에 대한 중요 데이터를 수집하기 위해 협업 허브를 사용함으로써 HR 및 IT 리더는 비직원과 재참여해야 할 때 온보딩 프로세스를 효과적으로 자동화하는 데 필수적인 비직원 데이터의 신뢰할 수 있는 소스를 생성할 수 있습니다. 이를 통해 조직은 시간을 절약할 뿐만 아니라 관리 팀이 미래에 대비하기 위해 중앙 위치에서 데이터를 추적할 수 있는 강력한 위치에 있게 됩니다.

RC: 직원이 아닌 직원 관리를 감독하는 궁극적인 책임은 누구에게 있습니까?

DP: 프로젝트의 조직 후원자 또는 소유자는 해당 프로젝트와 관련된 직원이 아닌 리소스에 대해 최종적으로 책임을 집니다. HR 및 IT는 직원이 아닌 리소스에 대한 적절한 정보가 수집되고 적절한 액세스 권한이 부여되며 네트워크 및 시스템이 안전하게 유지되도록 해당 개인 또는 비즈니스 라인과 협력해야 합니다. 이를 위해서는 직원이 아닌 사람들과 자주 맺는 동적 관계에 대한 부서 간 투명성이 필요합니다.

이러한 협력적 접근 방식을 통해 직원이 아닌 기록 시스템을 사용하여 개별 근로자에 ​​대한 위험 평가를 수행할 수 있습니다. 이러한 유형의 연습에서 얻은 통찰력을 통해 HR과 IT가 특정 개인에 대한 액세스 권한 부여 및 취소에 대해 조율할 수 있습니다. 이 프로세스는 사용자를 과도하게 프로비저닝하는 위험을 줄이고, 액세스 확인 및 규정 준수 요구 사항을 충족하고, 적시에 액세스 종료를 지원하는 데 중요합니다.

직원이 아닌 사람은 보안 전문가가 높은 위험으로 널리 인정하기 때문에 시설, 시스템 및 데이터에 대한 내부 액세스를 제공할 때 개인 ID 수준에서 특별한 고려를 해야 합니다. 올바른 도구를 사용하여 조직의 리더는 위기 상황에서 직원이 아닌 작업자의 액세스 요구 사항에 대해 정보에 입각한 결정을 내릴 수 있습니다.

About admin

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다