文/傅孝淇 Celine Fu,SailPoint 台灣區總經理(Managing Director)
現今組織管理越來越多的第三方、非員工身分,像是合作夥伴、供應商、承包商和臨時工。而非員工勞動力也包含非人類技術,如服務帳戶、機器人和數位設備,通常需要存取組織的網路和資源用以運作。去年我們看到不少肇因於供應商等第三方引發的數據洩漏事件,在台灣,管理非員工身分已成為一個全新的 IT 挑戰。
管理非員工身分的挑戰
員工身分相較於非員工身分更易管理,因為組織對員工的身分和存取擁有更直接的控制權。員工的身分生命周期由單一部門(例如人力資源)統一管理,通常是一個有秩序的進程,涵蓋了管理、追蹤和記錄的活動,從職位開放、應試者選擇、提供工作機會、篩選和入職活動、升遷或調職到離職。
然而非員工用戶的身分治理更加複雜。即使是大型企業,也常常缺乏針對非員工的正式採購審查和身分管理流程。這些職責通常分散在不同的業務部門,而這個過程中的不連貫和對非員工身分缺乏透明度,增加了不當存取、過度授權存取和閒置帳戶的風險。
以便利商店為例。便利商店加盟模式在很大程度上依賴於龐大的傳統第三方供應商和供應商網路,以及非傳統的第三方技術,如店內的自動結帳和自助服務,這些服務在獲得加盟者系統存取權之前,也需要不同程度的身分管理。因此,如果便利商店加盟者使用手動流程來管理非員工存取權限,將面臨一個耗時、昂貴且複雜的過程,無法有效地將請求存取的個別用戶與其組織的關係聯繫起來,進而增加風險暴露。
我們可以得知,現行國內便利商店受限於傳統手動權限管理的困難,大大影響便利商店及零售連鎖商店營運的彈性及商業策略的發展。也就是說,如果連鎖零售業能夠更直接掌握連鎖店員工的管理權限,有更好的資訊平台提供安全的做法,便利商店的業務也將明顯提升。
全美第二大的零售百貨集團 Target 2013 年遭遇數據洩露事件,起因是 Target 的第三方承包商成為釣魚攻擊的受害者。透過第三方攻擊,駭客竊取了價值 4,000 萬美元信用卡號碼和 7,000 萬筆客戶的個人資料,導致 Target 在恢復成本和法律開支上花費天價,同時面臨聲譽損害。
藉由採用全面的非員工風險管理解決方案,可以防止像這樣的數據洩露事件:
- 提供便利商店加盟者非員工(加盟者、供應商、供應商、非人類)身分需求的支援,無需進行大範圍的改製。
- 授予根據關係或根據權限的存取,實現使用者適當的數據可見性和流程能力,以便任何第三方僅執行其任務。
- 根據非員工的角色自動化身分流程,同時為每個加盟者、供應商和供應商分離身分資訊,確保迅速、準確地啟動、重新驗證和終止存取。
- 透過清楚定義加盟者與加盟者、供應商或其他供應商之間的關係,提供對每個國家、加盟者和業務線的完整可見性。
無論身處於哪個產業,如何判斷你的組織對於非員工身分管理具有適當的成熟度?以下是在開始前的三個關鍵問題:
- 擁有多少供應商?
由於缺乏強大的集中式系統和流程,大多數組織仍然難以理解它們提供存取權限的供應商數量。許多組織擁有數百個第三方合作夥伴。更重要的是,這些關係並不是靜態的,組織需要不斷適應和改變這些關係。
- 擁有多少非員工用戶?
公司可能擁有數千名用戶,尤其是對於像醫療和製造這樣通常擁有較大非員工人口的產業來說,這一數字通常更高。因此,了解已被授予存取組織訊息和系統權限的非員工用戶的數量是很重要的。
- 提供存取權限的成本是多少?
當組織考慮一個新合約的成本,應考慮到啟動、管理和終止相關非員工用戶的全部費用。例如,使用現有工具和流程啟動非員工用戶可能耗時且昂貴,因為需要額外的時間來驗證活動參與狀態、管理存取權限變更、進行合規性審核和終止存取。因此,組織需要提高效率和可見性,將安全控制與個別用戶風險配置相匹配,優化管理安全和財務風險。
綜合應對挑戰的方法
組織可以藉由全方位的身分安全解決方案提高營運效率,降低管理非員工身分的成本和風險。一個全方位的解決方案可為非員工提供一個專為其打造的身分和存取數據的正式授權來源,解決人力資源和臨時解決方案的侷限性。提供用戶可配置的門戶,使組織能夠從內部和外部資源驅動協作和持續的非員工數據收集。
對於第三方風險管理,以個體身分風險類別評分為基礎的混合解決方案是最為理想的解決方案。透過先進的人工智慧(AI)功能,組織可以確保應用程式和數據在任何時候,無論是員工還是非員工,只授予正確的身分存取權限。
未來,需要的是真正的非員工身分管理解決方案,使組織能夠定期監控和審查存取權限,進而提高效率,消除過度授權,降低風險。
當組織對其非員工擁有更多的透明度和控制權時,勞動相關成本降低,面對風險相關的存取權限決策可以做出更佳的判斷,以減少第三方入侵的風險。
(本文授權非營利轉載,請註明出處:CIO Taiwan)