Son araştırmalara göre işletmelerin %54’ü yalnızca son 12 ay içinde üçüncü taraf veri ihlaline maruz kaldı ve bu ihlallerin maliyeti artmaya devam ediyor. Bugün, Amerika Birleşik Devletleri’nde bir veri ihlalinin ortalama maliyeti, son üç yılda %15’ten fazla bir artışla 4,45 milyon dolara yükseldi ve veriler, üçüncü tarafların katılımının en önemli ağırlaştırıcı faktörlerden biri olduğunu gösteriyor.
“Üçüncü taraf ihlali” terimi, birçok kişinin böyle bir olaydaki hatanın üçüncü tarafa ait olduğuna inanmasına neden olur, ancak durum her zaman böyle değildir. Potansiyel ortakların ve satıcıların güvenlik uygulamalarını kapsamlı bir şekilde incelemek önemli olmakla birlikte, kuruluşların kendilerini gereksiz riske sokmaktan kaçınmak için çalışan olmayan kimlikleri de etkili bir şekilde güvence altına alması ve yönetmesi gerekir. Üçüncü taraf ihlallerinin hacmi ve ciddiyeti artmaya devam ettikçe, çalışanlara yönelik olmayan etkili risk yönetimi uygulamalarının uygulanması, modern işletmeler için giderek daha kritik hale gelecektir.
Çalışan Dışı Kimlikler Hızla Yükseliyor
Ortalama bir kuruluşun kullandığı kimliklerin hacmi son birkaç yılda hızla arttı ve çalışan olmayan kimlikler de bir istisna değil. McKinsey tarafından yakın zamanda yapılan bir araştırma, ABD işgücünün %36’sının artık geçici işçilerden, sözleşmeli çalışanlardan, serbest çalışanlardan ve geçici işçilerden oluştuğunu ortaya çıkardı; bu rakam 2016’da %27’ydi. Günümüzün işletmeleri, sözleşmeli çalışanların yanı sıra ortak kuruluşlarla da yakın işbirliği içinde çalışıyor, tedarik sağlıyor. zincir satıcılar, danışmanlar ve diğer dış kuruluşlar; bunların tümü, kuruluşun dijital ortamlarına farklı derecelerde erişim gerektirir.
Çalışan olmayan kimliklerin hacmi, ortalama bir şirketin bugün kullandığı 130 farklı hizmet olarak yazılım (SaaS) uygulamasıyla ilişkili kimlikler gibi insan dışı kimliklere girmeden yeterince önemlidir. Bir kuruluşun dijital ortamında çalışmak için, çalışan olmayan bu varlıkların her birinin uygun şekilde hazırlanmış kimliklere ihtiyacı vardır ve risklerini azaltmak ve potansiyel bir tehdit haline gelmekten kaçınmak için bu kimliklerin yaşam döngüleri boyunca etkili bir şekilde yönetilmesi gerekir.
Çalışan Dışı Kimlik Yaşam Döngüsü
Çalışan olmayan kimliklerin güvence altına alınması ve yönetilmesi söz konusu olduğunda en büyük zorluklardan biri işe alım sürecidir. BT ve güvenlik departmanları, çalışan olmayan bir çalışanın gerçekleştirmesi gerekebilecek belirli iş işlevleri hakkında her zaman gerekli bilgiye sahip değildir ve bu da tedarik sağlamayı zorlaştırır. Güvenlik ekipleri genellikle iş operasyonlarını engellememek için baskı altında olduğundan, en az direnişin yolu genellikle gerekenden daha fazla izin vermektir. Bu, operasyonların kolaylaştırılmasına yardımcı olur ancak aynı zamanda tehlikelidir: Bir kimlik ne kadar çok izne sahip olursa, bu kimliğin ele geçirilmesi durumunda saldırganın verebileceği zarar da o kadar fazla olur.
Çalışan olmayan çalışanların geçici doğası, kimlik yaşam döngüsünü yönetmeyi de zorlaştırıyor. Yetim hesaplar önemli bir sorundur: Hiç kimse BT’ye veya güvenliğe bir yüklenicinin ayrıldığını söylemezse, tüm izinleri ve yetkileriyle birlikte hesapları süresiz olarak aktif kalabilir. Eski izinler veya yinelenen hesaplar da aynı derecede tehlikelidir. Artık gerekli olmayan yetkileri ortadan kaldırarak sözleşmeli çalışanın ihtiyaç duyduğu izinleri düzenli olarak yeniden değerlendirmek önemlidir. Kulağa basit geliyor ama günümüzün organizasyonları genellikle yüzlerce veya binlerce çalışan olmayan kişiyi yönetiyor. Bunların uygun şekilde tedarik edilmesini sağlamak önemli bir zorluktur ancak çalışan dışı riskleri yönetmek için hayati öneme sahiptir.
Çalışan Dışı Risk Yönetimi İçin En İyi Uygulamalar
Kuruluşların, çalışan olmayan tüm kimlikleri tek bir kontrol panelinden görüntüleyebilen ve her kimliğin sahip olduğu izinleri ve yetkileri açıkça gösterebilen bir çözüme ihtiyacı var. Bu, otomatikleştirilmiş özellikleri bir araya getirebilen, yeni hesapların temel hazırlığının yapılmasını ve eski hesapların kullanımdan kaldırılmasını kolaylaştıran bir çözüme sahip olmak anlamına gelir.
Belirli pozisyonlar için önceden tanımlanmış roller oluşturmak, işe alım sürecini daha hızlı ve daha güvenli hale getirebilir ve çalışan olmayan yeni bir kişi çalışmaya başladığında izinlerinin bir bitiş tarihi olmalıdır. Çalışan olmayan her çalışana, işlerini gerçekleştirmek için hangi izinlere ihtiyaç duyduklarını bilen ve durumlarındaki herhangi bir değişiklik konusunda BT’yi uyarmaktan sorumlu bir kişi olan dahili bir “sponsor” atamak da önemlidir. Buna ek olarak, sponsorluk değiştiğinde (örneğin sponsorun organizasyondan ayrılması veya yeni bir rol üstlenmesi gibi) çözümün takip edilmesi de kritik öneme sahiptir.
Etkili bir çalışan dışı risk yönetimi çözümü aynı zamanda yeniden doğrulama sürecini de kolaylaştırmalıdır. Kuruluşlar, çalışan olmayan kişilerin hâlâ kuruluş içinde çalışıp çalışmadığını doğrulamak için düzenli kontroller yapmalıdır. Bu, çalışan olmayan her kişinin sponsoruna durumlarını doğrulamak için gönderilen aylık bir bildirimi içerebilir.
Sistem aynı zamanda izinlerin aktif olarak kullanılıp kullanılmadığını izleyebilmeli ve bir kimliğin hareketsiz görünmesi veya ihtiyaç duymadığı yetkilerle aşırı sağlanmış olması durumunda BT ve güvenlik ekiplerine bildirimde bulunabilmelidir. Kimliklerin yalnızca ihtiyaç duydukları yetkilere sahip olduğunun doğrulanması ve sahipsiz hesap sorununun önlenmesi, çalışan dışı risk yönetiminin en önemli unsurları arasında yer alıyor.
İşletmeler giderek artan sayıda sözleşmeli çalışan, üçüncü taraf satıcı, SaaS uygulamaları ve çalışan olmayan diğer kuruluşlardan yararlandıkça, çalışan dışı risk yönetimine modern bir yaklaşım benimsemek artık isteğe bağlı değil, esastır.
yazar hakkında
Ben Cody, kurumsal yazılım ürünleri oluşturma ve sunma konusunda 30 yılı aşkın deneyime sahip olmasının yanı sıra, yenilikçi ve verimli ürün organizasyonlarında başarıya öncülük etme deneyimine de sahiptir. SailPoint’in Ürün Yönetiminden Sorumlu Kıdemli Başkan Yardımcısı olarak Ben, şirketin ürün stratejisini, yol haritasını ve teslimatını denetlemektedir. SailPoint’e katılmadan önce Ben, Digital Guardian ve McAfee’de üst düzey ürün yönetimi görevlerinde bulundu. Uzmanlığı kimlik ve erişim yönetimi, veri koruma, tehdit tespiti, bulut güvenliği ve BT Hizmet Yönetimini kapsamaktadır. Ben, Oklahoma Üniversitesi’nden Yönetim Bilişim Sistemleri alanında BAA derecesine sahiptir. Kimlikleri koruyan ürünler üretmediği zamanlarda hırslı bir bağcıdır.