【驗明正身】採納身分安全方案 保護非僱員身分
自香港今年年初重新開關,並且撤銷所有社交距離措施後,多個行業的業務均見反彈,同時創造更多就業機會,2023 年 4 月至 6 月的失業率下跌至 2.9%,是 3 年半以來的新低。與此同時,旅遊業、零售業、酒店業和餐飲業均面對不同程度的人手短缺,因此僱用兼職員工、承辦商和自由職業者的做法越見普遍。
大型企業和專業服務公司亦相繼聘用外部顧問和合作夥伴來擴充人力,以擴大營運規模、提高彈性並增強競爭力。這些非僱員勞動力,包括服務帳戶、機械人和智能設備等非人類科技,一般亦需要公司網絡和資源的存取權才能運作,這正正為香港 IT 業界帶來新挑戰。
管理非僱員身分的挑戰
僱員身分比非僱員身分較容易管理。簡單而言,企業能更直接控制員工的身分和存取權限- 員工的身分識別生命週期完全由單一部門(例如人力資源部)管理,一般涉及有序管理、追蹤及記錄活動進展,由職位空缺、揀選候選人、錄用、篩選和入職活動、職位晉升或調動,以至終止僱用均包括在內。
相反,從身分管治角度來看,向兼職員工和供應商等非僱員用戶授予適當存取權限便沒那麼直接,甚至可說混亂得多。即使是大型企業,也往往缺乏專為非僱員而設的正式採購審查和身分管理程序。這些相關職責通常散落於不同部門,而現時程序中出現的斷點,加上非僱員身分欠缺透明度,均增加不當存取、過度配置存取權及非活躍帳戶成為被遺棄帳戶的風險。
事實上,非僱員用戶存取權管理不當所引致最顯而易見的負面結果,正是網絡漏洞風險。舉例而言,用戶在企業不知情下,與供應商終止聘約,或者轉而與其他客戶合作,但原本的供應商仍然掌握該企業平台的存取權,大大增加企業所面對的風險。過度配置亦可能導致非僱員擁有過多存取權限,攻擊者可以利用這些存取權限來取得更高級別的特權。
有見及此,採用非僱員風險管理解決方案,是對付這些問題的關鍵。
開展你的非僱員身分管理旅程
如何判斷你的公司是否具備足夠成熟程度,以採納非僱員身分管理?可先考慮以下三個關鍵問題:
你擁有多少個供應商?
由於缺乏強大的中央系統和程序,大部分企業並未能掌握他們究竟向多少供應商授予存取權限,很多企業甚至擁有數以百計的第三方供應商關係。更重要的是,這些合作關係並非不變,企業需要不斷適應,並改變他們與供應商的關係。
你擁有多少個第三方用戶?
每間供應商可能各自擁有數百以至數千個用戶,而某些行業,例如醫療、製造業和教育等的非僱員人數往往較多,因此它們的相關用戶數字會更高。因此,掌握有權存取公司資料和系統的用戶數量至關重要。另一方面,供應商又會根據其業務需求變化來增聘或削減員工(以及其第三方非僱員),使情況變得更加複雜。
授予存取權涉及多少成本?
企業考慮新合約所涉成本時,亦應考慮加入、管理和終止相關第三方用戶存取權所需的全部費用。
舉例而言,使用現有工具和程序來加入第三方用戶,可能耗時且成本高昂,因為需要花費額外時間來驗證用戶的活躍參與狀態、管理存取權變動、審核合規需求,以及終止存取權等。這說明企業需要針對供應商和個別用戶的風險狀況部署相應的安全管制,從而提升效率和能見度,並更有效管理安全及財務風險。
採納全面方案應對挑戰
企業必須認清並承認,非僱員對安全構成高度風險,故須嚴格處理第三方風險管理。
企業能透過採納全面的身分安全解決方案以提升營運效率,並降低管理第三方身分的成本和風險。一套全面的解決方案會就非僱員身分和存取數據專門建構權威來源,以克服內部、人力資源及局部解決方案長期存在的局限。此外,全面的解決方案亦能提供用戶可配置的渠道,讓企業從內部和外部資源中以協作形式持續收集非僱員數據。
一套就個別身分級別鑑定風險評級的混合解決方案,是最理想的身分和第三方風險管理方案。這類方案亦應針對行業、併購個案及非僱員類型(包括義工、學生、獨立承辦商、自由職業者、合作夥伴,以及機械人、服務帳戶和物聯網設備等非人類科技)提供專門用例支援。加上先進的人工智能功能支援,企業便能在適當時間向適當的員工或非僱員身分授予存取權限,藉此確保應用程式和數據安全。
第三方資源能為現今的企業提供很多優勢,但管理他們的身分和存取權需求卻帶來了新的營運和安全挑戰。展望未來,市場需要一個真正的第三方身分管理解決方案,定期監察和審查存取權限,從而提升效率,解決過度配置和未能及時撤銷配置的問題,並且降低風險。
若企業對其非僱員群體擁有更高透明度和控制能力,便能降低與勞動力相關的成本,並且就存取權限配置作出更好的風險決策,降低第三方外洩資料的風險。
作者:SailPoint香港及澳門董事總經理戴健慶(Simon)