A munkaerő digitalizálása és a koncertgazdaság felemelkedése számos szervezet szerkezetét jelentősen megváltoztatta, ami viszont új kihívások elé állította a HR csapatokat. A hagyományos teljes munkaidős alkalmazottakon (FTE) kívül sok HR-csapatnak és informatikai és kiberbiztonsági munkatársaiknak egyre több vállalkozót, szállítót, partnert, leányvállalatot és szabadúszót kell kezelniük, akiket gyakran „nem alkalmazottnak” neveznek.
Az Egyesült Államokban mindenkor több mint 157 millió ember dolgozik, akiknek 10 százaléka nem alkalmazott. Ez sok olyan embert jelent, akik esetleg nem tényleges alkalmazottak, akiknek szüksége van a vállalati erőforrásokhoz a munka elvégzéséhez. Míg a szervezeteket számos előny ösztönzi a nem alkalmazottak alkalmazására, a kívülállók e csoportja új üzleti kihívásokat vet fel, beleértve a rejtett költségeket és a fel nem mért kockázatokat.
Sok vállalkozásnál a probléma gyökere abban rejlik, hogy nem rendelkeznek a szükséges erőforrásokkal és rendszerekkel ahhoz, hogy hatékonyan gyűjtsék és dolgozzák fel a nem alkalmazottakkal kapcsolatos információkat olyan fontos célokra, mint a beépítés és a szabályozási megfelelés. Az FTE-adatokkal ellentétben a nem alkalmazottak adatait együttműködési módon kell gyűjteni, gyakran a szervezeten belüli és kívüli forrásokból.
A nem alkalmazottak felügyeleti és biztonsági kihívásai
A Ponemon Institute tanulmánya megállapította, hogy a vállalatok 59 százaléka tapasztalt olyan adatszivárgást, amelyet harmadik felek, köztük nem alkalmazottak okoztak. A szervezetek mindössze 16 százaléka mondja azt, hogy hatékonyan tudja csökkenteni a harmadik felek kockázatait.
Miért ez? Ennek egyik oka az, hogy a teljes munkaidőben dolgozók számára általában automatizált belépési folyamatok általában nem alkalmazhatók a nem alkalmazottakra. Az FTE-k esetében alkalmazott humán erőforrás információs rendszer (HRIS) megoldások nem a nem-alkalmazottakra jellemző nemlineáris folyamatokra és kapcsolatokra készültek. Ezen túlmenően a HRIS-megoldások nem alkalmazottak számára történő használatának megkísérlése magas rejtett költségekkel járhat, mint például a nem alkalmazottak ilyen költséges HR-rendszerben tartásának költségei, az adatok bevitelébe és karbantartásába fektetett idő, valamint a téves besorolás kockázata. . Amikor a szervezetek külső munkavállalókat alkalmaznak, az értékajánlatnak általában része a költségmegtakarítás. Amit a munkáltatók figyelmen kívül hagyhatnak, az a nem munkavállalói információk HRIS-ben való kezelésének költségei (legfeljebb 200 USD/fő), ami több ezer munkavállalót jelenthet.
Ennek eredményeként a szervezetek gyakran erősen manuális folyamatokat alkalmaznak a nem alkalmazottak bevonására. Ezek a kézi folyamatok időigényesek; drága; nehéz ellenőrizni; és ami a legfontosabb, hibára hajlamos, ezáltal kibővül a nem alkalmazotti felhasználókkal kapcsolatos kockázatok lehetősége.
Egy másik kockázati terület a harmadik fél személyazonossági kockázatkezelésének átfedő tulajdonjoga. Míg a HR gyakran központosított, és az FTE-k menedzselésére összpontosít, a kockázatkezelési igazgató vagy az információbiztonsági igazgató általában felelős a belső és külső kockázatok szélesebb körben történő azonosításáért, nyomon követéséért és mérsékléséért. Ezenkívül az IT a technológiai eszközök kezelésére és az ezekhez az eszközökhöz való hozzáférésre összpontosít. Ennek eredményeként a nem alkalmazottakat gyakran lazán kezelik ad-hoc folyamatokon keresztül, amint azt fentebb említettük, néha táblázatok, adatbázisok és eszközök gyűjteményével.
Gyakran nincs központosított nézet a szervezet és a nem alkalmazott felhasználó közötti kapcsolatról, és nincs automatizálás a kulcsfontosságú életciklus-folyamatok, például az időben történő lemondások kezelésében. A szervezeteknek hiányoznak a nem alkalmazotti adatok hiteles forrásai, amelyek segítségével megalapozott üzleti döntéseket hozhatnak, és mérsékelhetnék az erőforrások felhasználásával kapcsolatos kockázatokat.
A harmadik felek kockázatának minimalizálása
Ahogy a szervezetek egyre gyakrabban biztosítanak hozzáférést a létesítményekhez, adatokhoz és rendszerekhez folyamatosan növekvő számú nem alkalmazottnak, elengedhetetlenné válik annak bizonyítása, hogy ezek a harmadik felek valójában azok, akiknek vallják magukat. A nem alkalmazottak által jelentett kockázatok mérséklése érdekében a vállalkozásoknak javítaniuk kell a harmadik felek kockázatkezelési erőfeszítéseinek részletességét, átláthatóságát, következetességét és agilitását. Íme néhány lépés, amit megtehetnek ezzel kapcsolatban:
1. Automatizálja a nem alkalmazottak bevonását
A szervezetek gyakran nagymértékben manuális folyamatokat alkalmaznak a nem alkalmazottak bevonására. E folyamatok automatizálásával a szervezetek pénzt takaríthatnak meg, és növelhetik ezen erőforrások értékének megállapításához szükséges időt.
2. Ismerje meg bennfenteseit
A Ponemon Institute már említett tanulmánya szerint a legtöbb szervezet nem ismeri a külső felhasználók pontos számát, és csak a szervezetek harmadának van listája azokról a harmadik felekről, akikkel bizalmas információkat oszt meg.
3. A hozzáféréssel rendelkezők ellenőrzése
A szervezeteknek rendszeres átfogó felhasználói auditokat kell végezniük annak biztosítása érdekében, hogy a nem alkalmazottak a legkevesebb jogosultságon alapuló hozzáférést kapjanak, vagyis az adott időpontban a megfelelő erőforrásokhoz tartozó megfelelő jogosultságokat. Az is fontos, hogy gyorsan eltávolítsa a hozzáférést, amikor már nincs rá szükség. Valakinek a felelősnek kell lennie az árva fiókok felkutatásáért és eltávolításáért.
4. Végezze el a kockázati besorolást és a jogosultságokat megfelelő módon állítsa be
Noha Ön gondosan megvizsgált egy szerződő céget, a cég minden alkalmazottja saját személyes kockázatokkal jár, és nem szabad automatikusan hozzáférést biztosítani számára. A kockázatminősítésnek folyamatos folyamatnak kell lennie, ahogy a kockázati tényezők, az egyéni jellemzők és a hozzáférési igények fejlődnek.
Ezen túlmenően a személyazonosság-ellenőrző képességek – szoftvermegoldások, amelyek segítségével a vállalatok bizonyítják, hogy az emberek azok, akiknek vallják magukat – tovább ellenőrizhetik és hitelesíthetik a vállalati adatokhoz hozzáférő egyéneket. Ez a funkció kulcsfontosságú eleme lehet egy vállalat kiberbiztonsági programjának, mert biztosíthatja, hogy a hacker ne használjon ellopott hitelesítő adatokat vállalati információk ellopására vagy más módon károkozásra.
A nem alkalmazottak megfelelő identitás-hozzáférési és kezelési eljárásai nélkül a szervezetek ki vannak téve a biztonsági réseknek. A megfelelő személyazonosság-ellenőrzési gyakorlatokkal és képességekkel a vállalkozások könnyen és költséghatékonyan ellenőrizhetik felhasználóik személyazonosságát, támogathatják a kockázatkezelési kezdeményezéseket, és jobban megvédhetik a kritikus eszközöket.
