Konser çalışanları kalmak için buradalar, ancak gizli bir siber güvenlik riski oluşturabilirler

Kasıtlı olsun ya da olmasın, konser çalışanları güvenlik ihlallerine neden olabilir. İşte şirketinizi güvenlik için nasıl kuracağınız.

TechRepublic'ten Karen Roby, Netskope Başkan Yardımcısı ve CSO'su James Christiansen ile konser iş gücüyle ilgili siber güvenlik endişeleri hakkında konuştu. Aşağıdaki, konuşmalarının düzenlenmiş bir dökümüdür.

Karen Roby: Konser iş gücü hakkında konuşuyoruz. Artık çok farklı bir şekilde çalışan çok fazla insan görüyoruz. Bununla ilgili sorun, siber güvenliğin büyük bir sorun haline gelmesidir. Biraz bunun ne kadar büyük bir sorun olduğundan bahsedelim çünkü, yani, yine, konser iş gücü katlanarak büyüyor.

GÖRMEK: BT gider geri ödeme politikası (TechRepublic Premium)

James Christiansen: Bu çılgınca, Karen. Aslında, bu konuyla gerçekten ilgilenmeme neden olan şey, bazı istatistiklere ilk baktığımda inanılmazdı. Yani katılımcıların %52'si pandemiden. İnsanlar işlerini kaybettikçe, iş gücüne gittiler. Baktığımda beni kesinlikle hayrete düşüren şey, ankete katılan ABD halkının %90'ından fazlası bir iş yapacaklarını söyledi.

Şey, bunun gerçekten iki parçası var. Diyelim ki, Lyft için çalışan Uber çalışanlarınız var, aynı zamanda doğrudan rakipler var, bu bir şey. Ama teknoloji dünyasına girdiğinizde ve sahip olduğunuzda, belki çalışanınız bir iş yapıyor, farkında olmadan bir rakibe gidecek. Bu istatistikler sadece %90'ı gördüğümde şok edici, bu, birlikte çalıştığım birinin, istatistiklere göre, bir yandan iş yapıyor olduğu anlamına geliyor. Her zaman yan işlerimiz oldu, ancak verilerin bu kadar yaygın olduğu ve endüstriyel casusluğa, hassas verilere sızdırılabileceği hiçbir yerde olmadı.

Sanırım, muhtemelen insan türünün bazı örneklerini gözden geçireceğiz. Ama bu istatistik, %90, bu alanda 3 kat büyüme, %300 büyüme. Yani dediğin gibi patlıyor. Millennials'ın yarısı konser işleri kullanıyor, evet.

Karen Roby: Evet, gerçekten düşündüğün zaman önemli rakamlar var, James. Yine bağlantı ve güvenlik açısından ortaya çıkabilecek sorunlar ve demek istediğim, insanlar savunmasızdır, dolayısıyla şirketleri savunmasızdır.

James Christiansen: Kesinlikle, evet. Sorun bu tabii. Uzun süredir müteahhitlerle uğraşıyoruz. Müteahhitleri işe aldık. Hatta bir müteahhitlik şirketinde çalışıyordum. Ama o şirket, tam zamanlı bir çalışanıydım ve arka plan kontrollerim olduğundan emin oldular, çalıştığım güvenli bir dizüstü bilgisayarım vardı. Asla rakip bir alanda çalışmadığımdan emin olacaklardı. Bunlar serbest çalışanlar. Konser ekonomisi serbest çalışanlarla ilgilidir. Bu serbest çalışanlar bir işten diğerine geçerken, bu veriler yanlışlıkla …

Demek istediğim, içeriden gelen tehdide baktığınızda, çünkü bahsettiğimiz şey bu yeni içeriden gelen tehdit. Aslında, 25 yılı aşkın süredir karşılaşacağım en zor şey olurdu çünkü izleme yönü nedeniyle normal içeriden daha zor. Onları nasıl tespit ederim? Çok farklı rollerde olabilirler. Yani, bir uygulama geliştiriciniz olabilir. Bir geliştiricinin konser çalışması yaptığı gerçek bir canlı vaka örneğim var. Aslında komik bir vakaydı. Ama bunlar piyasa analizi olabilir, sizin için fiyat analizi yapmak için geliyorlar.

GÖRMEK: Uzaktan çalışma ile çocukların eğitimi arasında denge kurmak devasa bir iştir. İşte işverenlerin nasıl yardımcı olabileceği (ücretsiz PDF) (TechRepublic)

Pekala, onlara tüm hassas verilerinizi verirseniz, onlara en çok satan erkek isimlerinizi verebilirsiniz. Onlara analizlerini yapmak için ne kadar komisyon kazandıklarını verebilirsiniz. Peki, o veriler, o zaman onunla işleri bittiğinde, silinip silinmediğini nereden biliyorsun? Yanlışlıkla olabileceklerini nereden biliyorsun… Dediğim gibi, içeriden kötü niyetli kişiler var, ama sonra kötü niyetli olmayanlar, yanlışlıkla verileri ifşa eden bir şey yapıyorlar. Aslında, bu muhtemelen kötü niyetli içeriden daha yaygındır.

Ama bütün bu farklı güç çalışanları var. Bir dizi soruşturma, siber güvenlik, yasal soruşturma yaptım ve verileri parçalamak için harici hukuk danışmanı getireceğiz. Bu, konser bittikten sonra gerçekten sızdırılabilecek çok hassas veriler. İşte bu yüzden bu kadar şok edici ve bu yüzden kesinlikle bunun hakkında daha fazla konuşmamız gerekiyor. Hatta küresel ağıma döndüm ve dedim ki, hey, bu konuda ne düşünüyorsun? Elimizdeki bu riskleri azaltmanın en iyi yolları nelerdir?

Karen Roby: Bu beni bir sonraki bariz soruma götürüyor. Sorunun ne olduğunu biliyoruz. yaygın olduğunu biliyoruz. Biz bu konuda ne yapacağız?

James Christiansen: Şey, gerçekten, ilk olarak, sanırım, konser çalışanı nitelikleri nelerdir? Burada genellikle kısa vadeli olacaklar, genellikle uzun vadeli sözleşmeler değiller. Aslında, yapacağımız normal şeylerden bazıları arka plan kontrolleridir. Ne yaptığınızı düşünmeye başladığınızda, birinin geçmişini nasıl kontrol edersiniz? Geçmiş kontrolünün yapılması iki hafta sürer ve burada sadece iki hafta kalacaklar.

James Christiansen: Gerçekten, önce şirketinizin kültürünü anlamakla başlar. Başarılı bir güvenlik şefi olarak her zaman kesinlikle gerekli olan şeylerden biri de kültürü anlamaktır. Bu durumda, bence işe kilit yöneticileri eğitmekle başlamalıyız. Konser işçisi nedir? Neden yaptıkları bu tehdidi oluşturuyorlar? Ne tür tehditler? Ve sonra bu şeyleri nasıl hafifleteceğimiz hakkında konuşabiliriz. İlk önerim, şirketinizde, hey, konser işçileri işe alıyor muyuz, almıyor muyuz? Daha geleneksel müteahhitlerle kalmak istiyor muyuz, istemiyor muyuz?

GÖRMEK: Sanal etkinlikler yorucu olmak zorunda değil: Okta yeni bir yol buldu (Teknik Cumhuriyeti)

Şimdi, herkese tavsiyem buna yaslanın. Kesinlikle ekonomimizin bir parçası olacak. Savaşmaya çalışırsan, bulutla savaşmaya çalışmak gibi olur. Ama eğer buna eğilirseniz, "Pekala, doğru şeyleri yerleştirelim. İş işçilerini nerede ve ne zaman kullandığımız hakkında konuşalım" diyebilirsiniz. Böylece, işe alım yöneticilerinizi, onları kullanmanın uygun olduğu durumlarda eğitebilirsiniz. İdari kontrollerden bahsettik. Bu yüzden bahsedeceğim üç farklı kontrol türü var.

İlk olarak, idari ayarlar. Uygun olduğunda ve uygun olmadığında serbest çalışan türü yardımı nasıl kullanacağınız konusunda kuruluşunuza rehberlik etmek. İşte bunları kullanacaksanız, yapmanız gerekenler, yani ilk politika seti. Ardından, satıcı yönetimi politikalarınız hakkında konuşun. Yine de, tüm yükümlülükleri içeren bir sözleşme yaptıklarından emin olmanız gerekir. İşte çoğu endüstri sektörü için yasaların gerektirdiği bir şey, ihlal bildirimidir. Bu nedenle, bir konser çalışanı tesadüfen verilerinizi ihlal ederse, sizi bilgilendirmek zorunda olduklarından emin olmak istersiniz çünkü bu kesinlikle gereklidir, böylece bildirim incelemesi yapabilirsiniz.

Ancak sözleşme bazında buna sahip değilseniz, elbette, giderek artan bir tehdit haline gelir. Kendinizi düzenli reaksiyonun yanlış zamanında bulabilirsiniz. Sonra yeni işe alım eğitimi hakkında konuşacağız. Bu yeni işe aldığınızdan emin olun … iş işçisini alıyorlar. Belki gerçekten sıska bir versiyon ama onlar aslında sizin uygulamalarınız ve politikalarınız konusunda eğitimli. Çalışanlarımızla yaptığımız bu farkındalık eğitimleri hala çok önemli.

Şimdi, makinenizi kullanmalarını bile isteyebilirsiniz. Şimdi, bu bir müteahhit için tipiktir ve müteahhit ile serbest çalışan arasında ayrım yapıyoruz. Bunlar genellikle o kadar kısa sürelidir ki kendi makinelerini kullanırlar. Oraya koyabildiğinizden emin olun, bu politikalara, bu şeylere sahip olmalısınız. Oraya koyabileceğiniz otomasyon var. Ağınıza giriş yaptıklarında, gerçekten virüs kontrol şifrelemesi olup olmadığını görmek için makinelerini kontrol edebilirsiniz, bunlardan bazıları. Yani bu daha çok teknik kontrol katmanı.

GÖRMEK: 2020 üniversite mezunlarının neredeyse yarısı hala iş bulamadı (Teknik Cumhuriyeti)

Şimdi, buradaki asıl anahtar şey bunun için izlemek. Bir konser sözleşmesiyle meşgul olduklarını nasıl bilebiliriz? Çünkü beni gerçekten rahatsız eden en önemli şeylerden biri çoğu zaman bunu düşünmek, biz de şunu düşünüyoruz, Tamam, biraz pazarlama çalışması ya da programlama yapması için birini işe aldım. Bu, işin bir ucu. Diğer kenar ise en ürkütücü olan, bir iş görevi yapan iş arkadaşlarınızdan biri olabilir. Şimdi muhtemelen şirketlere zarar vermek niyetinde değiller, tam zamanlı çalışanlar. Ama sonra tekrar, verileri kötü niyetli bir şekilde bağlamayabilirler. Dolayısıyla bu kontrolleri devreye sokmak ve denetlemek zorundayız.

Şimdi, izleme en zor kısım çünkü eğer bizim sistemimizi, bizim makinemizi kullansaydınız, giriş yaptığınız zamankiyle aynıydı, kesinlikle algılayabilirdim. Ancak büyük olasılıkla, konser kullanıcısı, konser üzerinde çalışırken özel bir makine kullanacak, bu nedenle izleme parçalarına sahip değilim. Bu yüzden en iyi kontrol kullanıcı davranışı olacaktır. İzleyeceğiniz şey ve bir örnek, normal bir çalışanın oturum açması, çok fazla yoğun çalışma yapması ve ardından belki saatler sonra oturumu kapatmasıdır. Birinin giriş yaptığını görmeye başlarsanız, birkaç şeyi kontrol edin ve ardından tekrar çıkış yapın, daha büyük olasılıkla, yazdıkları rutine bakmaya veya kullanacakları makinelerine bir şeyler indirmeye geldiler.

Bir uygulama kodu Ar-Ge'si için bir ayrıştırma yardımcı programı oluşturmak için 100.000 ABD Doları harcayabilirsiniz. Yeni konserde bu ayrıştırmaya ihtiyaçları var, sence onu yeniden yazacaklar mı? Hayır, diyecekler ki, "Pekala, bunu zaten yaptım. Alet çantamda, bırak onu getireyim, uyarlayayım." Demek bu işler böyle yürüyor. Kullanıcı davranışı analitiğini düşündüğünüzde, normal bir çalışanın davranışındaki farklılıkları ve bu kişinin bir konser çalışanı olup olmadığını görmeye başlayabileceğiniz tek yer orasıdır. Elbette, erişim kurallarını elinizden geldiğince kısıtlamanız gerekecek. Yalnızca yapmak istedikleri ve kullanacakları verilere erişimleri vardır.

Şimdi, yine ne tür bir sektörde olduğunuza bağlı olarak, bazı idari kontroller, teknik kontroller, dedektif kontrolleri hakkında konuştuk, bu yüzden şimdi başka ne gibi şeyler hakkında düşüneceğiz. yapabileceğim şeyler? Sanal masaüstü denen bir şey var, VDI. VDI uzun zamandır etrafta. Yaptığı şey, aslında tüm masaüstünüzü sanallaştırmaktır, böylece aslında hiçbir şey indirilmez. Güvenlik konusunda gerçekten katı oldukları bankacılık sektöründe sıklıkla kullanıldığını göreceksiniz. Şimdi, bunu bir serbest çalışan üzerinde kendinizi korumak için uygulayabilirsiniz, ancak sorun şu ki, çok kısıtlayıcı. Genellikle çok iyi bir arayüz değildir. Geçmişteki birkaç rolümde bunu uygulamaya çalışsam da pek iyi gitmedi.

GÖRMEK: Şirketiniz için en iyi serbest çalışanları işe aldığınızdan emin olmanın 9 yolu (Teknik Cumhuriyeti)

Yapabileceğiniz diğer özellik, en azından tarayıcıda bulunan ve onu izole eden şeyleri aldığı uzak tarayıcı izolasyonunu çağırmaktır. Bu, VDI kadar kısıtlayıcı olmadığı başka bir kontroldür, ancak kesinlikle uzak tarayıcı izolasyonu başka bir seçenektir. Belki de uygulayabileceğiniz en iyi kontrollerden biri dijital haklar yönetimidir. Bu aslında doğrudan eklemenize izin veriyor, diyelim ki bir PowerPoint'iniz, bir Word'ünüz veya bir Excel elektronik tablonuz var, aslında hak yönetimini doğrudan bunun üzerine koyabilirsiniz, böylece açabilsinler, ancak denerlerse herhangi bir yerde paylaşmak için veya serbest kalırsa, asıl güvenlik belgenin kendisiyle birlikte aktığı için aslında açılamaz.

Yine, tek sorun kullanılan vakalardır. Daha önce yazdıkları ve kullandıkları kodu sızdıran bir uygulama programcısı olduğu örneğime geri dönerseniz, bu tür bir durumda pek iyi çalışmaz.

Karen Roby: James, düşünülecek çok şey var. Bazı harika tavsiyeler. Bence söylediğin ilginç şey, ki bu gerçekten harika, sadece buna yaslanmak çünkü biz normale dönmeye başladığımıza göre bu tür işgücü öylece ortadan kalkmıyor. Demek istediğim, işler değişiyor ve iş gücümüz çok hızlı değişiyor. Bugün burada benimle olduğun için gerçekten minnettarım James.

James Christiansen: Bu, hakkında konuşmamız gereken bir şey çünkü bu, gerçekten açığa çıkarmadığımız o gizli tehdit, gerçekten doğru kontrolleri devreye sokmadık. Yönetici ekiplerle konuşmak bile zor, hey, çalışanlarınız olabilir, güvendiğiniz insanlar yanlışlıkla şirkete zarar verebilecek bir şey yapabilir. Kültürel bir değişimdir. Demek istediğim, diğer önemli şey şu ki, bir kültür değişiminden bahsediyoruz. İş gücüne girdiğimde, çalıştığın şirkete çok bağlıydın. General Motors'da insanlar orada çalışacaktı, tek iş, 30 yıl.

Karen Roby: Tüm hayat, evet.

James Christiansen: Şimdi, 18 aydır… iş sadakate geldiğinde bir çalışan ilişkisi ile bir müteahhit ilişkisi arasında hiçbir fark yoktur, bu yüzden artık buna güvenemeyiz. Yani, benimsememiz gereken kültürel bir değişim. Dediğin gibi, ben de dediğim gibi, bu gitmeyecek, ona yaslanın, kucaklayın, anlayın ve sonra doğru şeyleri yerine koyalım.

Ayrıca bkz.

<a href="https://www.techrepublic.com/a/hub/i/r/2021/06/09/8c0b5ee6-540a-4953-8396-367a3607dba4/resize/770x/2033ab6cd424cc83248e0329c33c1033/20210604-gigworkforce-karen .jpg" target="_blank" data-component="modalEnlargeImage" data-headline="

TechRepublic'ten Karen Roby, Netskope Başkan Yardımcısı ve CSO'su James Christiansen ile konser iş gücüyle ilgili siber güvenlik endişeleri hakkında konuştu.

" data-credit="Resim: Mackenzie Burke">20210604-gigworkforce-karen.jpg" data-original="https://www.techrepublic.com/a/hub/i/r/2021/06/09/8c0b5ee6-540a-4953-8396-367a3607dba4/resize/770x /2033ab6cd424cc83248e0329c33c1033/20210604-gigworkforce-karen.jpg

TechRepublic'ten Karen Roby, Netskope Başkan Yardımcısı ve CSO'su James Christiansen ile konser iş gücüyle ilgili siber güvenlik endişeleri hakkında konuştu.

Resim: Mackenzie Burke

Source link

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*