Cybersicherheit: Warum HR zum Verteidigungsschild wird

Eines der größten Risiken beim Einsatz von externen Kräften ist der unbefugte Zugriff auf sensible Daten. Wie können HR und IT zusammenarbeiten, um die Sicherheitsinfrastruktur zu verbessern? Steve Bradford, Senior Vice President EMEA bei SailPoint, über Cybersicherheit im Unternehmen.

Moderne Unternehmen bestehen heute fast zur Hälfte aus Identitäten externer Mitarbeitender. Ganz gleich, ob es sich dabei um Auftragnehmende oder Zeitarbeitende handelt, überall haben Unternehmen zahlreiche unterschiedliche Identitäten, die in ihren Netzwerken ein- und ausgehen. Diese personelle Entwicklung hat sich für Unternehmen als strategischer Vorteil erwiesen, denn sie bietet ihnen die Flexibilität, sich an die sich schnell ändernden Marktbedingungen anzupassen und bei Bedarf auf spezialisierte Kompetenzen zurückzugreifen.

Aber die wachsende Abhängigkeit von Dritten führt gleichzeitig zu neuen Sicherheitsherausforderungen und -risiken. Unternehmen müssen sich intensiver mit dem Thema Identity Security befassen, um zu verhindern, dass unerwünschte Parteien in ihre Systeme eindringen und dort auf sensible Daten zugreifen können. Genau dieser Prozess beginnt in der Personalabteilung, die in enger Zusammenarbeit mit der IT-Abteilung sicherstellen muss, dass die zugriffsberechtigten Personen auch die sind, die sie vorgeben zu sein.

Doch obwohl die Personalabteilung für den Zugriffsprozess von entscheidender Bedeutung ist, haben drei Viertel (75 Prozent) der deutschen Unternehmen die Personalabteilung noch nicht in ihre Identitätssicherheitsstrategie integriert und lassen damit einen wichtigen Aspekt für die Sicherheit ihres Unternehmens außer Acht.

- Anzeige -

Wie lässt sich die Personalabteilung in die Sicherheitslandschaft integrieren?

Personalabteilungen sind für den gesamten Lebenszyklus der Mitarbeiter zuständig und wissen genau, wer eingestellt wird und wer das Unternehmen verlässt. Sie sind auch für die Verwaltung der Mitarbeiterdaten zuständig und können so sicherstellen, dass Mitarbeitende nur Zugang zu den Dokumenten und Systemen haben, die sie für ihre Arbeit benötigen. Dies ist relativ einfach, solange es sich um interne und bestehende Kräfte handelt, wird aber wesentlich schwieriger, wenn es sich um externe Mitarbeitende handelt.

Viele Freischaffende, Auftragnehmende oder Zeitarbeitskräfte werden kurzfristig eingestellt, um Ressourcenengpässe zu überbrücken und stark nachgefragte Kompetenzen zu nutzen. Da die meisten nicht fest Angestellten nur für kurze Zeit für ein Unternehmen tätig sind, werden ihre Daten nicht immer in den HR-Systemen des Unternehmens erfasst oder in der Datenbank des Unternehmens gespeichert. Ihre Integration in die HR-Systeme kann aufgrund von Compliance- und Sicherheitsfragen eine große Herausforderung darstellen.

Eine vorschnelle Vergabe von Zugriffsrechten kann Cyber-Angreifern den Zugriff auf vertrauliche Informationen ermöglichen. Um das komplizierte Netz der Zugriffsverwaltung zu durchdringen, muss die Personalabteilung in den Prozess eingebunden und auf mögliche Risiken aufmerksam gemacht werden, die von externen Identitäten ausgehen können, wenn diese nicht angemessen überwacht werden. Stichwort Identitätssicherheit.

Wie HR und IT zusammenarbeiten können, um die Cybersicherheit zu verbessern

Eines der Hauptrisiken beim Einsatz von Nicht-Angestellten ist der mögliche unbefugte Zugriff auf sensible Daten und Systeme. Je mehr Personen Zugang zu Unternehmensressourcen erhalten, desto größer ist die Wahrscheinlichkeit, dass Zugangsdaten kompromittiert werden und damit potenzielle Einfallstore für Cyberkriminelle entstehen, die versuchen, Schwachstellen in der Sicherheitsinfrastruktur eines Unternehmens auszunutzen. Um diesen Herausforderungen besser begegnen zu können, müssen Personalabteilung und IT-Abteilung zusammenarbeiten, um einen besseren Überblick über die Identitäten in ihrem System zu erhalten und den Zugang je nach Bedarf zu gewähren oder zu beschränken.

Mehr als 30 Prozent der Identitäten eines Unternehmens sind nicht angemessen durch Identitätslösungen abgedeckt, wobei insbesondere Identitäten von Drittanbietern Lücken aufweisen. Bei der Priorisierung der Identitätssicherheit benötigen HR-Teams klare Prozesse und Kommunikation mit der IT-Abteilung, um sich gegenseitig über die Identitäten von externen Mitarbeitenden im Unternehmen zu informieren.

Auf diese Weise kann die IT-Abteilung strengere Zugriffskontrollen einführen, um das Risiko eines unbefugten Zugriffs zu verringern, indem sie Vertragsarbeitnehmern nur die Zugriffsrechte gewährt, die sie kennen müssen. Mit anderen Worten: Es wird nur der Zugriff auf die benötigten Anwendungen und Daten zum richtigen Zeitpunkt gewährt – nicht mehr und nicht weniger.

Darüber hinaus sollten Personal- und IT-Abteilungen über automatisierte Prozesse verfügen, um Zugriffsberechtigungen regelmäßig zu überwachen und zu überprüfen und gleichzeitig eine gründliche Due Diligence durchzuführen. Durch zusätzliche Hintergrundüberprüfungen, Sicherheitsüberprüfungen oder Zertifizierungen als Teil des Due-Diligence-Prozesses können sich Unternehmen besser vor Sicherheitsverletzungen schützen.

Stärkung des Verteidigungsarsenals von Unternehmen mit KI/ML

In den nächsten drei bis fünf Jahren werden Unternehmen 13 Prozent mehr Identitäten verwalten müssen, unabhängig davon, ob es sich um Mitarbeitende, Dritte oder Auftragnehmende handelt. Dies bedeutet, dass manuelle Methoden des Identitätsmanagements allein nicht ausreichen werden.

Um diese Flut von Identitäten zu bewältigen, benötigen Unternehmen intelligentere Möglichkeiten des Identitätsmanagements, wie beispielsweise den Einsatz einer Identitätssicherheitslösung mit KI und maschinellem Lernen (ML) zur erweiterten Bedrohungserkennung. Mit KI- und ML-Funktionen als Kern einer Identitätssicherheitslösung können Unternehmen große Datenmengen analysieren, um Muster zu erkennen, die auf potenzielle Bedrohungen hinweisen. Solche Lösungen ermöglichen die intelligente Automatisierung von Zugriffsberechtigungen, um sicherzustellen, dass Leiharbeitnehmer nur auf die Ressourcen zugreifen können, die sie für ihre aktuellen Aufgaben benötigen.

Diese Technologie kann auch HR-Teams unterstützen, indem sie den manuellen Arbeitsaufwand reduziert, der erforderlich ist, um Zugriffsrechte sofort zu entziehen, wenn sie nicht mehr benötigt werden, zum Beispiel wenn ein Vertrag ausläuft oder sich die Rolle eines Mitarbeitenden ändert. Auf diese Weise können Unternehmen schneller und effizienter auf aufkommende Risiken reagieren und Datenschutzverletzungen und andere Sicherheitsvorfälle verhindern.

Unternehmen, die gut auf die Bedrohungen vorbereitet sind, die mit dem Wandel der Belegschaften einhergehen, werden in der Lage sein, eine in jeder Hinsicht zukunftssichere Organisation aufzubauen – mit den richtigen personellen und nicht personellen Ressourcen für neue Herausforderungen und mit ausreichenden Sicherheitsvorkehrungen, um ihren Erfolg zu sichern.

Lesen Sie auch die folgenden Beiträge:

• Durch People Analytics und Org Design die Leistung Ihrer Teams fördern
• Arbeiten von überall: Sicherheit ist ein zentrales Thema
• Die Rolle von HR beim Schutz von Geschäftsgeheimnissen

Steve Bradford

Steve Bradford ist Senior Vice President bei SailPoint in der EMEA-Region, wo er für das stetige Wachstum des EMEA-Geschäfts des Unternehmens verantwortlich ist. Er bringt über 30 Jahre Erfahrung in der IT-Branche mit, davon mehr als 20 Jahre im Vertrieb von Unternehmenssoftware und SaaS-Lösungen.

This author does not have any more posts.