I en webbsändning nyligen med Bitwarden, Bjoern Sjut, säkerhetsexpert och grundare av Finc3 Marketing Group, detaljerade 6 cybersäkerhetsriktlinjer som han rekommenderar när han arbetar med tredjepartsbyråer och frilansare. Vad som följer är en del av den webbsändningen.
Ohanterad användaråtkomst kan göra det svårt att förstå vem som har åtkomst till vad. Om ett företag bara har kontroll över intern åtkomst till anställda och inte åtkomst för frilansar, målar det inte upp hela bilden. Han fortsätter med att rekommendera att lägga till frilansare till din befintliga identitetshanteringslösning så att de har ett eget konto på ditt företags domän. Detta kan göra det möjligt för dig att implementera ytterligare säkerhetslager på dessa konton, till exempel kräver 2FA.
"Låt oss säga att du arbetar med en byrå och den byrån behöver Google Adwords-åtkomst, du skulle vilja kontrollera det genom de hanterade identiteterna. Vi vill inte [anta] att de håller sitt eget personliga konto säkert."
När en frilansare eller byrå väl har fått sitt eget konto på en identitetshanteringsplattform skulle nästa steg vara att kräva inloggning med det kontot. När Bjoern Sjut förklarade detta koncept använde han Asana, programvaran för uppgiftshantering, som exempel.
“ …ibland ger dessa verktyg [Asana] dig möjligheten att faktiskt tvinga fram inloggning via Google- eller Microsoft-konto. Det är verkligen användbart ur ett säkerhetsperspektiv eftersom vi då inte behöver förlita oss på att de andra parterna håller sina lösenord säkra.”
Detta steg tvingar externa byråer eller frilansare att endast få tillgång till företagsresurser via hanterade konton.
"Lösenordshanterare är superviktigt för oss", säger Sjut, "men vi försöker alltid undvika att dela lösenord." Han fortsätter att säga att han föredrar att skapa namngivna konton för frilansare där det är möjligt så att lösenord inte behöver delas mellan kollegor. Men när de delar lösenord, gör Finc3 Marketing Group det i Bitwardens lösenordshanterare och grupperar dessa lösenord i delade samlingar.
"Jag tror att en stor fördel med att [dela lösenord i Bitwarden] är att du också kan hålla reda på vem som har tillgång till vad. Det är mycket mycket svårare om du inte har en lösenordshanterare och någon säger "hej, kan du ge mig lösenordet för detta?" och sedan lämnar folk över det genom, i värsta fall, e-post, SMS eller WhatsApp och det är bara inte på något sätt dokumenterat. Så det är en väldigt hög prioritet för oss.”
En utmaning för att arbeta med frilansare är oförmågan att hantera de enheter som används för att komma åt företagets resurser. Med detta i åtanke rekommenderar Sjut att du använder en Bring Your Own Device (BYOD)-policy vid sidan av fjärrenhetshantering.
"Enheten måste uppfylla vissa standarder, till exempel enhetskryptering och vissa säkerhets- och upplåsningsstandarder och om vi inte helt kan hantera en enhet som ägs av frilansaren... vill vi se till att en enhet är helt kompatibel innan den kan komma åt resurser från företaget."
Finc3 hanterar dessa säkerhetspolicyer genom en enhetshanteringslösning från tredje part. Utöver enhetsspecifika säkerhetspolicyer rekommenderar Sjut att du använder en enhetshanteringslösning för att hantera specifika appar som laddas ner på enheten och som kan innehålla företagsdata.
"Om du bor i Office 365-världen kan du också behandla vissa appar, som PowerPoint, Word, OneDrive och SharePoint som företagsappar och hantera informationen på enheten. Du kan i princip radera företagsdata inuti dessa appar, även om du inte kontrollerar hela enheten.”
Om ditt företags frilansare och byråer använder mobila enheter för att komma åt företagsdata råder Sjut att kräva att de gör det genom en jobbprofil som Android for Work. En arbetsprofil hanteras av en organisations IT-avdelning och används för att separera jobbrelaterade appar och data på en mobil enhet från personliga appar och data. Enligt Sjut,
"...detta är superviktigt om du utvecklar mobilappar för ditt specifika arbete... Du behöver inte tvinga personer att sidladda dessa på enheten och aktivera utvecklarläget. Det tillåter oss att göra det genom en specifik appbutik och skicka den till användaren på ett säkert sätt så att de inte behöver kompromissa eller riskera enheten genom att låsa upp det utvecklarläget."
Att implementera exakta processer när en frilansare går med i eller lämnar ett företag är avgörande för stark cybersäkerhet. Även om många lösningar för lösenords-, enhets- och identitetshantering erbjuder automatisk kontotillgång och avadministration, är vissa processer fortfarande manuella.
När du går ut, "vill du granska med den anställde eller frilansaren vilka konton de hade tillgång till, antingen genom delade mappar, samlingar eller namngivna konton så att dessa kan tas bort." säger Sjut. Han rekommenderar också att anta en styrelse- eller kanban-lösning - till exempel Asana.
"Att ha onboarding och offboarding process management tillåter oss att ha åtminstone den här känslan av att ingenting faller mellan stolarna."
Vill du lära dig mer om att säkra ditt företags tredjepartsbyråer och frilansare? Se den 30 minuter långa webbsändningen och lär dig andra metoder för att minska säkerhetsrisker och hålla din känsliga information säker när du arbetar med tredje part.
Är du redo att höja din cybersäkerhet med Bitwarden? Registrera dig idag för ett gratis Bitwarden-konto, eller påbörja en 14-dagars gratis provperiod av våra affärsplaner för att skydda ditt team och företagskollegor online.

