التعليق
قد يبدو التخفيف من مخاطر الطرف الثالث أمرًا شاقًا عند النظر في عدد كبير من اللوائح التنظيمية القادمة إلى جانب التكتيكات المتقدمة بشكل متزايد لمجرمي الإنترنت. ومع ذلك، فإن معظم المنظمات تتمتع بقدر أكبر من القدرة والمرونة مما تعتقد. يمكن بناء إدارة مخاطر الطرف الثالث على أعلى ممارسات إدارة المخاطر الحالية وضوابط الأمان التي يتم تنفيذها حاليًا في الشركة. الأمر المطمئن بشأن هذا النموذج هو أنه يعني أن المؤسسات لا يتعين عليها إلغاء الحماية الحالية بالكامل للتخفيف من مخاطر الطرف الثالث بنجاح - وهذا يشجع ثقافة التحسين التدريجي والمستمر.
تمثل مخاطر الطرف الثالث تحديًا فريدًا للمؤسسات. على السطح، يمكن لطرف ثالث أن يبدو جديرًا بالثقة. ولكن بدون الشفافية الكاملة في الأعمال الداخلية لمورد الطرف الثالث، كيف يمكن للمؤسسة التأكد من أن البيانات الموكلة إليها آمنة؟
في كثير من الأحيان، تقلل المؤسسات من أهمية هذا السؤال الملح، وذلك بسبب العلاقات الطويلة التي تربطها بموردي الطرف الثالث. نظرًا لأنهم عملوا مع بائع خارجي لمدة 15 عامًا، فلن يجدوا أي سبب لتعريض علاقتهم للخطر من خلال طلب "النظر تحت الغطاء". ومع ذلك، فإن هذا الخط من التفكير خطير - فالحادث السيبراني يمكن أن يقع في وقت أو مكان غير متوقع.
مشهد متغير
عندما يحدث خرق للبيانات، لا يمكن تغريم المنظمة ككيان فحسب، بل قد يتم إصدار عواقب شخصية أيضًا. العام الماضي، شددت مؤسسة تأمين الودائع الفيدرالية (FDIC) إرشاداتها بشأن مخاطر الطرف الثالث، مما يمهد الطريق للصناعات الأخرى لتحذو حذوها. ومع ظهور تقنيات جديدة مثل الذكاء الاصطناعي، فإن نتائج سوء إدارة البيانات من قبل طرف ثالث يمكن أن تكون وخيمة. وستعكس اللوائح التنظيمية القادمة هذه العواقب الخطيرة من خلال إصدار عقوبات قاسية على أولئك الذين لم يطوروا ضوابط قوية.
إلى جانب اللوائح الجديدة، فإن ظهور بائعي الطرف الرابع وحتى الخامس يجب أن يحفز المؤسسات على تأمين بياناتها الخارجية. لم تعد البرامج ممارسة داخلية بسيطة كما كانت قبل 10 سنوات - اليوم، تمر البيانات عبر العديد من الأيدي، ومع كل رابط يضاف إلى سلسلة البيانات، تزداد التهديدات الأمنية بينما تصبح المراقبة أكثر صعوبة. على سبيل المثال، لن يكون بذل العناية الواجبة المناسبة مع بائع طرف ثالث ذا فائدة كبيرة إذا كان الطرف الثالث الذي تم فحصه يستعين بمصادر خارجية لبيانات العميل الخاصة إلى طرف رابع مهمل ولم تكن المنظمة على علم بذلك.
خمس خطوات بسيطة خارج الصندوق
مع خارطة الطريق الصحيحة، والمنظمات يمكنها بنجاح تخفيف مخاطر الطرف الثالث. والأفضل من ذلك أن الاستثمارات التقنية المكلفة والمدمرة ليست ضرورية دائمًا. في البداية، ما تحتاجه المؤسسات عند إجراء العناية الواجبة هو خطة معقولة، وموظفين قادرين على الاستعداد للمشاركة، وتواصل مكثف بين فرق تكنولوجيا المعلومات والأمن والأعمال.
الخطوة الأولى هي فهم طبيعة البائع بشكل كامل. في حين أن هذا قد يبدو واضحا، فإن العديد من المنظمات، وخاصة الشركات الكبيرة التي لديها ميزانيات للاستعانة بمصادر خارجية، تهمل هذه الخطوة الحاسمة. في حين أن إنشاء علاقة مع بائع خارجي على عجل قد يوفر المال على المدى القصير، إلا أنه سيتم مسح كل هذه المدخرات في حالة حدوث خرق للبيانات وتواجه المؤسسة غرامات باهظة.
بعد البحث في مشهد البائع، يجب على المؤسسات تحديد أدوار الجهات الخارجية "الحاسمة" - قد تكون هذه الأدوار حاسمة من الناحية التشغيلية أو معالجة البيانات الحساسة. واستنادًا إلى درجة الأهمية، يجب تجميع البائعين حسب المستويات، مما يسمح بالمرونة في كيفية تقييم المؤسسة ومراجعتها وإدارة البائع.
يمكن أن يؤدي فرز البائعين حسب مدى أهميتهم إلى إلقاء الضوء على الاعتماد المفرط الذي قد تكون لدى المؤسسات على البائعين الخارجيين. ويجب على هذه المنظمات أن تسأل نفسها: إذا توقفت هذه العلاقة فجأة، فهل لدينا خطة بديلة؟ كيف يمكننا استبدال هذه الوظيفة مع مواصلة العمليات اليومية بسلاسة؟
الخطوة الثالثة هي وضع خطة للحوكمة. يجب أن يكون هناك تآزر بين الأذرع الثلاثة الرئيسية للمؤسسة لأداء العناية الواجبة وإدارة المخاطر بشكل فعال - يسلط فريق الأمان الضوء على الثغرات الموجودة في برنامج الأمان الخاص بالمورد، ويحدد الفريق القانوني المخاطر القانونية، ويتنبأ فريق العمل بالتسلسل السلبي التأثير على العمليات في حالة تعرض البيانات أو العمليات للخطر. إن مفتاح إنشاء حوكمة قوية هو تصميم الخطة لتناسب الاحتياجات الفريدة للمنظمة. وهذا ينطبق بشكل خاص على المنظمات في الصناعات الأقل تنظيمًا.
تتضمن خطوة الحوكمة صياغة الالتزامات التعاقدية. على سبيل المثال، في كثير من الأحيان في الحوسبة السحابية، يندفع قادة الأعمال عن طريق الخطأ إلى توقيع عقد دون أن يفهموا أن بعض التدابير الأمنية قد تكون أو لا تكون مدرجة في الحزمة الأساسية. غالبًا ما تعتمد الالتزامات التعاقدية على الصناعة، ولكن يجب أيضًا تطوير شرط أمني موحد. على سبيل المثال، إذا كنا نقوم بتقييم شركة توصيل، فقد يكون هناك تركيز أقل على عملية دورة حياة تطوير برامج البائع (SDLC) والمزيد حول مقاييس المرونة الخاصة بهم. ومع ذلك، إذا كنا نقوم بتقييم شركة برمجيات، فسنرغب في التركيز على عمليات SDLC الخاصة بالمورد، مثل كيفية مراجعة التعليمات البرمجية وما تبدو عليه الضمانات التي يجب دفعها إلى الإنتاج.
وأخيرا، تحتاج المنظمات إلى تطوير استراتيجية الخروج. كيف يمكن للمؤسسة أن تنفصل بشكل واضح عن الطرف الثالث مع ضمان تنقية بيانات عملائها؟ كانت هناك حالات قطعت فيها الشركة علاقاتها مع أحد البائعين فقط لتلقي مكالمة بعد سنوات لإبلاغهم بأن شريكهم السابق تعرض لاختراق البيانات وأن بيانات عملائهم قد تم الكشف عنها - على الرغم من افتراض أنه تم مسح هذه البيانات. معنوي القصة: لا تفترض. إلى جانب الاختراق العرضي للبيانات، هناك أيضًا احتمال أن يستخدم بائعو الطرف الثالث بيانات الشريك السابق للتطوير الداخلي، مثل استخدام تلك البيانات لبناء نماذج التعلم الآلي. يجب على المنظمات منع ذلك من خلال الإشارة بعبارات واضحة ومحددة وملزمة قانونًا إلى كيفية قيام البائعين بمسح البيانات في حالة انتهاء الشراكة، وما هي العواقب التي ستترتب إذا لم يفعلوا ذلك.
خلق ثقافة المسؤولية المشتركة والتحسين المستمر
إن اتباع نهج جماعي لأداء العناية الواجبة يعني أن كبير مسؤولي أمن المعلومات (CISO) لا يتعين عليه تحمل مسؤولية إزالة المخاطر عن بائع طرف ثالث بشكل كامل. ال اتهامات هيئة الأوراق المالية والبورصة ضد SolarWinds يشكل سابقة مثيرة للقلق - يمكن أن يتحمل كبير مسؤولي أمن المعلومات المسؤولية، حتى لو كانت المشكلة ناجمة عن خلل وظيفي على مستوى المؤسسة. إذا قامت فرق تكنولوجيا المعلومات والأعمال بدعم كبير مسؤولي أمن المعلومات (CISO) في فحص البائعين الخارجيين، فإن ذلك يمهد الطريق للتعاون المستقبلي بين الفرق، ويعزز اقتناء المؤسسة، ويحقق نتائج أفضل عندما يتعلق الأمر بالأمان.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach
- :يكون
- :ليس
- :أين
- 10
- 15 سنة
- 15%
- 7
- a
- من نحن
- من غير قصد
- وأضاف
- متقدم
- ضد
- وكالة
- منذ
- الكل
- يسمح
- أيضا
- دائما
- an
- و
- تظهر
- ذو صلة
- نهج
- هي
- أسلحة
- مصطنع
- الذكاء الاصطناعي
- AS
- تطلب
- يسأل
- يقيم
- افترض
- افتراض
- At
- دعم
- على أساس
- خط الأساس
- BE
- لان
- يصبح
- كان
- يجري
- تستفيد
- بالإضافة إلى
- أفضل
- ما بين
- ربط
- يعزز
- خرق
- الميزانيات
- نساعدك في بناء
- بنيت
- الأعمال
- قادة الاعمال التجارية
- لكن
- يشترى
- by
- دعوة
- CAN
- قادر على
- الحالات
- تتوقف
- معين
- سلسلة
- تحدى
- متغير
- اسعارنا محددة من قبل وزارة العمل
- رئيس
- CISO
- واضح
- زبون
- سحابة
- الحوسبة السحابية
- الكود
- التعاون
- متعاون
- يأتي
- Communication
- الشركات
- حول الشركة
- إكمال
- حل وسط
- تسوية
- الحوسبة
- حول
- النتائج
- النظر
- استمرار
- متواصل
- عقد
- تعاقدي
- ضوابط
- مكلفة
- إلى جانب
- خلق
- خلق
- حرج
- حرجية
- حاسم
- ثقافة
- حاليا
- الانترنت
- مجرمو الإنترنت
- خطير
- البيانات
- البيانات الاختراق
- يوما بعد يوم أو من يوم إلى آخر
- التوصيل
- تابع
- على الرغم من
- حدد
- يحدد
- تطوير
- المتقدمة
- التطوير التجاري
- صعبة
- الاجتهاد
- ماسة
- التخريبية
- do
- هل
- لا توجد الآن
- فعل
- دون
- اثنان
- كل
- تأثير
- على نحو فعال
- ظهور
- يشجع
- إنهاء
- ضمان
- ضمان
- كيان
- مؤتمن
- خاصة
- تأسيس
- تقييم
- حتى
- الحدث/الفعالية
- مثال
- القائمة
- خروج
- استراتيجية الخروج
- متوقع
- مكشوف
- خارجي
- وجوه
- فال
- مؤسسة تأمين الودائع الفيدرالية
- تغريم
- غرامة
- الاسم الأول
- خمسة
- مرونة
- تركز
- اتباع
- في حالة
- سابق
- رابع
- تبدأ من
- تماما
- وظيفة
- مستقبل
- الحكم
- تدريجي
- المبادئ التوجيهية
- العناية باليد
- يملك
- ملاذ
- ضخم
- تزايد
- ثقوب
- غطاء محرك السيارة
- كيفية
- لكن
- HTTPS
- if
- نفذت
- تحسين
- in
- تحفيز
- حادث
- شامل
- الوارد
- يدمج
- القيمة الاسمية
- على نحو متزايد
- الصناعات
- العالمية
- معلومات
- امن المعلومات
- داخلي
- مثل
- رؤيتنا
- داخلي
- إلى
- الاستثمارات
- يسن
- نشر
- إصدار
- IT
- انها
- يعرض للخطر
- JPG
- القفل
- المشهد
- كبير
- اسم العائلة
- العام الماضي
- الى وقت لاحق
- قادة
- تعلم
- الأقل
- شروط وأحكام
- الفريق القانوني
- قانونيا
- أقل
- دورة حياة
- ضوء
- مثل
- خط
- LINK
- القليل
- ll
- متواجد منذ حين
- بحث
- تبدو
- آلة
- آلة التعلم
- الرئيسية
- إدارة
- إدارة
- يدير
- كثير
- مايو..
- يعني
- الإجراءات
- ربما
- تخفيف
- مخففا
- نموذج
- عارضات ازياء
- مال
- أخلاقي
- الأكثر من ذلك
- أكثر
- يجب
- ضروري
- حاجة
- إحتياجات
- سلبي
- جديد
- التكنولوجيات الجديدة
- لا
- الالتزامات
- واضح
- of
- غالبا
- on
- فقط
- عمليات
- or
- منظمة
- المنظمات
- أخرى
- النتائج
- الاستعانة بمصادر خارجية
- مراقبة
- صفقة
- الشريكة
- الشراكة
- حفلة
- يمر
- ضربات الجزاء
- نفذ
- أداء
- الشخصية
- فردي
- خطة
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- إمكانية
- ممارسة
- الممارسات
- سابق
- تتوقع
- الهدايا
- الضغط
- منع
- خاص
- المشكلة
- عملية المعالجة
- العمليات
- ينتج عنه
- الإنتــاج
- البرنامج
- لائق
- الحماية
- دفع
- سؤال
- RE
- سبب
- مطمئنة
- تسلم
- تعكس
- ما هو مقنن
- الصناعات المنظمة
- قوانين
- صلة
- العلاقات
- يحل محل
- يتطلب
- مسؤولية
- النتائج
- استعرض
- التعليقات
- حق
- المخاطرة
- نماذج إدارة المخاطر
- خريطة طريق
- الأدوار
- اندفاع
- s
- الضمانات
- حفظ
- مدخرات
- بسلاسة
- ثانية
- تأمين
- أمن
- التدابير الأمنية
- تهديدات أمنية
- انظر تعريف
- بدا
- حساس
- مستقل
- جدي
- طقم
- باكجات
- ضبط
- شاركت
- سال
- يضيء
- المدى القصير
- ينبغي
- التوقيع
- الاشارات
- تطبيقات الكمبيوتر
- تطوير البرمجيات
- الصلبة
- محدد
- المسرح
- بداية
- تفيد
- السيقان
- خطوة
- خطوات
- لا يزال
- قصتنا
- الإستراتيجيات
- ضرب
- الضربات
- قوي
- بنجاح
- هذه
- عانى
- بدلة
- الدعم
- المساحة
- التآزر
- التكتيكات
- خياط
- أخذ
- فريق
- فريق
- التكنولوجيا
- التكنولوجيا
- سياسة الحجب وتقييد الوصول
- من
- أن
- •
- من مشاركة
- منهم
- أنفسهم
- هناك.
- تشبه
- هم
- اعتقد
- تفكير
- الثالث
- طرف ثالث
- شامل
- بعناية
- هؤلاء
- التهديدات
- ثلاثة
- عبر
- كرافت
- إلى
- اليوم
- تيشرت
- الشفافية
- جدير بالثقة
- علم
- مع
- فهم
- فهم
- فريد من نوعه
- تستخدم
- استخدام
- Ve
- بائع
- الباعة
- فحص
- تريد
- وكان
- we
- حسن
- كان
- ابحث عن
- متى
- التي
- في حين
- من الذى
- سوف
- مستعد
- مع
- بدون
- عمل
- عمل
- سوف
- عام
- سنوات
- زفيرنت
