Afbødning af tredjepartsrisiko kræver en samarbejdsorienteret, grundig tilgang

KOMMENTAR

Afbødning af tredjepartsrisiko kan virke skræmmende, når man overvejer mængden af ​​indkommende regler kombineret med cyberkriminelles stadig mere avancerede taktik. De fleste organisationer har dog mere handlekraft og fleksibilitet, end de tror, ​​de gør. Tredjeparts risikostyring kan bygges oven på eksisterende risikostyringspraksis og sikkerhedskontroller, der i øjeblikket er implementeret i virksomheden. Det, der er betryggende ved denne model, er, at det betyder, at organisationer ikke fuldt ud behøver at kassere deres eksisterende beskyttelse for at kunne afbøde tredjepartsrisiko – og dette tilskynder til en kultur med gradvis, kontinuerlig forbedring. 

Tredjepartsrisiko udgør en unik udfordring for organisationer. På overfladen kan en tredjepart virke troværdig. Men uden fuldstændig gennemsigtighed i den pågældende tredjeparts leverandørs indre virkemåde, hvordan kan en organisation så sikre, at data, der er betroet dem, er sikre?

Ofte bagatelliserer organisationer dette presserende spørgsmål på grund af de langvarige relationer, de har med deres tredjepartsleverandører. Fordi de har arbejdet med en tredjepartsleverandør i 15 år, vil de ikke se nogen grund til at bringe deres forhold i fare ved at bede om at "se under motorhjelmen." Men denne tankegang er farlig - en cyberhændelse kan ramme, når eller hvor det er mindst forventet.

Et landskab i forandring

Når et databrud rammer, kan organisationen ikke kun idømmes bøder som en enhed, men der kan også udstedes personlige konsekvenser. Sidste år, FDIC strammede sine retningslinjer for tredjepartsrisiko, hvilket sætter scenen for, at andre industrier kan følge trop. Med fremkomsten af ​​nye teknologier som f.eks. kunstig intelligens, kan resultaterne af fejlhåndtering af data fra en tredjepart være forfærdelige. Indkommende regler vil afspejle disse alvorlige konsekvenser ved at udstede hårde sanktioner til dem, der ikke har udviklet stærke kontroller.

Udover nye regler bør fremkomsten af ​​fjerde- og endda femtepartsleverandører tilskynde organisationer til at sikre deres eksterne data. Software er ikke den enkle, interne praksis, det var for 10 år siden – i dag passerer data gennem mange hænder, og med hvert tilføjet link til datakæden øges sikkerhedstrusler, mens overvågningen bliver sværere. For eksempel er det kun til ringe fordel at udføre korrekt due diligence på en tredjepartsleverandør, hvis den kontrollerede tredjepart outsourcer private klientdata til en uagtsom fjerde part, og organisationen ikke er klar over det.

Fem enkle trin uden for kassen

Med den rigtige køreplan, organisationer kan med held afbøde tredjepartsrisiko. Endnu bedre, dyre og forstyrrende teknologiinvesteringer er ikke altid nødvendige. Til at starte med, hvad organisationer har brug for, når de udfører due diligence, er en fornuftig plan, dygtige medarbejdere, der er villige til at købe ind, og øget kommunikation mellem IT-, sikkerheds- og forretningsteamene.

Det første skridt er at forstå leverandørlandskabet grundigt. Selvom dette kan virke indlysende, forsømmer mange organisationer, især store virksomheder med budgetter til at outsource, dette afgørende skridt. Mens en hastig etablering af et tredjepartsleverandørforhold kan spare penge på kort sigt, vil alle disse besparelser blive slettet, hvis der opstår et databrud, og organisationen står over for store bøder.

Efter at have undersøgt leverandørlandskabet bør organisationer afgøre, hvilke tredjepartsroller der er "kritiske" - disse roller kan være operationelt kritiske eller behandle følsomme data. Baseret på kritikalitet bør leverandører grupperes efter niveauer, hvilket giver mulighed for fleksibilitet i, hvordan organisationen vurderer, gennemgår og administrerer leverandøren.

Sortering af leverandører efter deres kritikalitet kan kaste lys over den overdrevne afhængighed, organisationer kan have på deres tredjepartsleverandører. Disse organisationer må spørge sig selv: Hvis dette forhold pludselig skulle ophøre, har vi så en backup-plan? Hvordan ville vi erstatte denne funktion, mens vi problemfrit fortsætter den daglige drift?

Det tredje trin er at udvikle en plan for styring. Der skal være synergi mellem de tre hovedarme i en organisation for effektivt at udføre due diligence og håndtere risici - sikkerhedsteamet kaster lys over huller i leverandørens sikkerhedsprogram, det juridiske team bestemmer juridisk risiko, og forretningsteamet forudsiger den negative kaskade. effekt på driften, hvis data eller operationer kompromitteres. Nøglen til at skabe solid ledelse er at skræddersy planen, så den passer til en organisations unikke behov. Dette gælder især for organisationer i mindre regulerede brancher.

Styringstrinnet omfatter udarbejdelse af kontraktlige forpligtelser. For eksempel, ofte inden for cloud computing, vil virksomhedsledere fejlagtigt skynde sig at underskrive en kontrakt uden at forstå, at visse sikkerhedsforanstaltninger muligvis er inkluderet i basispakken. Kontraktlige forpligtelser er ofte brancheafhængige, men der bør også udvikles en standardiseret sikkerhedsklausul. For eksempel, hvis vi evaluerer en leveringsvirksomhed, kan der være mindre fokus på en leverandørs softwareudviklings livscyklus (SDLC) proces og mere på deres modstandsdygtighed. Men hvis vi vurderer en softwarevirksomhed, vil vi fokusere på leverandørens SDLC's processer, såsom hvordan kode gennemgås, og hvordan sikkerhedsforanstaltningerne for at skubbe til produktion ser ud. 

Endelig skal organisationer udvikle en exitstrategi. Hvordan adskiller en organisation sig rent fra en tredjepart, mens den sikrer, at deres klientdata er skrubbet? Der har været tilfælde, hvor en virksomhed afbryder forbindelsen til en leverandør for kun at modtage et opkald flere år senere, der informerer dem om, at deres tidligere partner led et datakompromittering, og at deres klientdata blev afsløret - på trods af at de var under den antagelse, at disse data var slettet. Moralen i historien: Antag ikke. Udover et utilsigtet databrud, er der også mulighed for, at tredjepartsleverandører vil bruge en tidligere partners data til intern udvikling, såsom at bruge disse data til at bygge maskinlæringsmodeller. Organisationer skal forhindre dette ved at angive i klare, specifikke og juridisk bindende vendinger, hvordan leverandører vil slette data i tilfælde af, at partnerskabet ophører, og hvad konsekvenserne vil være, hvis de ikke gør det.

Skab en kultur med fælles ansvar og løbende forbedringer 

At tage en teamtilgang til at udføre due diligence betyder, at chefen for informationssikkerhedsansvarlig (CISO) ikke fuldt ud behøver at bære ansvaret for at fjerne risikoen for en tredjepartsleverandør. Det SECs anklager mod SolarWinds skabe en bekymrende præcedens - en CISO kan tage faldet, selvom problemet stammer fra organisatorisk dysfunktion. Hvis IT- og forretningsteamene understøtter CISO'en i at undersøge tredjepartsleverandører, sætter det scenen for fremtidige samarbejder på tværs af teams, øger organisationens buy-in og producerer bedre resultater, når det kommer til sikkerhed.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach