Die Minderung des Risikos Dritter erfordert einen kooperativen, gründlichen Ansatz

KOMMENTAR

Die Minderung des Risikos Dritter mag entmutigend erscheinen, wenn man die Vielzahl neuer Vorschriften in Verbindung mit den immer ausgefeilteren Taktiken von Cyberkriminellen bedenkt. Die meisten Organisationen verfügen jedoch über mehr Entscheidungsfreiheit und Flexibilität, als sie denken. Das Risikomanagement Dritter kann auf bestehenden Risiko-Governance-Praktiken und Sicherheitskontrollen aufbauen, die derzeit im Unternehmen implementiert sind. Das Beruhigende an diesem Modell ist, dass es bedeutet, dass Unternehmen ihren bestehenden Schutz nicht vollständig aufgeben müssen, um das Risiko Dritter erfolgreich zu mindern – und dies fördert eine Kultur der schrittweisen, kontinuierlichen Verbesserung. 

Das Risiko Dritter stellt für Unternehmen eine einzigartige Herausforderung dar. Oberflächlich betrachtet kann ein Dritter vertrauenswürdig erscheinen. Aber wie kann ein Unternehmen ohne vollständige Transparenz über die internen Abläufe dieses Drittanbieters sicherstellen, dass die ihm anvertrauten Daten sicher sind?

Aufgrund der langjährigen Beziehungen, die sie mit ihren Drittanbietern unterhalten, spielen Unternehmen diese drängende Frage oft herunter. Da sie seit 15 Jahren mit einem Drittanbieter zusammenarbeiten, sehen sie keinen Grund, ihre Beziehung zu gefährden, indem sie darum bitten, „unter die Haube zu schauen“. Allerdings ist diese Denkweise gefährlich – ein Cyber-Vorfall kann genau dann auftreten, wenn oder wo man es am wenigsten erwartet.

Eine sich verändernde Landschaft

Bei einem Datenschutzverstoß kann nicht nur die Organisation als Ganzes mit einer Geldstrafe belegt werden, sondern es können auch persönliche Konsequenzen verhängt werden. Letztes Jahr, Die FDIC verschärfte ihre Richtlinien zum Risiko Dritter, und bereitet damit den Weg für andere Branchen, diesem Beispiel zu folgen. Mit dem Aufkommen neuer Technologien wie künstlicher Intelligenz können die Folgen einer fehlerhaften Datenverwaltung durch Dritte verheerend sein. Zukünftige Vorschriften werden diesen schwerwiegenden Folgen Rechnung tragen, indem sie harte Strafen für diejenigen verhängen, die keine strengen Kontrollen entwickelt haben.

Neben neuen Vorschriften sollte das Aufkommen von Viert- und sogar Fünftanbietern einen Anreiz für Unternehmen schaffen, ihre externen Daten zu schützen. Software ist nicht mehr die einfache, interne Praxis wie vor 10 Jahren – heute durchlaufen Daten viele Hände, und mit jedem hinzugefügten Glied in der Datenkette nehmen die Sicherheitsbedrohungen zu, während die Überwachung schwieriger wird. Beispielsweise ist die Durchführung einer ordnungsgemäßen Due-Diligence-Prüfung bei einem Drittanbieter von geringem Nutzen, wenn der geprüfte Dritte private Kundendaten an einen fahrlässigen Dritten auslagert und die Organisation nichts davon weiß.

Fünf einfache, sofort einsatzbereite Schritte

Mit der richtigen Roadmap, Organisationen kann das Risiko Dritter erfolgreich mindern. Besser noch: Es sind nicht immer kostspielige und disruptive Technologieinvestitionen erforderlich. Was Unternehmen bei der Due-Diligence-Prüfung zunächst benötigen, ist ein vernünftiger Plan, fähiges Personal, das bereit ist, mitzumachen, und eine verbesserte Kommunikation zwischen den IT-, Sicherheits- und Geschäftsteams.

Der erste Schritt besteht darin, die Anbieterlandschaft gründlich zu verstehen. Obwohl dies offensichtlich erscheint, vernachlässigen viele Organisationen, insbesondere große Unternehmen mit Outsourcing-Budgets, diesen entscheidenden Schritt. Während der übereilte Aufbau einer Beziehung zu einem Drittanbieter kurzfristig Geld sparen kann, werden alle diese Einsparungen bei einem Datenverstoß zunichte gemacht und dem Unternehmen hohe Geldstrafen drohen.

Nach einer Untersuchung der Anbieterlandschaft sollten Unternehmen ermitteln, welche Rollen von Drittanbietern „kritisch“ sind – diese Rollen können betriebskritisch sein oder sensible Daten verarbeiten. Basierend auf der Kritikalität sollten Anbieter nach Stufen gruppiert werden, was Flexibilität bei der Bewertung, Überprüfung und Verwaltung des Anbieters durch die Organisation ermöglicht.

Die Sortierung der Anbieter nach ihrer Wichtigkeit kann Aufschluss über die übermäßige Abhängigkeit von Unternehmen von ihren Drittanbietern geben. Diese Organisationen müssen sich fragen: Haben wir einen Ersatzplan für den Fall, dass diese Beziehung plötzlich aufhört? Wie würden wir diese Funktion ersetzen und gleichzeitig den laufenden Betrieb nahtlos weiterführen?

Der dritte Schritt besteht darin, einen Governance-Plan zu entwickeln. Um die Due-Diligence-Prüfung und das Risikomanagement effektiv durchführen zu können, muss eine Synergie zwischen den drei Hauptbereichen einer Organisation bestehen: Das Sicherheitsteam beleuchtet Lücken im Sicherheitsprogramm des Anbieters, das Rechtsteam ermittelt das rechtliche Risiko und das Geschäftsteam prognostiziert die negative Kaskadierung Auswirkungen auf den Betrieb, wenn Daten oder Betrieb gefährdet sind. Der Schlüssel zur Schaffung einer soliden Governance liegt darin, den Plan an die individuellen Bedürfnisse einer Organisation anzupassen. Dies gilt insbesondere für Organisationen in weniger regulierten Branchen.

Der Governance-Schritt umfasst die Ausarbeitung vertraglicher Verpflichtungen. Beispielsweise schließen Unternehmensleiter im Cloud-Computing häufig überstürzt einen Vertrag ab, ohne zu verstehen, dass bestimmte Sicherheitsmaßnahmen möglicherweise im Basispaket enthalten sind oder nicht. Vertragliche Verpflichtungen sind häufig branchenabhängig, es sollte jedoch auch eine standardisierte Sicherheitsklausel entwickelt werden. Wenn wir beispielsweise ein Lieferunternehmen bewerten, liegt der Fokus möglicherweise weniger auf dem Software Development Lifecycle (SDLC)-Prozess eines Anbieters als vielmehr auf seinen Ausfallsicherheitsmaßnahmen. Wenn wir jedoch ein Softwareunternehmen bewerten, sollten wir uns auf die SDLC-Prozesse des Anbieters konzentrieren, z. B. darauf, wie Code überprüft wird und wie die Sicherheitsvorkehrungen aussehen, die für die Umsetzung in die Produktion erforderlich sind. 

Schließlich müssen Organisationen eine Ausstiegsstrategie entwickeln. Wie trennt sich eine Organisation sauber von Dritten und stellt gleichzeitig sicher, dass ihre Kundendaten bereinigt werden? Es gab Fälle, in denen ein Unternehmen die Verbindung zu einem Anbieter abbrach, nur um Jahre später einen Anruf zu erhalten, in dem ihm mitgeteilt wurde, dass bei seinem ehemaligen Partner eine Datenkompromittierung erlitten wurde und dass seine Kundendaten offengelegt wurden – obwohl davon ausgegangen wurde, dass diese Daten gelöscht wurden. Moral der Geschichte: Machen Sie keine Annahmen. Neben einem versehentlichen Datenverstoß besteht auch die Möglichkeit, dass Drittanbieter die Daten eines ehemaligen Partners für die interne Entwicklung verwenden, beispielsweise um diese Daten zum Erstellen von Modellen für maschinelles Lernen zu verwenden. Organisationen müssen dies verhindern, indem sie klar, konkret und rechtsverbindlich festlegen, wie Anbieter Daten im Falle einer Beendigung der Partnerschaft löschen und welche Konsequenzen es hat, wenn sie dies nicht tun.

Schaffen Sie eine Kultur der gemeinsamen Verantwortung und der kontinuierlichen Verbesserung 

Ein Teamansatz bei der Durchführung der Due Diligence bedeutet, dass der Chief Information Security Officer (CISO) nicht die volle Verantwortung für die Risikominimierung eines Drittanbieters tragen muss. Der Anklage der SEC gegen SolarWinds Schaffen Sie einen besorgniserregenden Präzedenzfall – ein CISO kann den Sturz hinnehmen, selbst wenn das Problem auf eine organisationsweite Funktionsstörung zurückzuführen ist. Wenn die IT- und Geschäftsteams den CISO bei der Überprüfung von Drittanbietern unterstützen, schafft dies die Voraussetzungen für künftige teamübergreifende Zusammenarbeit, steigert die Akzeptanz des Unternehmens und führt zu besseren Ergebnissen in Sachen Sicherheit.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach