Das Drittanbieter-Cybersicherheitsproblem für Finanzorganisationen (Terry Olaes)

Die heutigen Finanzinstitute durchlaufen einen Wandel, um ihre Organisationen zu modernisieren, und verlassen sich zunehmend darauf, operative Aufgaben an Dritte auszulagern, um die Effizienz zu steigern. Viele große Finanzorganisationen verfügen über umfangreiche Drittanbieternetzwerke, die aus zahlreichen Lieferanten und Anbietern bestehen. Tatsächlich hat Gartner das herausgefunden

60% der Organisationen arbeiten mit über 1,000 Drittanbietern zusammen, und diese Zahl wird mit zunehmender Komplexität der Unternehmen weiter wachsen.

Da sich Finanzorganisationen weiterhin auf Dritte stützen, kann die Bedeutung eines starken Risikomanagementplans nicht genug betont werden, um Risiken effektiver zu managen und die Einhaltung gesetzlicher Vorschriften sicherzustellen. Durch diesen Ansatz können Finanzorganisationen ihre Schwachstellen für Cyberangriffe besser verstehen und die Behebungsbemühungen entsprechend fokussieren, wodurch wertvolle Ressourcen eingespart werden, indem die wirkungsvollsten Bedrohungen genau identifiziert werden.

Das Risiko von Netzwerken Dritter

Obwohl Partnerschaften mit Drittanbietern dazu beitragen, wesentliche Geschäftsfunktionen zu vereinfachen, erhöhen sie auch den Einsatz für Finanzinstitute in Bezug auf Cyber-Risiken. Dies kann besonders kompliziert werden, wenn so viele Entitäten und Dienste gesichert und überwacht werden müssen und Drittorganisationen wahrscheinlich mit zusätzlichen Entitäten verbunden sind, die ebenfalls die Quelle von Cybersicherheitsrisiken sein könnten. Der Katalog potenzieller Sicherheitsprobleme durch Dritte kann katastrophal sein und sensible Informationen sowohl von Mitarbeitern als auch von Kunden, Finanzdaten sowie Vorgänge innerhalb der Lieferkette des Unternehmens und anderer externer Einheiten mit Zugriff auf privilegierte Systeme bedrohen. Ein Bericht der
Ponemon Institute fanden heraus, dass 51 % der Unternehmen schon einmal von einer Datenpanne betroffen waren, die von Dritten verursacht wurde.

Um Systeme und sensible Daten vor Risiken Dritter zu schützen, investieren viele Finanzdienstleistungsunternehmen in Assurance-Prozesse, die in unterschiedlichem Maße eine unabhängige Bewertung der Cyber-Compliance Dritter durch Penetrationstests oder SOC 2 Typ 2-Zertifizierung erfordern. Dieser Ansatz ist zwar praktikabel, aber diese Art der Bewertung ist kostspielig, weist Lücken in der Sichtbarkeit auf und stellt dennoch nur eine Annäherung an das Risiko zu einem bestimmten Zeitpunkt dar.

Ein neuer Ansatz für das Management von Drittrisiken

Die zunehmende Komplexität von Netzwerken von Drittanbietern macht es besonders für größere Unternehmen schwierig, Einblick in die Auswirkungen von Schwachstellen zu erhalten. Finanzorganisationen brauchen einen modernen Ansatz für Cybersicherheit, der alle Risiken identifizieren, messen, priorisieren und verwalten kann. Um einen risikoorientierten Ansatz zu schaffen, mit dem Drittrisiken bekämpft werden können, sollten Finanzorganisationen die Implementierung einiger wichtiger Strategien in Betracht ziehen:

• Risikobewertung: Cyber ​​Risk Scoring bietet einen objektiven Rahmen für die Bewertung der Sicherheitslage, der eine Vielzahl von Risikofaktoren innerhalb und außerhalb einer Organisation berücksichtigt. Durch die Umwandlung dieser Bewertungen in eine leicht verständliche Darstellung des quantitativen Cyberrisikos können Unternehmen besser verstehen, wie sicher ihre Vermögenswerte sind und wo sie sich verbessern müssen.
• Priorisierung von Schwachstellen: Diese Strategie berücksichtigt automatisch Bedrohungsinformationen, Asset-Kontext und Angriffspfadanalysen. Organisationen mit komplexen Umgebungen und begrenzten Ressourcen können ihre Bemühungen dort zielen, wo es darauf ankommt, indem sie Schwachstellen priorisieren und mindern, die das größte Risiko darstellen.
• Expositionsanalyse: Die Gefährdungsanalyse identifiziert ausnutzbare Schwachstellen und korreliert Daten mit den Netzwerkkonfigurationen und Sicherheitskontrollen eines Unternehmens, um festzustellen, ob ein System anfällig für Cyberangriffe ist. Diese Strategie legt fest, welche Angriffsvektoren oder Netzwerkpfade verwendet werden könnten, um auf anfällige Systeme zuzugreifen. Es ermöglicht auch detailliertere Optionen, wenn ein Drittanbieter ein inakzeptables Risiko darstellt, indem es seine Netzwerkzugriffspunkte identifiziert und eine „Kill Switch“-Option bereitstellt, um den Partner offline zu schalten, ohne andere Partner zu beeinträchtigen.

Effektive Cybersicherheitsstrategien müssen eine kontinuierliche Absicherung der Risiken und Schwachstellen Dritter bieten. Ein moderner, risikobasierter Ansatz für Cybersicherheit ermöglicht Angriffssimulation, Compliance und Transparenz, die es Unternehmen ermöglichen, alle Eintritts- und Zugriffspunkte zu sehen und Pfad- und Gefährdungsanalysen durchzuführen. Durch die Implementierung eines risikobasierten Ansatzes für die Cybersicherheit können Finanzorganisationen die Cybersicherheitsrisiken von Drittanbietern wirklich mindern.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoAiStream. Web3-Datenintelligenz. Wissen verstärkt. Hier zugreifen.
• Die Zukunft prägen mit Adryenn Ashley. Hier zugreifen.
• Quelle: https://www.finextra.com/blogposting/24140/the-third-party-cybersecurity-problem-for-financial-organizations?utm_medium=rssfinextra&utm_source=finextrablogs