Ο μετριασμός του κινδύνου τρίτων απαιτεί μια συνεργατική, εμπεριστατωμένη προσέγγιση

ΣΧΟΛΙΑΣΜΟΣ

Ο μετριασμός του κινδύνου τρίτων μπορεί να φαίνεται τρομακτικός όταν εξετάζουμε το πλήθος των εισερχόμενων κανονισμών σε συνδυασμό με τις ολοένα και πιο προηγμένες τακτικές των εγκληματιών στον κυβερνοχώρο. Ωστόσο, οι περισσότεροι οργανισμοί έχουν περισσότερη πρακτορεία και ευελιξία από ό,τι νομίζουν. Η διαχείριση κινδύνου από τρίτους μπορεί να βασίζεται στις υπάρχουσες πρακτικές διακυβέρνησης κινδύνου και ελέγχους ασφαλείας που εφαρμόζονται επί του παρόντος στην εταιρεία. Αυτό που είναι καθησυχαστικό σε αυτό το μοντέλο είναι ότι σημαίνει ότι οι οργανισμοί δεν χρειάζεται να καταργήσουν πλήρως την υπάρχουσα προστασία τους για να μετριάσουν με επιτυχία τον κίνδυνο τρίτων — και αυτό ενθαρρύνει μια κουλτούρα σταδιακής, συνεχούς βελτίωσης. 

Ο κίνδυνος τρίτων αποτελεί μια μοναδική πρόκληση για τους οργανισμούς. Επιφανειακά, ένα τρίτο μέρος μπορεί να φαίνεται αξιόπιστο. Αλλά χωρίς πλήρη διαφάνεια στις εσωτερικές λειτουργίες αυτού του τρίτου προμηθευτή, πώς μπορεί ένας οργανισμός να διασφαλίσει ότι τα δεδομένα που του εμπιστεύονται είναι ασφαλή;

Συχνά, οι οργανισμοί υποβαθμίζουν αυτό το πιεστικό ερώτημα, λόγω των μακροχρόνιων σχέσεων που έχουν με τους τρίτους προμηθευτές τους. Επειδή έχουν συνεργαστεί με έναν τρίτο πωλητή για 15 χρόνια, δεν θα δουν κανένα λόγο να θέσουν σε κίνδυνο τη σχέση τους ζητώντας «να κοιτάξουν κάτω από την κουκούλα». Ωστόσο, αυτός ο τρόπος σκέψης είναι επικίνδυνος - ένα περιστατικό στον κυβερνοχώρο μπορεί να χτυπήσει όταν ή όπου είναι λιγότερο αναμενόμενο.

Ένα τοπίο που αλλάζει

Όταν σημειωθεί παραβίαση δεδομένων, όχι μόνο μπορεί να επιβληθεί πρόστιμο στον οργανισμό ως οντότητα, αλλά μπορεί να προκύψουν και προσωπικές συνέπειες. Πέρυσι, η FDIC έκανε αυστηρότερες τις κατευθυντήριες γραμμές της για τον κίνδυνο τρίτων, θέτοντας το υπόβαθρο για να ακολουθήσουν και άλλες βιομηχανίες. Με την εμφάνιση νέων τεχνολογιών όπως η τεχνητή νοημοσύνη, τα αποτελέσματα της κακής διαχείρισης δεδομένων από τρίτο μέρος μπορεί να είναι τρομερά. Οι εισερχόμενοι κανονισμοί θα αντικατοπτρίζουν αυτές τις σοβαρές συνέπειες επιβάλλοντας σκληρές κυρώσεις σε όσους δεν έχουν αναπτύξει ισχυρούς ελέγχους.

Εκτός από τους νέους κανονισμούς, η εμφάνιση προμηθευτών τέταρτου ή ακόμη και πέμπτου μέρους θα πρέπει να δώσει κίνητρα στους οργανισμούς να προστατεύουν τα εξωτερικά τους δεδομένα. Το λογισμικό δεν είναι η απλή, εσωτερική πρακτική που ήταν πριν από 10 χρόνια — σήμερα, τα δεδομένα περνούν από πολλά χέρια και με κάθε προστιθέμενο σύνδεσμο στην αλυσίδα δεδομένων, οι απειλές για την ασφάλεια αυξάνονται ενώ η επίβλεψη γίνεται πιο δύσκολη. Για παράδειγμα, η σωστή δέουσα επιμέλεια σε έναν τρίτο προμηθευτή έχει μικρό όφελος εάν το ελεγμένο τρίτο μέρος αναθέτει σε τρίτους τα δεδομένα ιδιωτικών πελατών σε έναν αμελή τέταρτο και ο οργανισμός δεν το γνωρίζει.

Πέντε απλά βήματα εκτός συσκευασίας

Με τον σωστό οδικό χάρτη, οργανώσεις μπορεί να μετριάσει επιτυχώς τον κίνδυνο τρίτων. Ακόμα καλύτερα, οι δαπανηρές και ενοχλητικές επενδύσεις τεχνολογίας δεν είναι πάντα απαραίτητες. Αρχικά, αυτό που χρειάζονται οι οργανισμοί όταν εκτελούν τη δέουσα επιμέλεια είναι ένα λογικό σχέδιο, ικανό προσωπικό πρόθυμο να αγοράσει και αυξημένη επικοινωνία μεταξύ των ομάδων πληροφορικής, ασφάλειας και επιχειρήσεων.

Το πρώτο βήμα είναι να κατανοήσετε πλήρως το τοπίο του πωλητή. Αν και αυτό μπορεί να φαίνεται προφανές, πολλοί οργανισμοί, ειδικά μεγάλες εταιρείες με προϋπολογισμούς για εξωτερική ανάθεση, παραμελούν αυτό το κρίσιμο βήμα. Ενώ η εσπευσμένη δημιουργία μιας σχέσης προμηθευτή τρίτου μέρους μπορεί να εξοικονομήσει χρήματα βραχυπρόθεσμα, όλες αυτές οι οικονομίες θα διαγραφούν εάν συμβεί παραβίαση δεδομένων και ο οργανισμός αντιμετωπίσει υψηλά πρόστιμα.

Αφού ερευνήσουν το τοπίο του προμηθευτή, οι οργανισμοί θα πρέπει να καθορίσουν ποιοι ρόλοι τρίτων είναι «κρίσιμοι» — αυτοί οι ρόλοι μπορεί να είναι λειτουργικά κρίσιμοι ή να επεξεργάζονται ευαίσθητα δεδομένα. Με βάση την κρισιμότητα, οι προμηθευτές θα πρέπει να ομαδοποιούνται κατά επίπεδα, γεγονός που επιτρέπει την ευελιξία στον τρόπο με τον οποίο ο οργανισμός αξιολογεί, αξιολογεί και διαχειρίζεται τον προμηθευτή.

Η ταξινόμηση των προμηθευτών με βάση την κρισιμότητα τους μπορεί να ρίξει φως στην υπερβολική εξάρτηση που μπορεί να έχουν οι οργανισμοί στους τρίτους προμηθευτές τους. Αυτοί οι οργανισμοί πρέπει να αναρωτηθούν: Εάν αυτή η σχέση έπαυε ξαφνικά, έχουμε ένα εφεδρικό σχέδιο; Πώς θα αντικαθιστούσαμε αυτή τη λειτουργία ενώ θα συνεχίζαμε απρόσκοπτα τις καθημερινές λειτουργίες;

Το τρίτο βήμα είναι η ανάπτυξη ενός σχεδίου διακυβέρνησης. Πρέπει να υπάρχει συνέργεια μεταξύ των τριών κύριων σκελών ενός οργανισμού για την αποτελεσματική εκτέλεση της δέουσας επιμέλειας και τη διαχείριση του κινδύνου—η ομάδα ασφαλείας ρίχνει φως στις τρύπες στο πρόγραμμα ασφαλείας του πωλητή, η νομική ομάδα καθορίζει τον νομικό κίνδυνο και η επιχειρηματική ομάδα προβλέπει την αρνητική διαδοχική επιπτώσεις στις λειτουργίες εάν τα δεδομένα ή οι λειτουργίες παραβιάζονται. Το κλειδί για τη δημιουργία σταθερής διακυβέρνησης είναι η προσαρμογή του σχεδίου ώστε να ταιριάζει στις μοναδικές ανάγκες ενός οργανισμού. Αυτό ισχύει ιδιαίτερα για οργανισμούς σε λιγότερο ρυθμιζόμενες βιομηχανίες.

Το βήμα διακυβέρνησης ενσωματώνει τη σύνταξη συμβατικών υποχρεώσεων. Για παράδειγμα, συχνά στο cloud computing, οι ηγέτες των επιχειρήσεων βιάζονται κατά λάθος να υπογράψουν μια σύμβαση χωρίς να κατανοούν ότι ορισμένα μέτρα ασφαλείας μπορεί να περιλαμβάνονται ή να μην περιλαμβάνονται στο βασικό πακέτο. Οι συμβατικές υποχρεώσεις συχνά εξαρτώνται από τον κλάδο, αλλά θα πρέπει επίσης να αναπτυχθεί μια τυποποιημένη ρήτρα ασφαλείας. Για παράδειγμα, εάν αξιολογούμε μια εταιρεία παράδοσης, μπορεί να υπάρχει λιγότερη εστίαση στη διαδικασία κύκλου ζωής ανάπτυξης λογισμικού (SDLC) ενός προμηθευτή και περισσότερα σχετικά με τα μέτρα ανθεκτικότητάς τους. Ωστόσο, εάν αξιολογούμε μια εταιρεία λογισμικού, θα θελήσουμε να εστιάσουμε στις διαδικασίες SDLC του προμηθευτή, όπως ο τρόπος αναθεώρησης του κώδικα και η εμφάνιση των διασφαλίσεων που πρέπει να προωθηθούν στην παραγωγή. 

Τέλος, οι οργανισμοί πρέπει να αναπτύξουν μια στρατηγική εξόδου. Πώς διαχωρίζεται ένας οργανισμός καθαρά από ένα τρίτο μέρος, διασφαλίζοντας παράλληλα ότι τα δεδομένα πελατών του διαγράφονται; Υπήρξαν περιπτώσεις όπου μια εταιρεία διακόπτει τους δεσμούς με έναν πωλητή μόνο για να λάβει μια κλήση μετά από χρόνια που τον ενημερώνει ότι ο πρώην συνεργάτης της υπέστη παραβίαση δεδομένων και ότι τα δεδομένα πελατών της εκτέθηκαν — παρά την υπόθεση ότι αυτά τα δεδομένα διαγράφηκαν. Ηθικό δίδαγμα της ιστορίας: Μην υποθέτετε. Εκτός από μια τυχαία παραβίαση δεδομένων, υπάρχει επίσης η πιθανότητα ότι τρίτοι προμηθευτές θα χρησιμοποιήσουν τα δεδομένα ενός πρώην συνεργάτη για εσωτερική ανάπτυξη, όπως η χρήση αυτών των δεδομένων για τη δημιουργία μοντέλων μηχανικής εκμάθησης. Οι οργανισμοί πρέπει να το αποτρέψουν δηλώνοντας με σαφείς, συγκεκριμένους και νομικά δεσμευτικούς όρους πώς οι πωλητές θα διαγράφουν τα δεδομένα σε περίπτωση λήξης της συνεργασίας και ποιες θα είναι οι συνέπειες αν δεν το κάνουν.

Δημιουργήστε μια κουλτούρα κοινής ευθύνης και συνεχούς βελτίωσης 

Η ομαδική προσέγγιση για την εκτέλεση της δέουσας επιμέλειας σημαίνει ότι ο επικεφαλής της ασφάλειας πληροφοριών (CISO) δεν χρειάζεται να επωμιστεί πλήρως την ευθύνη της απομάκρυνσης του κινδύνου από έναν τρίτο προμηθευτή. ο Οι κατηγορίες της SEC κατά της SolarWinds δημιουργήστε ένα ανησυχητικό προηγούμενο — ένας CISO μπορεί να πέσει, ακόμα κι αν το πρόβλημα προέρχεται από δυσλειτουργία σε επίπεδο οργανισμού. Εάν οι ομάδες πληροφορικής και επιχειρήσεων υποστηρίζουν το CISO στον έλεγχο τρίτων προμηθευτών, θέτει τις προϋποθέσεις για μελλοντικές συνεργασίες μεταξύ ομάδων, ενισχύει το buy in του οργανισμού και παράγει καλύτερα αποτελέσματα όσον αφορά την ασφάλεια.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach