Το πρόβλημα της κυβερνοασφάλειας τρίτων για χρηματοοικονομικούς οργανισμούς (Terry Olaes)

Τα σημερινά χρηματοπιστωτικά ιδρύματα υφίστανται μετασχηματισμό για τον εκσυγχρονισμό των οργανισμών τους, βασιζόμενοι όλο και περισσότερο στην ανάθεση λειτουργικών καθηκόντων σε τρίτους για την αύξηση της αποτελεσματικότητας. Πολλοί μεγάλοι χρηματοοικονομικοί οργανισμοί διαθέτουν εκτεταμένα δίκτυα τρίτων που αποτελούνται από πολυάριθμους προμηθευτές και πωλητές. Στην πραγματικότητα, η Gartner το βρήκε αυτό

Το 60% των οργανισμών συνεργαστείτε με περισσότερα από 1,000 τρίτα μέρη και αυτός ο αριθμός θα αυξάνεται μόνο καθώς οι επιχειρήσεις γίνονται πιο περίπλοκες.

Καθώς οι χρηματοπιστωτικοί οργανισμοί εξακολουθούν να στηρίζονται σε τρίτα μέρη, η σημασία της διατήρησης ενός ισχυρού σχεδίου διαχείρισης κινδύνου δεν μπορεί να τονιστεί αρκετά για την αποτελεσματικότερη διαχείριση των κινδύνων και τη διασφάλιση της κανονιστικής συμμόρφωσης. Μέσω αυτής της προσέγγισης, οι χρηματοπιστωτικοί οργανισμοί μπορούν να κατανοήσουν καλύτερα τις ευπάθειές τους στις κυβερνοεπιθέσεις και να εστιάσουν τις προσπάθειες αποκατάστασης αναλόγως, εξοικονομώντας πολύτιμους πόρους εντοπίζοντας με ακρίβεια τις απειλές με τη μεγαλύτερη επίδραση.

Ο κίνδυνος δικτύων τρίτων

Αν και οι συνεργασίες τρίτων συμβάλλουν στην απλούστευση των βασικών επιχειρηματικών λειτουργιών, αυξάνουν επίσης τα διακυβεύματα για τα χρηματοπιστωτικά ιδρύματα όσον αφορά τον κίνδυνο στον κυβερνοχώρο. Αυτό μπορεί να γίνει ιδιαίτερα περίπλοκο με τόσες πολλές οντότητες και υπηρεσίες προς ασφάλεια και παρακολούθηση, καθώς και με τρίτους οργανισμούς που ενδέχεται να συνδέονται με πρόσθετες οντότητες που θα μπορούσαν επίσης να αποτελούν πηγή κινδύνου για την ασφάλεια στον κυβερνοχώρο. Ο κατάλογος πιθανών θεμάτων ασφαλείας από τρίτους μπορεί να είναι καταστροφικός, απειλώντας ευαίσθητες πληροφορίες τόσο των εργαζομένων όσο και των πελατών, οικονομικά δεδομένα, καθώς και λειτουργίες εντός της αλυσίδας εφοδιασμού του οργανισμού και άλλων εξωτερικών οντοτήτων που έχουν πρόσβαση σε προνομιακά συστήματα. Μια αναφορά από το
Ινστιτούτο Ponemon διαπίστωσε ότι το 51% των επιχειρήσεων έχουν υποστεί παραβίαση δεδομένων που προκλήθηκε από τρίτο μέρος.

Για την προστασία συστημάτων και ευαίσθητων δεδομένων από κινδύνους τρίτων, πολλοί οργανισμοί χρηματοπιστωτικών υπηρεσιών επενδύουν σε διαδικασίες διασφάλισης, οι οποίες απαιτούν σε διαφορετικό βαθμό ανεξάρτητη αξιολόγηση της συμμόρφωσης τρίτων στον κυβερνοχώρο μέσω δοκιμών διείσδυσης ή πιστοποίησης SOC 2 Type 2. Αν και αυτή η προσέγγιση είναι πρακτική, αυτός ο τύπος αξιολόγησης είναι δαπανηρός, έχει κενά ορατότητας και εξακολουθεί να αντιπροσωπεύει μόνο μια προσέγγιση του κινδύνου σε μια συγκεκριμένη χρονική στιγμή.

Μια νέα προσέγγιση για τη διαχείριση του κινδύνου τρίτων

Η αυξανόμενη πολυπλοκότητα των δικτύων τρίτων έχει κάνει την απόκτηση ορατότητας στον αντίκτυπο που προκαλείται από τρωτά σημεία ιδιαίτερα προκλητική, ιδιαίτερα για μεγαλύτερους οργανισμούς. Οι χρηματοπιστωτικοί οργανισμοί χρειάζονται μια σύγχρονη προσέγγιση για την ασφάλεια στον κυβερνοχώρο, μια προσέγγιση που να μπορεί να εντοπίσει, να μετρήσει, να ιεραρχήσει και να διαχειριστεί όλους τους κινδύνους. Για να δημιουργήσουν μια προσέγγιση εστιασμένη στον κίνδυνο ικανή να καταπολεμήσει τους κινδύνους τρίτων, οι χρηματοπιστωτικοί οργανισμοί θα πρέπει να εξετάσουν το ενδεχόμενο εφαρμογής ορισμένων κρίσιμων στρατηγικών:

• Βαθμολογία κινδύνου: Η βαθμολόγηση κινδύνου στον κυβερνοχώρο παρέχει ένα αντικειμενικό πλαίσιο για την αξιολόγηση της στάσης ασφαλείας που λαμβάνει υπόψη ένα ευρύ φάσμα παραγόντων κινδύνου από μέσα και έξω από έναν οργανισμό. Μετατρέποντας αυτές τις αξιολογήσεις σε μια εύκολα κατανοητή αναπαράσταση του ποσοτικού κινδύνου στον κυβερνοχώρο, οι οργανισμοί μπορούν να κατανοήσουν καλύτερα πόσο ασφαλή είναι τα περιουσιακά τους στοιχεία και πού πρέπει να βελτιωθούν.
• Προτεραιότητα ευπάθειας: Αυτή η στρατηγική λαμβάνει αυτόματα υπόψη τη νοημοσύνη των απειλών, το πλαίσιο περιουσιακών στοιχείων και την ανάλυση διαδρομής επίθεσης. Οργανισμοί με πολύπλοκα περιβάλλοντα και περιορισμένους πόρους μπορούν να στοχεύσουν την προσπάθειά τους όπου έχει σημασία, δίνοντας προτεραιότητα και μετριάζοντας τις ευπάθειες που αποτελούν τον πιο σημαντικό κίνδυνο.
• Ανάλυση έκθεσης: Η ανάλυση έκθεσης προσδιορίζει εκμεταλλεύσιμα τρωτά σημεία και συσχετίζει δεδομένα με τις διαμορφώσεις δικτύου και τους ελέγχους ασφαλείας ενός οργανισμού για να προσδιορίσει εάν ένα σύστημα είναι ευάλωτο σε κυβερνοεπιθέσεις. Αυτή η στρατηγική καθορίζει ποια διανύσματα επίθεσης ή διαδρομές δικτύου θα μπορούσαν να χρησιμοποιηθούν για την πρόσβαση σε ευάλωτα συστήματα. Επιτρέπει επίσης πιο λεπτομερείς επιλογές όταν ένα τρίτο μέρος ενέχει απαράδεκτο κίνδυνο, προσδιορίζοντας τα σημεία πρόσβασης στο δίκτυό του και παρέχοντας μια επιλογή "kill switch" για να φέρει τον συνεργάτη εκτός σύνδεσης χωρίς να επηρεάσει άλλους συνεργάτες.

Οι αποτελεσματικές στρατηγικές κυβερνοασφάλειας πρέπει να παρέχουν συνεχή διασφάλιση των κινδύνων και των τρωτών σημείων τρίτων. Μια σύγχρονη, βασισμένη στον κίνδυνο προσέγγιση για την ασφάλεια στον κυβερνοχώρο επιτρέπει την προσομοίωση επίθεσης, τη συμμόρφωση και την ορατότητα που επιτρέπει στους οργανισμούς να βλέπουν όλα τα σημεία εισόδου και πρόσβασης και να εκτελούν ανάλυση διαδρομής και έκθεσης. Εφαρμόζοντας μια προσέγγιση βασισμένη στον κίνδυνο για την ασφάλεια στον κυβερνοχώρο, οι χρηματοπιστωτικοί οργανισμοί μπορούν πραγματικά να μετριάσουν τους κινδύνους της κυβερνοασφάλειας τρίτων.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoAiStream. Web3 Data Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• Minting the Future με την Adryenn Ashley. Πρόσβαση εδώ.
• πηγή: https://www.finextra.com/blogposting/24140/the-third-party-cybersecurity-problem-for-financial-organizations?utm_medium=rssfinextra&utm_source=finextrablogs