Kolmanda osapoole riski maandamine nõuab koostööd ja põhjalikku lähenemist

MÄRKUSED

Kolmandate osapoolte riskide maandamine võib tunduda hirmutav, kui arvestada sissetulevate eeskirjade ja küberkurjategijate üha arenenuma taktikaga. Enamikul organisatsioonidel on aga rohkem agentuuri ja paindlikkust, kui nad arvavad. Kolmanda osapoole riskijuhtimise saab üles ehitada olemasolevatele riskijuhtimise tavadele ja turvakontrollidele, mida ettevõttes praegu rakendatakse. Selle mudeli puhul on rahustav see, et organisatsioonid ei pea kolmandate osapoolte riskide edukaks maandamiseks olemasolevast kaitsest täielikult loobuma – ja see julgustab järkjärgulise ja pideva täiustamise kultuuri. 

Kolmanda osapoole risk on organisatsioonidele ainulaadne väljakutse. Pealtnäha võib kolmas osapool tunduda usaldusväärne. Kuid ilma täieliku läbipaistvuseta selle kolmanda osapoole müüja sisemises töös, kuidas saab organisatsioon tagada, et neile usaldatud andmed on turvalised?

Sageli vähendavad organisatsioonid seda pakilist küsimust nende pikaajaliste suhete tõttu oma kolmandatest osapooltest müüjatega. Kuna nad on 15 aastat töötanud koos kolmandast osapoolest müüjaga, ei näe nad põhjust oma suhet ohustada, paludes kapoti alla vaadata. Selline mõtteviis on aga ohtlik – küberintsident võib tabada siis või seal, kus seda kõige vähem oodatakse.

Muutuv maastik

Kui toimub andmetega seotud rikkumine, võidakse trahvida mitte ainult organisatsiooni kui üksust, vaid ka isiklikke tagajärgi. Eelmisel aastal, FDIC karmistas juhiseid kolmandate isikute riskide kohta, mis loob aluse teistele tööstusharudele eeskuju järgimiseks. Uute tehnoloogiate, nagu tehisintellekti, esilekerkimisel võivad kolmanda osapoole andmete valesti haldamise tagajärjed olla kohutavad. Saabuvad eeskirjad kajastavad neid tõsiseid tagajärgi, määrates karmid karistused neile, kes pole välja töötanud tugevat kontrolli.

Lisaks uutele eeskirjadele peaks neljanda ja isegi viienda osapoole tarnijate tekkimine motiveerima organisatsioone oma väliseid andmeid kaitsma. Tarkvara ei ole nii lihtne, sisemine praktika, mis oli 10 aastat tagasi – tänapäeval liiguvad andmed paljudest kätest läbi ja iga andmeahelasse lisatud lingiga suurenevad turvaohud, samas kui järelevalve muutub keerulisemaks. Näiteks on kolmandast osapoolest müüja suhtes nõuetekohaste hoolsuskohustuste täitmisest vähe kasu, kui kontrollitud kolmas osapool tellib erakliendi andmed hooletule neljandale osapoolele ja organisatsioon ei ole sellest teadlik.

Viis lihtsat karbist väljastavat sammu

Õige teekaardiga organisatsioonid suudab edukalt maandada kolmanda osapoole riske. Veelgi parem, kulukad ja häirivad tehnoloogiainvesteeringud ei ole alati vajalikud. Alustuseks on see, mida organisatsioonid hoolsuskontrolli läbiviimisel vajavad, on mõistlik plaan, võimekad töötajad, kes on valmis sisseostma, ning tõhustatud suhtlus IT-, turva- ja ärimeeskondade vahel.

Esimene samm on müüja maastiku põhjalik mõistmine. Kuigi see võib tunduda ilmselge, jätavad paljud organisatsioonid, eriti suured ettevõtted, kelle eelarve on allhanke tegemiseks, selle üliolulise sammu tähelepanuta. Kuigi kolmanda osapoole müüjasuhte kiirustades loomine võib lühiajaliselt raha säästa, kustutatakse kõik need säästud andmetega seotud rikkumiste korral ja organisatsiooni ähvardavad kopsakad trahvid.

Pärast hankijate maastiku uurimist peaksid organisatsioonid kindlaks määrama, millised kolmanda osapoole rollid on "kriitilised" – need rollid võivad olla operatiivselt kriitilised või töödelda tundlikke andmeid. Kriitilisuse põhjal tuleks hankijad rühmitada tasandite kaupa, mis võimaldab paindlikkust selles, kuidas organisatsioon tarnijat hindab, üle vaatab ja haldab.

Tarnijate sorteerimine nende kriitilisuse järgi võib tuua valgust organisatsioonide liigsele sõltuvusele oma kolmandatest osapooltest tarnijate suhtes. Need organisatsioonid peavad endalt küsima: kui see suhe äkki katkeks, kas meil on varuplaan? Kuidas me asendaksime selle funktsiooni, jätkates samal ajal sujuvalt igapäevast tegevust?

Kolmas samm on juhtimisplaani väljatöötamine. Organisatsiooni kolme peamise haru vahel peab olema sünergia, et tõhusalt teostada hoolsuskohustust ja juhtida riske – turvameeskond annab valgust müüja turvaprogrammi aukudele, juriidiline meeskond määrab juriidilise riski ja ärimeeskond ennustab negatiivset kaskaadi. mõju toimingutele, kui andmed või toimingud on ohus. Kindla valitsemise loomise võti on plaani kohandamine vastavalt organisatsiooni ainulaadsetele vajadustele. See kehtib eriti vähem reguleeritud tööstusharude organisatsioonide kohta.

Juhtimisetapp hõlmab lepinguliste kohustuste koostamist. Näiteks tormavad ettevõtete juhid sageli pilvandmetöötluses ekslikult lepingut allkirjastama, mõistmata, et teatud turvameetmed võivad baaspaketis sisalduda või mitte. Lepingulised kohustused sõltuvad sageli tööstusest, kuid tuleks välja töötada ka standardiseeritud turvaklausel. Näiteks kui hindame kohaletoimetamisettevõtet, võib vähem keskenduda müüja tarkvaraarenduse elutsükli (SDLC) protsessile ja rohkem nende vastupidavusmeetmetele. Kui aga hindame tarkvaraettevõtet, tahame keskenduda müüja SDLC protsessidele, näiteks sellele, kuidas koodi üle vaadatakse ja kuidas näevad välja tootmisse jõudmise kaitsemeetmed. 

Lõpuks peavad organisatsioonid välja töötama väljumisstrateegia. Kuidas eraldub organisatsioon puhtalt kolmandast osapoolest, tagades samal ajal nende kliendiandmete puhastamise? On olnud juhtumeid, kus ettevõte katkestab sidemed müüjaga vaid selleks, et saada aastaid hiljem kõne, mis teavitab neid, et nende endine partner sattus andmetega ohtu ja et nende kliendiandmed avalikustati – hoolimata sellest, et eeldati, et need andmed on kustutatud. Loo moraal: ära eelda. Lisaks juhuslikule andmerikkumisele on ka võimalus, et kolmandast osapoolest müüjad kasutavad endise partneri andmeid sisearenduseks, näiteks kasutavad neid andmeid masinõppemudelite koostamiseks. Organisatsioonid peavad seda ära hoidma, teatades selgete, konkreetsete ja õiguslikult siduvate tingimustega, kuidas müüjad partnerluse lõppemise korral andmed kustutavad ja millised on selle tagajärjed, kui nad seda ei tee.

Looge jagatud vastutuse ja pideva täiustamise kultuur 

Meeskondlik lähenemine hoolsuskohustuse täitmisele tähendab, et teabeturbe juht (CISO) ei pea täielikult kandma vastutust kolmandast osapoolest müüja riskide vähendamise eest. The SEC-i süüdistused SolarWindsi vastu looge murettekitav pretsedent – ​​CISO võib kukkuda, isegi kui probleem tuleneb organisatsiooniülesest talitlushäiretest. Kui IT- ja ärimeeskonnad toetavad CISO-d kolmandatest osapooltest tarnijate kontrollimisel, loob see aluse tulevaseks meeskonnaüleseks koostööks, suurendab organisatsiooni sisseostu ja annab turvalisuse osas paremaid tulemusi.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach