نظر
کاهش خطرات شخص ثالث ممکن است با در نظر گرفتن قوانین جدید همراه با تاکتیک های پیشرفته تر مجرمان سایبری دلهره آور به نظر برسد. با این حال، بیشتر سازمانها از آن چیزی که فکر میکنند دارای نمایندگی و انعطافپذیری بیشتری هستند. مدیریت ریسک شخص ثالث را می توان بر اساس شیوه های حاکمیت ریسک موجود و کنترل های امنیتی که در حال حاضر در شرکت اجرا می شود، ایجاد کرد. چیزی که در مورد این مدل اطمینانبخش است این است که به این معنی است که سازمانها برای کاهش موفقیتآمیز ریسک شخص ثالث مجبور نیستند به طور کامل حفاظت موجود خود را کنار بگذارند - و این فرهنگ بهبود تدریجی و مستمر را تشویق میکند.
ریسک شخص ثالث یک چالش منحصر به فرد برای سازمان ها ایجاد می کند. در ظاهر، شخص ثالث می تواند قابل اعتماد به نظر برسد. اما بدون شفافیت کامل در عملکرد داخلی آن فروشنده شخص ثالث، چگونه یک سازمان می تواند اطمینان حاصل کند که داده هایی که به آنها سپرده شده است امن هستند؟
اغلب، سازمان ها به دلیل روابط طولانی مدتی که با فروشندگان شخص ثالث خود دارند، این سوال مبرم را کم اهمیت می دانند. از آنجایی که آنها 15 سال با یک فروشنده شخص ثالث کار کرده اند، هیچ دلیلی برای به خطر انداختن رابطه خود با درخواست "زیر سرپوش" نمی بینند. با این حال، این طرز فکر خطرناک است - یک حادثه سایبری می تواند در زمانی یا جایی که کمترین انتظار را داشته باشد رخ دهد.
چشم انداز در حال تغییر
هنگامی که یک نقض داده رخ می دهد، نه تنها می توان سازمان را به عنوان یک نهاد جریمه کرد، بلکه ممکن است عواقب شخصی نیز صادر شود. سال گذشته، FDIC دستورالعمل های خود را در مورد ریسک شخص ثالث تشدید کرد، زمینه را برای سایر صنایع فراهم می کند تا از آن پیروی کنند. با ظهور فناوریهای جدید مانند هوش مصنوعی، نتایج سوء مدیریت دادهها توسط شخص ثالث میتواند وحشتناک باشد. مقررات دریافتی این عواقب جدی را با اعمال مجازات های سخت برای کسانی که کنترل های قوی ایجاد نکرده اند، منعکس می کند.
علاوه بر مقررات جدید، ظهور فروشندگان شخص چهارم و حتی پنجم باید سازمان ها را تشویق کند تا داده های خارجی خود را ایمن کنند. نرمافزار روش ساده و داخلی ۱۰ سال پیش نیست – امروزه دادهها از دستهای بسیاری عبور میکنند، و با اضافه شدن هر پیوند به زنجیره داده، تهدیدات امنیتی افزایش مییابد در حالی که نظارت دشوارتر میشود. برای مثال، اگر شخص ثالث بررسیشده دادههای مشتری خصوصی را به یک شخص چهارم سهلانگیز برونسپاری کند و سازمان از آن بیاطلاع باشد، انجام بررسیهای لازم بر روی یک فروشنده شخص ثالث سود چندانی ندارد.
پنج مرحله ساده خارج از جعبه
با نقشه راه درست، سازمان ها می تواند با موفقیت ریسک شخص ثالث را کاهش دهد. بهتر از آن، سرمایهگذاریهای پرهزینه و مخرب در فناوری همیشه ضروری نیستند. برای شروع، آنچه سازمان ها هنگام انجام بررسی های لازم به آن نیاز دارند، یک برنامه معقول، پرسنل توانمندی که مایل به خرید هستند، و ارتباط بیشتر بین تیم های فناوری اطلاعات، امنیت و کسب و کار است.
اولین قدم درک کامل چشم انداز فروشنده است. در حالی که این امر ممکن است بدیهی به نظر برسد، بسیاری از سازمان ها، به ویژه شرکت های بزرگی که بودجه ای برای برون سپاری دارند، از این مرحله حیاتی غفلت می کنند. در حالی که ایجاد رابطه عجولانه با فروشنده شخص ثالث ممکن است در کوتاه مدت موجب صرفه جویی در هزینه شود، اما در صورت وقوع نقض داده و جریمه های سنگین سازمان، تمام این پس انداز ها پاک می شود.
پس از بررسی چشمانداز فروشنده، سازمانها باید تعیین کنند که کدام نقشهای شخص ثالث «بسیار حیاتی» هستند – این نقشها ممکن است از نظر عملیاتی حیاتی باشند یا دادههای حساس را پردازش کنند. بر اساس اهمیت، فروشندگان باید بر اساس سطوح گروه بندی شوند، که امکان انعطاف پذیری در نحوه ارزیابی، بررسی و مدیریت فروشنده را سازمان فراهم می کند.
مرتب سازی فروشندگان بر اساس اهمیت آنها می تواند اتکای بیش از حد سازمان ها به فروشندگان شخص ثالث خود را روشن کند. این سازمان ها باید از خود بپرسند: اگر این رابطه ناگهان قطع شود، آیا ما یک برنامه پشتیبان داریم؟ چگونه میتوانیم این عملکرد را در حالی که به طور یکپارچه به عملیات روزمره ادامه میدهیم جایگزین کنیم؟
گام سوم، تدوین برنامه ای برای حکمرانی است. باید بین سه بازوی اصلی یک سازمان هم افزایی وجود داشته باشد تا به طور موثر بررسی لازم را انجام دهد و ریسک را مدیریت کند - تیم امنیتی حفرههای برنامه امنیتی فروشنده را روشن میکند، تیم حقوقی ریسک قانونی را تعیین میکند و تیم تجاری آبشار منفی را پیشبینی میکند. اگر داده ها یا عملیات در معرض خطر قرار گیرند، بر عملیات تأثیر می گذارد. کلید ایجاد حکمرانی مستحکم، تنظیم برنامه متناسب با نیازهای منحصر به فرد سازمان است. این امر به ویژه در مورد سازمان هایی که در صنایع کمتر تنظیم شده هستند کاربرد دارد.
مرحله حاکمیت شامل تهیه پیش نویس تعهدات قراردادی است. به عنوان مثال، اغلب در محاسبات ابری، رهبران کسب و کار به اشتباه برای امضای قرارداد عجله می کنند بدون اینکه بدانند برخی اقدامات امنیتی ممکن است در بسته پایه گنجانده شود یا نباشد. تعهدات قراردادی اغلب وابسته به صنعت است، اما یک بند امنیتی استاندارد نیز باید ایجاد شود. به عنوان مثال، اگر ما در حال ارزیابی یک شرکت تحویل هستیم، ممکن است تمرکز کمتری روی فرآیند چرخه عمر توسعه نرمافزار فروشنده (SDLC) و بیشتر در مورد اقدامات انعطافپذیری آنها وجود داشته باشد. با این حال، اگر در حال ارزیابی یک شرکت نرمافزاری هستیم، میخواهیم روی فرآیندهای SDLC فروشنده تمرکز کنیم، مانند اینکه کد چگونه بازبینی میشود و اقدامات حفاظتی برای تولید به چه شکل است.
در نهایت، سازمان ها نیاز به توسعه یک استراتژی خروج دارند. چگونه یک سازمان کاملاً از یک شخص ثالث جدا می شود و در عین حال اطمینان می دهد که داده های مشتری آنها پاک شده است؟ مواردی وجود داشته است که شرکتی ارتباط خود را با فروشنده قطع میکند تا سالها بعد تماسی دریافت کند که به آنها اطلاع میدهد که شریک قبلیشان با دادهها در معرض خطر قرار گرفته است و اطلاعات مشتریشان فاش شده است - علیرغم اینکه فرض بر این بود که این دادهها پاک شده است. اخلاق داستان: فرض نکنید. علاوه بر نقض تصادفی داده، این احتمال نیز وجود دارد که فروشندگان شخص ثالث از دادههای شریک سابق برای توسعه داخلی استفاده کنند، مانند استفاده از آن دادهها برای ساخت مدلهای یادگیری ماشین. سازمانها باید با بیان اینکه چگونه فروشندگان دادهها را در صورت پایان شراکت پاک میکنند و اگر این کار را نکنند، چه عواقبی خواهد داشت، از این امر جلوگیری کنند.
فرهنگ مسئولیت مشترک و بهبود مستمر ایجاد کنید
اتخاذ یک رویکرد تیمی برای انجام بررسی دقیق به این معنی است که مدیر ارشد امنیت اطلاعات (CISO) مجبور نیست به طور کامل مسئولیت حذف یک فروشنده شخص ثالث را بر عهده بگیرد. را اتهامات SEC علیه SolarWinds یک سابقه نگران کننده ایجاد کنید - یک CISO می تواند سقوط کند، حتی اگر مشکل از ناکارآمدی سازمانی ناشی شود. اگر تیمهای فناوری اطلاعات و کسبوکار از CISO در بررسی فروشندگان شخص ثالث حمایت کنند، زمینه را برای همکاریهای بین تیمی آینده فراهم میکند، خرید سازمان را افزایش میدهد و نتایج بهتری را در مورد امنیت ایجاد میکند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach
- :است
- :نه
- :جایی که
- 10
- سال 15
- ٪۱۰۰
- 7
- a
- درباره ما
- تصادفی
- اضافه
- پیشرفته
- در برابر
- نمایندگی
- پیش
- معرفی
- اجازه می دهد تا
- همچنین
- همیشه
- an
- و
- ظاهر شدن
- مربوط
- روش
- هستند
- اسلحه
- مصنوعی
- هوش مصنوعی
- AS
- پرسیدن
- خواهان
- ارزیابی می کند
- فرض
- فرض
- At
- پشتیبان گیری
- مستقر
- خط مقدم
- BE
- زیرا
- شود
- بوده
- بودن
- سود
- در کنار
- بهتر
- میان
- الزام آور
- تقویت می کند
- شکاف
- بودجه
- ساختن
- ساخته
- کسب و کار
- رهبران مشاغل
- اما
- خرید
- by
- صدا
- CAN
- توانا
- موارد
- بس
- معین
- زنجیر
- به چالش
- متغیر
- بار
- رئیس
- CISO
- واضح
- مشتری
- ابر
- محاسبات ابری
- رمز
- مشارکت
- مشترک
- می آید
- ارتباط
- شرکت
- شرکت
- کامل
- سازش
- در معرض خطر
- محاسبه
- در باره
- عواقب
- با توجه به
- مداوم
- مداوم
- قرارداد
- قراردادی
- گروه شاهد
- گران
- همراه
- ایجاد
- ایجاد
- بحرانی
- انتقادی بودن
- بسیار سخت
- فرهنگ
- در حال حاضر
- سایبر
- مجرمان سایبری
- خطرناک
- داده ها
- نقض داده ها
- روز به روز
- تحویل
- وابسته
- با وجود
- مشخص کردن
- تعیین می کند
- توسعه
- توسعه
- پروژه
- مشکل
- سخت کوشی
- وخیم
- نفاق افکن
- do
- میکند
- ندارد
- عمل
- دان
- دو
- هر
- اثر
- به طور موثر
- خروج
- تشویق می کند
- پایان
- اطمینان حاصل شود
- حصول اطمینان از
- موجودیت
- واگذار شد
- به خصوص
- ایجاد
- ارزیابی
- حتی
- واقعه
- مثال
- موجود
- خروج
- خروج استراتژی
- انتظار می رود
- قرار گرفتن در معرض
- خارجی
- چهره ها
- سقوط
- fdic
- جریمه شد
- جریمه
- نام خانوادگی
- پنج
- انعطاف پذیری
- تمرکز
- به دنبال
- برای
- سابق
- چهارم
- از جانب
- کاملا
- تابع
- آینده
- حکومت
- تدریجی
- دستورالعمل ها
- دست ها
- آیا
- پناهگاه
- کثیف
- بالا بردن
- سوراخ
- کاپوت
- چگونه
- اما
- HTTPS
- if
- اجرا
- بهبود
- in
- تشویق
- حادثه
- مشمول
- وارد شونده
- شامل
- افزایش
- به طور فزاینده
- لوازم
- صنعت
- اطلاعات
- امنیت اطلاعات
- داخلی
- نمونه
- اطلاعات
- داخلی
- به
- سرمایه گذاری
- نیست
- صادر
- صدور
- IT
- ITS
- به خطر اندازد
- JPG
- کلید
- چشم انداز
- بزرگ
- نام
- پارسال
- بعد
- رهبران
- یادگیری
- کمترین
- قانونی
- تیم حقوقی
- قانونا
- کمتر
- wifecycwe
- سبک
- پسندیدن
- لاین
- ارتباط دادن
- کوچک
- ll
- طولانی مدت
- نگاه کنيد
- مطالب
- دستگاه
- فراگیری ماشین
- اصلی
- مدیریت
- مدیریت
- مدیریت می کند
- بسیاری
- ممکن است..
- به معنی
- معیارهای
- قدرت
- کاهش
- تسکین دهنده
- مدل
- مدل
- پول
- اخلاقی
- بیش
- اکثر
- باید
- لازم
- نیاز
- نیازهای
- منفی
- جدید
- فناوری های نوین
- نه
- اوراق قرضه
- واضح
- of
- غالبا
- on
- فقط
- عملیات
- or
- کدام سازمان ها
- سازمان های
- دیگر
- نتایج
- برون سپاری
- نظارت
- بسته
- شریک
- همکاری
- حزب
- عبور می کند
- مجازات
- انجام
- انجام
- شخصی
- پرسنل
- برنامه
- افلاطون
- هوش داده افلاطون
- PlatoData
- امکان
- تمرین
- شیوه های
- قبلی
- پیش بینی می کند
- هدیه
- فشار
- جلوگیری از
- خصوصی
- مشکل
- روند
- فرآیندهای
- تولید می کند
- تولید
- برنامه
- مناسب
- حفاظت
- فشار
- سوال
- RE
- دلیل
- اطمینان بخش است
- گرفتن
- بازتاب
- تنظیم
- صنایع تنظیم شده
- مقررات
- ارتباط
- روابط
- جایگزین کردن
- نیاز
- مسئوليت
- نتایج
- بررسی
- بررسی
- راست
- خطر
- مدیریت ریسک
- نقشه راه
- نقش
- هجوم بردن
- s
- پادمان
- ذخیره
- پس انداز
- یکپارچه
- SEC
- امن
- تیم امنیت لاتاری
- اقدامات امنیتی
- تهدیدات امنیتی
- دیدن
- به نظر می رسد
- حساس
- جداگانه
- جدی
- تنظیم
- مجموعه
- محیط
- به اشتراک گذاشته شده
- ریختن
- درخشان است
- کوتاه مدت
- باید
- امضای
- ساده
- نرم افزار
- توسعه نرم افزار
- جامد
- خاص
- صحنه
- شروع
- حاکی
- ساقه ها
- گام
- مراحل
- هنوز
- داستان
- استراتژی
- ضربه
- اعتصاب
- قوی
- موفقیت
- چنین
- رنج
- کت و شلوار
- پشتیبانی
- سطح
- همکاری
- تاکتیک
- خیاط
- گرفتن
- تیم
- تیم ها
- فن آوری
- فن آوری
- قوانین و مقررات
- نسبت به
- که
- La
- شان
- آنها
- خودشان
- آنجا.
- اینها
- آنها
- فکر می کنم
- تفکر
- سوم
- شخص ثالث
- این
- کامل
- به طور کامل
- کسانی که
- تهدید
- سه
- از طریق
- روابط
- به
- امروز
- بالا
- شفافیت
- قابل اعتماد
- غافل
- زیر
- فهمیدن
- درک
- منحصر به فرد
- استفاده کنید
- با استفاده از
- Ve
- فروشنده
- فروشندگان
- بررسی شده
- می خواهم
- بود
- we
- خوب
- بود
- چی
- چه زمانی
- که
- در حین
- WHO
- اراده
- مایل
- با
- بدون
- مشغول به کار
- کارها
- خواهد بود
- سال
- سال
- زفیرنت