Mitigating Third-Party Risk Requires A Collaborative, Thorough Approach

بازنشر افلاطون

دنبال: 0

Mitigating Third-Party Risk Requires a Collaborative, Thorough Approach PlatoBlockchain Data Intelligence. Vertical Search. Ai.

نظر

کاهش خطرات شخص ثالث ممکن است با در نظر گرفتن قوانین جدید همراه با تاکتیک های پیشرفته تر مجرمان سایبری دلهره آور به نظر برسد. با این حال، بیشتر سازمان‌ها از آن چیزی که فکر می‌کنند دارای نمایندگی و انعطاف‌پذیری بیشتری هستند. مدیریت ریسک شخص ثالث را می توان بر اساس شیوه های حاکمیت ریسک موجود و کنترل های امنیتی که در حال حاضر در شرکت اجرا می شود، ایجاد کرد. چیزی که در مورد این مدل اطمینان‌بخش است این است که به این معنی است که سازمان‌ها برای کاهش موفقیت‌آمیز ریسک شخص ثالث مجبور نیستند به طور کامل حفاظت موجود خود را کنار بگذارند - و این فرهنگ بهبود تدریجی و مستمر را تشویق می‌کند.

ریسک شخص ثالث یک چالش منحصر به فرد برای سازمان ها ایجاد می کند. در ظاهر، شخص ثالث می تواند قابل اعتماد به نظر برسد. اما بدون شفافیت کامل در عملکرد داخلی آن فروشنده شخص ثالث، چگونه یک سازمان می تواند اطمینان حاصل کند که داده هایی که به آنها سپرده شده است امن هستند؟

اغلب، سازمان ها به دلیل روابط طولانی مدتی که با فروشندگان شخص ثالث خود دارند، این سوال مبرم را کم اهمیت می دانند. از آنجایی که آنها 15 سال با یک فروشنده شخص ثالث کار کرده اند، هیچ دلیلی برای به خطر انداختن رابطه خود با درخواست "زیر سرپوش" نمی بینند. با این حال، این طرز فکر خطرناک است - یک حادثه سایبری می تواند در زمانی یا جایی که کمترین انتظار را داشته باشد رخ دهد.

چشم انداز در حال تغییر

هنگامی که یک نقض داده رخ می دهد، نه تنها می توان سازمان را به عنوان یک نهاد جریمه کرد، بلکه ممکن است عواقب شخصی نیز صادر شود. سال گذشته، FDIC دستورالعمل های خود را در مورد ریسک شخص ثالث تشدید کرد، زمینه را برای سایر صنایع فراهم می کند تا از آن پیروی کنند. با ظهور فناوری‌های جدید مانند هوش مصنوعی، نتایج سوء مدیریت داده‌ها توسط شخص ثالث می‌تواند وحشتناک باشد. مقررات دریافتی این عواقب جدی را با اعمال مجازات های سخت برای کسانی که کنترل های قوی ایجاد نکرده اند، منعکس می کند.

علاوه بر مقررات جدید، ظهور فروشندگان شخص چهارم و حتی پنجم باید سازمان ها را تشویق کند تا داده های خارجی خود را ایمن کنند. نرم‌افزار روش ساده و داخلی ۱۰ سال پیش نیست – امروزه داده‌ها از دست‌های بسیاری عبور می‌کنند، و با اضافه شدن هر پیوند به زنجیره داده، تهدیدات امنیتی افزایش می‌یابد در حالی که نظارت دشوارتر می‌شود. برای مثال، اگر شخص ثالث بررسی‌شده داده‌های مشتری خصوصی را به یک شخص چهارم سهل‌انگیز برون‌سپاری کند و سازمان از آن بی‌اطلاع باشد، انجام بررسی‌های لازم بر روی یک فروشنده شخص ثالث سود چندانی ندارد.

پنج مرحله ساده خارج از جعبه

با نقشه راه درست، سازمان ها می تواند با موفقیت ریسک شخص ثالث را کاهش دهد. بهتر از آن، سرمایه‌گذاری‌های پرهزینه و مخرب در فناوری همیشه ضروری نیستند. برای شروع، آنچه سازمان ها هنگام انجام بررسی های لازم به آن نیاز دارند، یک برنامه معقول، پرسنل توانمندی که مایل به خرید هستند، و ارتباط بیشتر بین تیم های فناوری اطلاعات، امنیت و کسب و کار است.

اولین قدم درک کامل چشم انداز فروشنده است. در حالی که این امر ممکن است بدیهی به نظر برسد، بسیاری از سازمان ها، به ویژه شرکت های بزرگی که بودجه ای برای برون سپاری دارند، از این مرحله حیاتی غفلت می کنند. در حالی که ایجاد رابطه عجولانه با فروشنده شخص ثالث ممکن است در کوتاه مدت موجب صرفه جویی در هزینه شود، اما در صورت وقوع نقض داده و جریمه های سنگین سازمان، تمام این پس انداز ها پاک می شود.

پس از بررسی چشم‌انداز فروشنده، سازمان‌ها باید تعیین کنند که کدام نقش‌های شخص ثالث «بسیار حیاتی» هستند – این نقش‌ها ممکن است از نظر عملیاتی حیاتی باشند یا داده‌های حساس را پردازش کنند. بر اساس اهمیت، فروشندگان باید بر اساس سطوح گروه بندی شوند، که امکان انعطاف پذیری در نحوه ارزیابی، بررسی و مدیریت فروشنده را سازمان فراهم می کند.

مرتب سازی فروشندگان بر اساس اهمیت آنها می تواند اتکای بیش از حد سازمان ها به فروشندگان شخص ثالث خود را روشن کند. این سازمان ها باید از خود بپرسند: اگر این رابطه ناگهان قطع شود، آیا ما یک برنامه پشتیبان داریم؟ چگونه می‌توانیم این عملکرد را در حالی که به طور یکپارچه به عملیات روزمره ادامه می‌دهیم جایگزین کنیم؟

گام سوم، تدوین برنامه ای برای حکمرانی است. باید بین سه بازوی اصلی یک سازمان هم افزایی وجود داشته باشد تا به طور موثر بررسی لازم را انجام دهد و ریسک را مدیریت کند - تیم امنیتی حفره‌های برنامه امنیتی فروشنده را روشن می‌کند، تیم حقوقی ریسک قانونی را تعیین می‌کند و تیم تجاری آبشار منفی را پیش‌بینی می‌کند. اگر داده ها یا عملیات در معرض خطر قرار گیرند، بر عملیات تأثیر می گذارد. کلید ایجاد حکمرانی مستحکم، تنظیم برنامه متناسب با نیازهای منحصر به فرد سازمان است. این امر به ویژه در مورد سازمان هایی که در صنایع کمتر تنظیم شده هستند کاربرد دارد.

مرحله حاکمیت شامل تهیه پیش نویس تعهدات قراردادی است. به عنوان مثال، اغلب در محاسبات ابری، رهبران کسب و کار به اشتباه برای امضای قرارداد عجله می کنند بدون اینکه بدانند برخی اقدامات امنیتی ممکن است در بسته پایه گنجانده شود یا نباشد. تعهدات قراردادی اغلب وابسته به صنعت است، اما یک بند امنیتی استاندارد نیز باید ایجاد شود. به عنوان مثال، اگر ما در حال ارزیابی یک شرکت تحویل هستیم، ممکن است تمرکز کمتری روی فرآیند چرخه عمر توسعه نرم‌افزار فروشنده (SDLC) و بیشتر در مورد اقدامات انعطاف‌پذیری آن‌ها وجود داشته باشد. با این حال، اگر در حال ارزیابی یک شرکت نرم‌افزاری هستیم، می‌خواهیم روی فرآیندهای SDLC فروشنده تمرکز کنیم، مانند اینکه کد چگونه بازبینی می‌شود و اقدامات حفاظتی برای تولید به چه شکل است.

در نهایت، سازمان ها نیاز به توسعه یک استراتژی خروج دارند. چگونه یک سازمان کاملاً از یک شخص ثالث جدا می شود و در عین حال اطمینان می دهد که داده های مشتری آنها پاک شده است؟ مواردی وجود داشته است که شرکتی ارتباط خود را با فروشنده قطع می‌کند تا سال‌ها بعد تماسی دریافت کند که به آنها اطلاع می‌دهد که شریک قبلی‌شان با داده‌ها در معرض خطر قرار گرفته است و اطلاعات مشتری‌شان فاش شده است - علیرغم اینکه فرض بر این بود که این داده‌ها پاک شده است. اخلاق داستان: فرض نکنید. علاوه بر نقض تصادفی داده، این احتمال نیز وجود دارد که فروشندگان شخص ثالث از داده‌های شریک سابق برای توسعه داخلی استفاده کنند، مانند استفاده از آن داده‌ها برای ساخت مدل‌های یادگیری ماشین. سازمان‌ها باید با بیان اینکه چگونه فروشندگان داده‌ها را در صورت پایان شراکت پاک می‌کنند و اگر این کار را نکنند، چه عواقبی خواهد داشت، از این امر جلوگیری کنند.

فرهنگ مسئولیت مشترک و بهبود مستمر ایجاد کنید

اتخاذ یک رویکرد تیمی برای انجام بررسی دقیق به این معنی است که مدیر ارشد امنیت اطلاعات (CISO) مجبور نیست به طور کامل مسئولیت حذف یک فروشنده شخص ثالث را بر عهده بگیرد. را اتهامات SEC علیه SolarWinds یک سابقه نگران کننده ایجاد کنید - یک CISO می تواند سقوط کند، حتی اگر مشکل از ناکارآمدی سازمانی ناشی شود. اگر تیم‌های فناوری اطلاعات و کسب‌وکار از CISO در بررسی فروشندگان شخص ثالث حمایت کنند، زمینه را برای همکاری‌های بین تیمی آینده فراهم می‌کند، خرید سازمان را افزایش می‌دهد و نتایج بهتری را در مورد امنیت ایجاد می‌کند.

محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
منبع: https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach

تمبر زمان: مارس 25، 2024

تمبر زمان: ژان 8، 2024

کاهش ریسک شخص ثالث به یک رویکرد مشارکتی و کامل نیاز دارد

بازنشر افلاطون

چشم انداز در حال تغییر

پنج مرحله ساده خارج از جعبه

فرهنگ مسئولیت مشترک و بهبود مستمر ایجاد کنید

بیشتر از تاریک خواندن

مایکروسافت در حال دریافت یک CISO "خارجی" جدید است

تحلیلگران از توصیه های آژانس امنیت ملی برای توسعه دهندگان برای استفاده از زبان های ایمن برای حافظه استقبال می کنند.

نگرانی در مورد حملات DDoS با وجود افزایش حوادث کاهش می یابد

بدافزار مبتنی بر GPT «DarkBERT» در کل تاریک وب راه می‌رود

حمله سایبری به شرکت فین‌تک، تجارت مشتقات را در سطح جهانی مختل می‌کند

6 نکته CISO از راهنمای اعتماد صفر آژانس امنیت ملی

استراتژی نیروی کار سایبری کاخ سفید: بدون راه حل سریع برای کمبود مهارت

استارت‌آپ جدید OpsHelm با پیکربندی‌های نادرست ابری مقابله می‌کند

4 اشتباه اصلی در برنامه های امنیتی که باید از آنها اجتناب کنید

آمریکا و اسرائیل از جاسوس هلندی برای راه اندازی بدافزار استاکس نت علیه ایران استفاده کردند

درباره‌ ما

جستجوی عمودی و هوش مصنوعی

سکو

همیشه در ارتباط ماندن

حساب