Kolmannen osapuolen riskin vähentäminen edellyttää yhteistoimintaa ja perusteellista lähestymistapaa

KOMMENTIT

Kolmannen osapuolen riskien vähentäminen voi tuntua pelottavalta, kun otetaan huomioon tulevien säädösten räjähdys yhdistettynä kyberrikollisten yhä kehittyneempään taktiikoihin. Useimmilla organisaatioilla on kuitenkin enemmän toimivapautta ja joustavuutta kuin he uskovatkaan. Kolmannen osapuolen riskienhallinta voidaan rakentaa yhtiössä tällä hetkellä käytössä olevien riskienhallintakäytäntöjen ja turvallisuuskontrollien päälle. Tässä mallissa on rauhoittavaa, että se tarkoittaa, että organisaatioiden ei tarvitse kokonaan luopua olemassa olevasta suojauksestaan ​​onnistuneesti pienentääkseen kolmannen osapuolen riskejä – ja tämä kannustaa asteittaisen ja jatkuvan parantamisen kulttuuriin. 

Kolmannen osapuolen riski on ainutlaatuinen haaste organisaatioille. Pinnalla katsottuna kolmas osapuoli voi vaikuttaa luotettavalta. Mutta ilman täydellistä avoimuutta kyseisen kolmannen osapuolen toimittajan sisäiseen toimintaan, kuinka organisaatio voi varmistaa, että niille uskotut tiedot ovat turvallisia?

Usein organisaatiot vähättelevät tätä kiireellistä kysymystä pitkäaikaisten suhteidensa vuoksi kolmansien osapuolien kanssa. Koska he ovat työskennelleet kolmannen osapuolen toimittajan kanssa 15 vuotta, he eivät näe mitään syytä vaarantaa suhdettaan pyytämällä "katsomaan konepellin alle". Tämä ajattelutapa on kuitenkin vaarallinen – kybertapahtuma voi iskeä silloin tai siellä, missä sitä vähiten odottaa.

Muuttuva maisema

Kun tietoturvaloukkaus iskee, organisaatiota voidaan sakottaa kokonaisuutena, vaan myös henkilökohtaisia ​​seurauksia. Viime vuonna, FDIC tiukensi suuntaviivojaan kolmansien osapuolien riskeistä, joka luo alustan muille teollisuudenaloille seurata esimerkkiä. Uusien teknologioiden, kuten tekoälyn, ilmaantumisen myötä kolmannen osapuolen suorittaman tietojen huonon hallinnan seuraukset voivat olla ikäviä. Tulevat määräykset heijastavat näitä vakavia seurauksia määräämällä ankaria rangaistuksia niille, jotka eivät ole kehittäneet vahvaa valvontaa.

Uusien säännösten lisäksi neljännen ja jopa viidennen osapuolen toimittajien ilmaantumisen pitäisi kannustaa organisaatioita suojaamaan ulkoisia tietojaan. Ohjelmisto ei ole niin yksinkertainen, sisäinen käytäntö kuin 10 vuotta sitten – nykyään tiedot kulkevat useiden käsien kautta, ja jokaisen lisätyn linkin myötä tietoketjuun turvallisuusuhat lisääntyvät, kun taas valvonta vaikeutuu. Esimerkiksi kolmannen osapuolen toimittajan asianmukaisesta huolellisuudesta ei ole juurikaan hyötyä, jos tarkastettu kolmas osapuoli ulkoistaa yksityiset asiakastiedot huolimattomalle neljännelle osapuolelle, eikä organisaatio ole tietoinen siitä.

Viisi yksinkertaista käyttöönottovaihetta

Oikealla etenemissuunnitelmalla organisaatiot voi onnistuneesti pienentää kolmannen osapuolen riskiä. Mikä parasta, kalliita ja häiritseviä teknologiainvestointeja ei aina tarvita. Ensinnäkin se, mitä organisaatiot tarvitsevat due diligence -tarkastuksessa, on järkevä suunnitelma, osaava ja sisäänostokykyinen henkilöstö sekä tehostettu viestintä IT-, turvallisuus- ja liiketoimintatiimien välillä.

Ensimmäinen askel on ymmärtää myyjämaisemaa perusteellisesti. Vaikka tämä saattaa tuntua itsestään selvältä, monet organisaatiot, erityisesti suuret yritykset, joilla on budjetit ulkoistamiseen, laiminlyövät tämän ratkaisevan vaiheen. Vaikka hätäinen kolmannen osapuolen toimittajasuhteen solmiminen voi säästää rahaa lyhyellä aikavälillä, kaikki säästöt häviävät, jos tapahtuu tietomurto ja organisaatiolle uhkaa mojovia sakkoja.

Tutkittuaan toimittajaympäristön organisaatioiden tulee määrittää, mitkä kolmannen osapuolen roolit ovat "kriittisiä" – nämä roolit voivat olla toiminnallisesti kriittisiä tai käsitellä arkaluonteisia tietoja. Kriittisuuden perusteella toimittajat tulisi ryhmitellä tasojen mukaan, mikä mahdollistaa joustavuuden siinä, miten organisaatio arvioi, arvioi ja hallitsee toimittajaa.

Toimittajien lajittelu niiden kriittisyyden mukaan voi tuoda valoa organisaatioiden liialliseen riippuvuuteen kolmansien osapuolien toimittajiin. Näiden organisaatioiden on kysyttävä itseltään: Jos tämä suhde yhtäkkiä katkeaisi, onko meillä varasuunnitelmaa? Miten korvaamme tämän toiminnon samalla, kun jatkamme saumattomasti päivittäistä toimintaa?

Kolmas vaihe on hallintosuunnitelman laatiminen. Organisaation kolmen päähaaran välillä on oltava synergiaa, jotta due diligence voidaan suorittaa tehokkaasti ja riskit hallita – turvallisuustiimi valaisee toimittajan tietoturvaohjelman aukkoja, lakitiimi määrittää oikeudellisen riskin ja liiketoimintatiimi ennustaa negatiivisen kaskadin. vaikutus toimintoihin, jos tiedot tai toiminnot vaarantuvat. Avain vakaan hallinnon luomiseen on räätälöidä suunnitelma organisaation ainutlaatuisten tarpeiden mukaan. Tämä koskee erityisesti vähemmän säänneltyjen toimialojen organisaatioita.

Hallintovaiheeseen sisältyy sopimusvelvoitteiden laatiminen. Esimerkiksi pilvipalveluissa yritysjohtajat kiirehtivät usein erehdyksessä allekirjoittamaan sopimuksen ymmärtämättä, että tietyt turvatoimenpiteet voivat sisältyä tai olla sisällyttämättä peruspakettiin. Sopimusvelvoitteet ovat usein toimialakohtaisia, mutta myös standardoitu turvalauseke olisi kehitettävä. Esimerkiksi, jos arvioimme toimitusyritystä, toimittajan ohjelmistokehityksen elinkaaren (SDLC) prosessissa voi olla vähemmän huomiota ja enemmän sen kestävyystoimenpiteitä. Jos kuitenkin arvioimme ohjelmistoyritystä, haluamme keskittyä toimittajan SDLC:n prosesseihin, kuten siihen, miten koodi tarkistetaan ja miltä tuotantoon siirtymisen suojatoimet näyttävät. 

Lopuksi organisaatioiden on kehitettävä irtautumisstrategia. Miten organisaatio erottuu selkeästi kolmannesta osapuolesta ja varmistaa samalla, että heidän asiakasdatansa puhdistetaan? On ollut tapauksia, joissa yritys katkaisee yhteyden toimittajaan vain saadakseen vuosia myöhemmin puhelun, jossa heille kerrotaan, että heidän entinen kumppaninsa joutui tietomurron kohteeksi ja että heidän asiakkaansa tiedot paljastettiin – vaikka oletettiin, että tiedot on poistettu. Tarinan moraali: Älä oleta. Vahingossa tapahtuvan tietomurron lisäksi on myös mahdollista, että kolmannen osapuolen toimittajat käyttävät entisen kumppanin tietoja sisäiseen kehittämiseen, kuten koneoppimismallien rakentamiseen. Organisaatioiden on estettävä tämä ilmoittamalla selkeästi, täsmällisesti ja oikeudellisesti sitovasti, kuinka toimittajat poistavat tiedot, jos kumppanuus päättyy, ja mitä seurauksia on, jos he eivät näin tee.

Luo yhteisen vastuun ja jatkuvan parantamisen kulttuuri 

Tiimityöskentely due diligence -tarkastuksen suorittamisessa tarkoittaa, että tietoturvapäällikön (CISO) ei tarvitse ottaa täysin vastuuta kolmannen osapuolen toimittajan riskien poistamisesta. The SEC:n syytteet SolarWindsia vastaan Luo huolestuttava ennakkotapaus – CISO voi kaatua, vaikka ongelma johtuisi organisaation laajuisesta toimintahäiriöstä. Jos IT- ja yritystiimit tukevat CISO:ta ulkopuolisten toimittajien selvittämisessä, se luo pohjan tulevalle tiimien väliselle yhteistyölle, lisää organisaation sisäänostoa ja tuottaa parempia tuloksia turvallisuuden suhteen.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach