A pénzügyi szervezetek harmadik felek kiberbiztonsági problémája (Terry Olaes)

A mai pénzintézetek szervezeteik modernizálása érdekében átalakulóban vannak, a hatékonyság növelése érdekében egyre inkább támaszkodnak a működési feladatok harmadik félre történő kiszervezésére. Sok nagy pénzügyi szervezet kiterjedt külső hálózatokkal rendelkezik, amelyek számos beszállítóból és szállítóból állnak. Valójában a Gartner ezt találta

A szervezetek 60% -a több mint 1,000 harmadik féllel dolgozik együtt, és ez a szám csak nőni fog, ahogy a vállalkozások egyre összetettebbek lesznek.

Mivel a pénzügyi szervezetek továbbra is harmadik felekre támaszkodnak, nem lehet eléggé hangsúlyozni az erős kockázatkezelési terv fenntartásának jelentőségét a kockázatok hatékonyabb kezelése és a szabályozási megfelelés biztosítása érdekében. Ezzel a megközelítéssel a pénzügyi szervezetek jobban megérthetik a kibertámadásokkal szembeni sebezhetőségeiket, és ennek megfelelően összpontosíthatják a kárelhárítási erőfeszítéseiket, értékes erőforrásokat takarítva meg a leghatásosabb fenyegetések pontos azonosításával.

Harmadik féltől származó hálózatok kockázata

Bár a harmadik felekkel kötött partnerségek segítenek leegyszerűsíteni az alapvető üzleti funkciókat, növelik a pénzintézetek tétjét a kiberkockázat tekintetében. Ez különösen bonyolulttá válhat, ha nagyon sok entitás és szolgáltatás biztosítható és felügyelhető, valamint ha harmadik fél szervezetei valószínűleg további entitásokhoz csatlakoznak, amelyek szintén kiberbiztonsági kockázatok forrását jelenthetik. A harmadik felek lehetséges biztonsági problémáinak katalógusa katasztrofális lehet, fenyegetve mind az alkalmazottak, mind az ügyfelek érzékeny információit, a pénzügyi adatokat, valamint a szervezet ellátási láncán belüli műveleteket és más, kiemelt rendszerekhez hozzáféréssel rendelkező külső entitásokat. A jelentés a
Ponemon Intézet megállapította, hogy a vállalkozások 51%-a szenvedett el harmadik fél által okozott adatszivárgást.

A rendszerek és az érzékeny adatok harmadik felek kockázataival szembeni védelme érdekében számos pénzügyi szolgáltató szervezet fektet be biztosítási folyamatokba, amelyek különböző mértékben megkövetelik a harmadik felek kibermegfelelőségének független értékelését behatolási tesztek vagy SOC 2 Type 2 tanúsítás révén. Noha ez a megközelítés praktikus, ez a fajta értékelés költséges, láthatósági hézagokkal rendelkezik, és még mindig csak a kockázat közelítését jelenti egyetlen időpontban.

A harmadik fél kockázatkezelésének új megközelítése

A harmadik féltől származó hálózatok növekvő összetettsége különösen nagy kihívást jelent a sebezhetőségek által okozott hatások megismerésében, különösen a nagyobb szervezetek számára. A pénzügyi szervezeteknek modern megközelítésre van szükségük a kiberbiztonság terén, amely képes azonosítani, mérni, rangsorolni és kezelni minden kockázatot. A harmadik felektől származó kockázatok leküzdésére alkalmas kockázatközpontú megközelítés kialakításához a pénzügyi szervezeteknek meg kell fontolniuk néhány kritikus stratégia végrehajtását:

• Kockázati pontozás: A kiberkockázati pontozás objektív keretet biztosít a biztonsági helyzet értékeléséhez, amely figyelembe veszi a szervezeten belüli és kívüli kockázati tényezők széles skáláját. Azáltal, hogy ezeket az értékeléseket a kvantitatív kiberkockázat könnyen áttekinthető reprezentációjává alakítják, a szervezetek jobban megérthetik, mennyire biztonságosak eszközeik, és hol kell javítaniuk.
• Sebezhetőségi prioritás: Ez a stratégia automatikusan figyelembe veszi a fenyegetések intelligenciáját, az eszközök kontextusát és a támadási útvonal elemzését. Az összetett környezettel és korlátozott erőforrásokkal rendelkező szervezetek a legjelentősebb kockázatot jelentő sebezhetőségek előtérbe helyezésével és mérséklésével oda irányíthatják erőfeszítéseiket, ahol az számít.
• Expozíciós elemzés: Az expozícióelemzés azonosítja a kihasználható sebezhetőségeket, és összefüggésbe hozza az adatokat a szervezet hálózati konfigurációival és biztonsági vezérlőivel, hogy megállapítsa, a rendszer sebezhető-e a kibertámadásokkal szemben. Ez a stratégia határozza meg, hogy mely támadási vektorok vagy hálózati útvonalak használhatók a sebezhető rendszerek elérésére. Részletesebb opciókat is lehetővé tesz, ha egy harmadik fél elfogadhatatlan kockázatot jelent azáltal, hogy azonosítja a hálózati hozzáférési pontjait, és „kill switch” opciót biztosít a partner offline állapotba hozásához anélkül, hogy ez más partnereket érintene.

A hatékony kiberbiztonsági stratégiáknak folyamatos biztosítékot kell nyújtaniuk a harmadik felek kockázatairól és sebezhetőségeiről. A kiberbiztonság modern, kockázatalapú megközelítése támadásszimulációt, megfelelőséget és láthatóságot tesz lehetővé, amely lehetővé teszi a szervezetek számára az összes belépési és hozzáférési pont megtekintését, valamint útvonal- és expozícióelemzést. A kiberbiztonság kockázatalapú megközelítésével a pénzügyi szervezetek valóban mérsékelhetik a harmadik felek kiberbiztonsági kockázatait.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoAiStream. Web3 adatintelligencia. Felerősített tudás. Hozzáférés itt.
• A jövő pénzverése – Adryenn Ashley. Hozzáférés itt.
• Forrás: https://www.finextra.com/blogposting/24140/the-third-party-cybersecurity-problem-for-financial-organizations?utm_medium=rssfinextra&utm_source=finextrablogs