Mitigasi Risiko Pihak Ketiga Membutuhkan Pendekatan yang Kolaboratif dan Menyeluruh

KOMENTAR

Memitigasi risiko pihak ketiga mungkin tampak sulit mengingat banyaknya peraturan yang akan datang ditambah dengan semakin canggihnya taktik penjahat dunia maya. Namun, sebagian besar organisasi memiliki lebih banyak hak pilihan dan fleksibilitas daripada yang mereka kira. Manajemen risiko pihak ketiga dapat dibangun berdasarkan praktik tata kelola risiko dan kontrol keamanan yang ada yang saat ini diterapkan di perusahaan. Hal yang meyakinkan tentang model ini adalah bahwa hal ini berarti bahwa organisasi tidak harus sepenuhnya menghilangkan perlindungan yang ada agar berhasil memitigasi risiko pihak ketiga — dan hal ini mendorong budaya perbaikan secara bertahap dan berkelanjutan. 

Risiko pihak ketiga menghadirkan tantangan unik bagi organisasi. Di permukaan, pihak ketiga tampak dapat dipercaya. Namun tanpa transparansi penuh mengenai cara kerja vendor pihak ketiga tersebut, bagaimana sebuah organisasi dapat memastikan bahwa data yang dipercayakan kepada mereka aman?

Seringkali, organisasi meremehkan pertanyaan mendesak ini, karena hubungan jangka panjang yang mereka miliki dengan vendor pihak ketiga. Karena mereka telah bekerja dengan vendor pihak ketiga selama 15 tahun, mereka tidak melihat alasan untuk membahayakan hubungan mereka dengan meminta untuk “melihat ke balik terpal.” Namun, pemikiran seperti ini berbahaya – insiden dunia maya dapat terjadi pada saat atau di tempat yang tidak terduga.

Pemandangan yang Berubah

Ketika pelanggaran data terjadi, organisasi tidak hanya dapat didenda secara keseluruhan, namun konsekuensi pribadi juga dapat dikenakan. Tahun lalu, FDIC memperketat pedomannya mengenai risiko pihak ketiga, menyiapkan panggung bagi industri lain untuk mengikuti jejaknya. Dengan munculnya teknologi baru seperti kecerdasan buatan, akibat dari kesalahan pengelolaan data oleh pihak ketiga bisa sangat buruk. Peraturan yang baru akan mencerminkan konsekuensi serius ini dengan memberikan hukuman yang keras kepada mereka yang belum mengembangkan kontrol yang kuat.

Selain peraturan baru, munculnya vendor pihak keempat dan bahkan kelima harus memberikan insentif bagi organisasi untuk mengamankan data eksternal mereka. Perangkat lunak bukanlah praktik internal yang sederhana seperti 10 tahun yang lalu — saat ini, data melewati banyak tangan, dan dengan setiap tautan yang ditambahkan ke rantai data, ancaman keamanan meningkat sementara pengawasan menjadi lebih sulit. Misalnya, melakukan uji tuntas yang tepat terhadap vendor pihak ketiga tidak akan banyak memberikan manfaat jika pihak ketiga yang diperiksa mengalihkan data klien pribadi ke pihak keempat yang lalai dan organisasi tidak menyadarinya.

Lima Langkah Sederhana yang Luar Biasa

Dengan peta jalan yang tepat, organisasi dapat berhasil memitigasi risiko pihak ketiga. Lebih baik lagi, investasi teknologi yang mahal dan disruptif tidak selalu diperlukan. Pertama-tama, apa yang dibutuhkan organisasi ketika melakukan uji tuntas adalah rencana yang masuk akal, personel yang cakap dan bersedia untuk ikut serta, serta komunikasi yang lebih baik antara tim TI, keamanan, dan bisnis.

Langkah pertama adalah memahami lanskap vendor secara menyeluruh. Meskipun hal ini tampak jelas, banyak organisasi, terutama perusahaan besar yang memiliki anggaran untuk melakukan outsourcing, mengabaikan langkah penting ini. Meskipun menjalin hubungan dengan vendor pihak ketiga secara tergesa-gesa dapat menghemat uang dalam jangka pendek, semua penghematan tersebut akan terhapus jika terjadi pelanggaran data dan organisasi menghadapi denda yang besar.

Setelah meneliti lanskap vendor, organisasi harus menentukan peran pihak ketiga mana yang “penting” — peran ini mungkin penting secara operasional atau memproses data sensitif. Berdasarkan kekritisannya, vendor harus dikelompokkan berdasarkan tingkatan, yang memungkinkan fleksibilitas dalam cara organisasi menilai, meninjau, dan mengelola vendor.

Menyortir vendor berdasarkan tingkat kekritisannya dapat menjelaskan ketergantungan berlebihan yang mungkin dimiliki organisasi terhadap vendor pihak ketiga. Organisasi-organisasi ini harus bertanya pada diri mereka sendiri: Jika hubungan ini tiba-tiba berakhir, apakah kita mempunyai rencana cadangan? Bagaimana kami mengganti fungsi ini sambil tetap melanjutkan operasi sehari-hari dengan lancar?

Langkah ketiga adalah mengembangkan rencana tata kelola. Harus ada sinergi antara tiga bagian utama organisasi agar dapat melakukan uji tuntas dan mengelola risiko secara efektif—tim keamanan menyoroti kelemahan dalam program keamanan vendor, tim hukum menentukan risiko hukum, dan tim bisnis memperkirakan dampak negatif yang akan terjadi. berdampak pada operasi jika data atau operasi dikompromikan. Kunci untuk menciptakan tata kelola yang solid adalah menyesuaikan rencana agar sesuai dengan kebutuhan unik organisasi. Hal ini terutama berlaku untuk organisasi di industri yang kurang diatur.

Langkah tata kelola mencakup penyusunan kewajiban kontrak. Misalnya, sering kali dalam komputasi awan, para pemimpin bisnis secara keliru terburu-buru menandatangani kontrak tanpa memahami bahwa langkah-langkah keamanan tertentu mungkin disertakan atau tidak disertakan dalam paket dasar. Kewajiban kontrak seringkali bergantung pada industri, namun klausul keamanan standar juga harus dikembangkan. Misalnya, jika kita mengevaluasi perusahaan pengiriman, mungkin kita kurang fokus pada proses siklus hidup pengembangan perangkat lunak (SDLC) vendor dan lebih fokus pada langkah-langkah ketahanannya. Namun, jika kita mengevaluasi sebuah perusahaan perangkat lunak, kita ingin fokus pada proses SDLC vendor, seperti bagaimana kode ditinjau dan seperti apa perlindungan yang diterapkan pada produksi. 

Terakhir, organisasi perlu mengembangkan strategi keluar. Bagaimana sebuah organisasi dapat memisahkan diri dari pihak ketiga sambil memastikan bahwa data kliennya telah dihapus? Ada beberapa kasus di mana sebuah perusahaan memutuskan hubungan dengan vendor hanya untuk menerima telepon bertahun-tahun kemudian yang memberi tahu mereka bahwa mantan mitra mereka mengalami gangguan data dan bahwa data klien mereka terekspos — meskipun ada asumsi bahwa data ini telah dihapus. Pesan moral dari cerita ini: Jangan berasumsi. Selain pelanggaran data yang tidak disengaja, ada juga kemungkinan vendor pihak ketiga akan menggunakan data mantan mitra untuk pengembangan internal, seperti menggunakan data tersebut untuk membuat model pembelajaran mesin. Organisasi harus mencegah hal ini dengan menyatakan secara jelas, spesifik, dan mengikat secara hukum bagaimana vendor akan menghapus data jika kemitraan berakhir, dan apa konsekuensinya jika mereka tidak melakukannya.

Ciptakan Budaya Tanggung Jawab Bersama dan Perbaikan Berkelanjutan 

Mengambil pendekatan tim dalam melakukan uji tuntas berarti kepala petugas keamanan informasi (CISO) tidak harus sepenuhnya memikul tanggung jawab untuk mengurangi risiko vendor pihak ketiga. Itu Tuduhan SEC terhadap SolarWinds menjadi preseden yang memprihatinkan — CISO dapat mengalami kegagalan, meskipun masalahnya berasal dari disfungsi seluruh organisasi. Jika tim TI dan bisnis mendukung CISO dalam memeriksa vendor pihak ketiga, hal ini akan mempersiapkan kolaborasi lintas tim di masa depan, meningkatkan dukungan organisasi, dan memberikan hasil yang lebih baik dalam hal keamanan.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach