COMMENTO
Mitigare il rischio di terze parti può sembrare scoraggiante se si considera la serie di normative in arrivo insieme alle tattiche sempre più avanzate dei criminali informatici. Tuttavia, la maggior parte delle organizzazioni dispone di più libertà d’azione e flessibilità di quanto pensino. La gestione del rischio di terze parti può essere costruita sulla base delle pratiche di governance del rischio esistenti e dei controlli di sicurezza attualmente implementati presso l’azienda. L'aspetto rassicurante di questo modello è che significa che le organizzazioni non devono eliminare completamente la protezione esistente per mitigare con successo il rischio di terze parti, e questo incoraggia una cultura di miglioramento graduale e continuo.
Il rischio di terze parti rappresenta una sfida unica per le organizzazioni. In superficie, una terza parte può sembrare affidabile. Ma senza una completa trasparenza sul funzionamento interno di quel fornitore di terze parti, come può un’organizzazione garantire che i dati a lei affidati siano sicuri?
Spesso le organizzazioni minimizzano questa domanda urgente, a causa dei rapporti di lunga data che hanno con i propri fornitori di terze parti. Poiché lavorano con un fornitore di terze parti da 15 anni, non vedranno alcun motivo per mettere a repentaglio la loro relazione chiedendo di "guardare sotto il cofano". Tuttavia, questa linea di pensiero è pericolosa: un incidente informatico può verificarsi quando e dove meno te lo aspetti.
Un paesaggio che cambia
Quando si verifica una violazione dei dati, non solo l’organizzazione può essere multata come entità, ma possono anche essere previste conseguenze personali. L'anno scorso, la FDIC ha rafforzato le sue linee guida sul rischio di terze parti, ponendo le basi affinché altri settori seguano l’esempio. Con l’emergere di nuove tecnologie come l’intelligenza artificiale, le conseguenze di una cattiva gestione dei dati da parte di terzi possono essere disastrose. Le nuove normative rifletteranno queste gravi conseguenze imponendo dure sanzioni a coloro che non hanno sviluppato controlli rigorosi.
Oltre alle nuove normative, l’emergere di fornitori di quarta e persino di quinta parte dovrebbe incentivare le organizzazioni a proteggere i propri dati esterni. Il software non è una pratica interna semplice come 10 anni fa: oggi i dati passano attraverso molte mani e con ogni collegamento aggiunto alla catena dei dati, le minacce alla sicurezza aumentano mentre la supervisione diventa più difficile. Ad esempio, eseguire un'adeguata due diligence su un fornitore terzo è di scarso vantaggio se la terza parte controllata esternalizza i dati privati del cliente a una quarta parte negligente e l'organizzazione non ne è a conoscenza.
Cinque semplici passaggi pronti all'uso
Con la giusta tabella di marcia, le organizzazioni può mitigare con successo il rischio di terze parti. Meglio ancora, gli investimenti tecnologici costosi e dirompenti non sono sempre necessari. Per cominciare, ciò di cui le organizzazioni hanno bisogno quando eseguono la due diligence è un piano sensato, personale capace disposto a partecipare e una maggiore comunicazione tra i team IT, sicurezza e business.
Il primo passo è comprendere a fondo il panorama dei fornitori. Anche se questo può sembrare ovvio, molte organizzazioni, soprattutto le grandi aziende con budget da esternalizzare, trascurano questo passaggio cruciale. Sebbene stabilire frettolosamente un rapporto con un fornitore di terze parti possa far risparmiare denaro a breve termine, tutti questi risparmi verranno cancellati se si verifica una violazione dei dati e l’organizzazione deve affrontare multe salate.
Dopo aver analizzato il panorama dei fornitori, le organizzazioni dovrebbero determinare quali ruoli di terze parti sono “critici”: questi ruoli potrebbero essere critici dal punto di vista operativo o elaborare dati sensibili. In base alla criticità, i fornitori dovrebbero essere raggruppati per livelli, il che consente flessibilità nel modo in cui l'organizzazione valuta, esamina e gestisce il fornitore.
Ordinare i fornitori in base alla loro criticità può far luce sull’eccessiva dipendenza che le organizzazioni potrebbero avere dai propri fornitori di terze parti. Queste organizzazioni devono chiedersi: se questa relazione dovesse interrompersi improvvisamente, abbiamo un piano di riserva? Come sostituiremmo questa funzione continuando senza problemi le operazioni quotidiane?
Il terzo passo è sviluppare un piano di governance. È necessaria una sinergia tra i tre rami principali di un'organizzazione per eseguire in modo efficace la due diligence e gestire il rischio: il team di sicurezza fa luce sulle falle nel programma di sicurezza del fornitore, il team legale determina il rischio legale e il team aziendale prevede la cascata negativa effetto sulle operazioni se i dati o le operazioni vengono compromessi. La chiave per creare una governance solida è adattare il piano alle esigenze specifiche di un'organizzazione. Ciò è particolarmente applicabile alle organizzazioni dei settori meno regolamentati.
La fase di governance prevede la redazione degli obblighi contrattuali. Ad esempio, spesso nel cloud computing, i leader aziendali si affrettano erroneamente a firmare un contratto senza capire che determinate misure di sicurezza possono o meno essere incluse nel pacchetto di base. Gli obblighi contrattuali dipendono spesso dal settore, ma dovrebbe essere sviluppata anche una clausola di sicurezza standardizzata. Ad esempio, se stiamo valutando una società di consegna, potrebbe esserci meno attenzione al processo SDLC (software development lifecycle) di un fornitore e più alle sue misure di resilienza. Tuttavia, se stiamo valutando un'azienda di software, vorremmo concentrarci sui processi SDLC del fornitore, ad esempio il modo in cui viene rivisto il codice e quali sono le misure di salvaguardia da applicare alla produzione.
Infine, le organizzazioni devono sviluppare una strategia di uscita. In che modo un'organizzazione può separarsi in modo netto da terze parti garantendo al tempo stesso che i dati dei clienti vengano cancellati? Ci sono stati casi in cui un'azienda rompe i legami con un fornitore solo per ricevere una chiamata anni dopo che la informava che il suo ex partner aveva subito una compromissione dei dati e che i dati dei suoi clienti erano stati esposti, nonostante si presumesse che tali dati fossero stati cancellati. Morale della favola: non dare per scontato. Oltre a una violazione accidentale dei dati, esiste anche la possibilità che fornitori di terze parti utilizzino i dati di un ex partner per lo sviluppo interno, ad esempio utilizzando tali dati per creare modelli di machine learning. Le organizzazioni devono evitare che ciò accada dichiarando in termini chiari, specifici e giuridicamente vincolanti in che modo i fornitori cancelleranno i dati in caso di fine della partnership e quali saranno le conseguenze in caso contrario.
Creare una cultura di responsabilità condivisa e miglioramento continuo
Adottare un approccio di squadra per eseguire la due diligence significa che il responsabile della sicurezza delle informazioni (CISO) non deve assumersi completamente la responsabilità di ridurre i rischi di un fornitore di terze parti. IL Le accuse della SEC contro SolarWinds creare un precedente preoccupante: un CISO può cadere, anche se il problema deriva da una disfunzione a livello di organizzazione. Se i team IT e aziendali supportano il CISO nel valutare i fornitori di terze parti, ciò pone le basi per future collaborazioni tra team, aumenta il consenso dell'organizzazione e produce risultati migliori in termini di sicurezza.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach
- :È
- :non
- :Dove
- 10
- 15 anni
- 15%
- 7
- a
- Chi siamo
- accidentale
- aggiunto
- Avanzate
- contro
- agenzia
- fa
- Tutti
- consente
- anche
- sempre
- an
- ed
- apparire
- applicabile
- approccio
- SONO
- braccia
- artificiale
- intelligenza artificiale
- AS
- chiedere
- chiedendo
- valuta il
- assumere
- assunzione
- At
- di riserva
- basato
- Linea di base
- BE
- perché
- diventa
- stato
- essendo
- beneficio
- oltre a
- Meglio
- fra
- rilegatura
- aumenta
- violazione
- Per i bilanci
- costruire
- costruito
- affari
- Dirigenti d'impresa
- ma
- Acquistare
- by
- chiamata
- Materiale
- capace
- casi
- cessate
- certo
- catena
- Challenge
- cambiando
- oneri
- capo
- CISO
- pulire campo
- cliente
- Cloud
- il cloud computing
- codice
- collaborazioni
- collaborativo
- viene
- Comunicazione
- Aziende
- azienda
- completamento di una
- compromesso
- Compromissione
- informatica
- circa
- Conseguenze
- considerando
- continua
- continuo
- contratto
- contrattuale
- controlli
- costoso
- accoppiato
- creare
- Creazione
- critico
- criticità
- cruciale
- Cultura
- Attualmente
- Cyber
- i criminali informatici
- Pericoloso
- dati
- violazione di dati
- giorno per giorno
- consegna
- dipendente
- Nonostante
- Determinare
- determina
- sviluppare
- sviluppato
- Mercato
- difficile
- diligenza
- terribile
- dirompente
- do
- effettua
- doesn
- fare
- don
- dovuto
- ogni
- effetto
- in maniera efficace
- emersione
- incoraggia
- finale
- garantire
- assicurando
- entità
- affidato
- particolarmente
- stabilire
- la valutazione
- Anche
- Evento
- esempio
- esistente
- uscita
- Exit Strategy
- previsto
- esposto
- esterno
- facce
- Autunno
- FDIC
- multato
- fine
- Nome
- cinque
- Flessibilità
- Focus
- seguire
- Nel
- Ex
- Quarto
- da
- completamente
- function
- futuro
- la governance
- graduale
- linee guida
- Mani
- Avere
- porto
- forte
- accresciuta
- Fori
- cappuccio
- Come
- Tuttavia
- HTTPS
- if
- implementato
- miglioramento
- in
- incentivare
- incidente
- incluso
- In arrivo
- incorpora
- Aumento
- sempre più
- industrie
- industria
- informazioni
- informazioni di sicurezza
- interno
- esempio
- Intelligence
- interno
- ai miglioramenti
- Investimenti
- ISN
- Rilasciato
- emittente
- IT
- SUO
- Mettere a repentaglio
- jpg
- Le
- paesaggio
- grandi
- Cognome
- L'anno scorso
- dopo
- capi
- apprendimento
- meno
- Legale
- squadra legale
- legalmente
- meno
- ciclo di vita
- leggera
- piace
- linea
- LINK
- piccolo
- ll
- di lunga data
- Guarda
- SEMBRA
- macchina
- machine learning
- Principale
- gestire
- gestione
- gestisce
- molti
- Maggio..
- si intende
- analisi
- forza
- Ridurre la perdita dienergia con una
- attenuante
- modello
- modelli
- soldi
- morale
- Scopri di più
- maggior parte
- devono obbligatoriamente:
- necessaria
- Bisogno
- esigenze
- negativo.
- New
- Nuove tecnologie
- no
- obblighi
- ovvio
- of
- di frequente
- on
- esclusivamente
- Operazioni
- or
- organizzazione
- organizzazioni
- Altro
- risultati
- esternalizzare
- svista
- pacchetto
- partner
- Partnership
- partito
- Passi
- sanzioni
- Eseguire
- esecuzione
- cronologia
- Personale
- piano
- Platone
- Platone Data Intelligence
- PlatoneDati
- possibilità
- pratica
- pratiche
- Precedente
- predice
- regali
- premendo
- prevenire
- un bagno
- Problema
- processi
- i processi
- produce
- Produzione
- Programma
- corretto
- protezione
- Spingi
- domanda
- RE
- ragione
- rassicurante
- ricevere
- riflettere
- regolamentati
- industrie regolamentate
- normativa
- rapporto
- Relazioni
- sostituire
- richiede
- responsabilità
- Risultati
- rivisto
- Recensioni
- destra
- Rischio
- gestione del rischio
- tabella di marcia
- ruoli
- corsa
- s
- garanzie
- Risparmi
- Risparmio
- senza soluzione di continuità
- SEC
- sicuro
- problemi di
- Misure di sicurezza
- Minacce alla sicurezza
- vedere
- sembrare
- delicata
- separato
- grave
- set
- Set
- regolazione
- condiviso
- capannone
- brilla
- a breve scadenza
- dovrebbero
- firma
- Un'espansione
- Software
- lo sviluppo del software
- solido
- specifico
- Stage
- inizia a
- affermando
- deriva
- step
- Passi
- Ancora
- Storia
- Strategia
- sciopero
- Scioperi
- forte
- Con successo
- tale
- subito
- Completo
- supporto
- superficie
- sinergia
- tattica
- sarto
- Fai
- team
- le squadre
- Tech
- Tecnologie
- condizioni
- di
- che
- I
- loro
- Li
- si
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- think
- Pensiero
- Terza
- di parti terze standard
- questo
- completo
- a fondo
- quelli
- minacce
- tre
- Attraverso
- Cravatte
- a
- oggi
- top
- Trasparenza
- affidabili sul mercato
- inconsapevole
- per
- capire
- e una comprensione reciproca
- unico
- uso
- utilizzando
- Ve
- venditore
- fornitori
- controllati
- volere
- Prima
- we
- WELL
- sono stati
- Che
- quando
- quale
- while
- OMS
- volere
- disposto
- con
- senza
- lavorato
- lavorazioni
- sarebbe
- anno
- anni
- zefiro