Il problema della sicurezza informatica di terze parti per le organizzazioni finanziarie (Terry Olaes)

Le odierne istituzioni finanziarie stanno subendo una trasformazione per modernizzare le loro organizzazioni, affidandosi sempre più all'esternalizzazione delle attività operative a terzi per aumentare l'efficienza. Molte grandi organizzazioni finanziarie dispongono di estese reti di terze parti costituite da numerosi fornitori e venditori. In effetti, Gartner l'ha scoperto

60% di organizzazioni lavorare con oltre 1,000 terze parti e quel numero crescerà solo man mano che le aziende diventeranno più complesse.

Poiché le organizzazioni finanziarie continuano ad affidarsi a terze parti, l'importanza di mantenere un solido piano di gestione del rischio non può essere sottolineata abbastanza per gestire i rischi in modo più efficace e garantire la conformità normativa. Attraverso questo approccio, le organizzazioni finanziarie possono ottenere una migliore comprensione delle loro vulnerabilità agli attacchi informatici e concentrare gli sforzi di rimedio di conseguenza, risparmiando risorse preziose identificando con precisione le minacce più incisive.

Il rischio di reti di terze parti

Sebbene le partnership di terze parti aiutino a semplificare le funzioni aziendali essenziali, aumentano anche la posta in gioco per le istituzioni finanziarie in termini di rischio informatico. Ciò può diventare particolarmente complicato con così tante entità e servizi da proteggere e monitorare, così come le organizzazioni di terze parti che potrebbero essere collegate a entità aggiuntive che potrebbero anche essere la fonte del rischio per la sicurezza informatica. Il catalogo di potenziali problemi di sicurezza di terze parti può essere catastrofico, minacciando informazioni sensibili di dipendenti e clienti, dati finanziari, nonché operazioni all'interno della catena di fornitura dell'organizzazione e altre entità esterne che hanno accesso a sistemi privilegiati. Un rapporto del
Ponemon Institute ha rilevato che il 51% delle aziende ha subito una violazione dei dati causata da una terza parte.

Per proteggere i sistemi e i dati sensibili dai rischi di terze parti, molte organizzazioni di servizi finanziari investono in processi di garanzia, che a vari livelli richiedono una valutazione indipendente della conformità informatica di terze parti attraverso test di penetrazione o certificazione SOC 2 Tipo 2. Sebbene questo approccio sia pratico, questo tipo di valutazione è costoso, presenta lacune di visibilità e rappresenta ancora solo un'approssimazione del rischio in un singolo momento.

Un nuovo approccio alla gestione del rischio di terze parti

La crescente complessità delle reti di terze parti ha reso particolarmente difficile ottenere visibilità sull'impatto causato dalle vulnerabilità, in particolare per le organizzazioni più grandi. Le organizzazioni finanziarie hanno bisogno di un approccio moderno alla sicurezza informatica, in grado di identificare, misurare, dare priorità e gestire tutti i rischi. Per creare un approccio incentrato sul rischio in grado di combattere i rischi di terze parti, le organizzazioni finanziarie dovrebbero prendere in considerazione l'implementazione di alcune strategie critiche:

• Punteggio di rischio: Il punteggio del rischio informatico fornisce un quadro oggettivo per la valutazione della posizione di sicurezza che considera un'ampia gamma di fattori di rischio all'interno e all'esterno di un'organizzazione. Convertendo queste valutazioni in una rappresentazione di facile comprensione del rischio informatico quantitativo, le organizzazioni possono comprendere meglio quanto sono sicure le loro risorse e dove devono migliorare.
• Priorità delle vulnerabilità: questa strategia considera automaticamente l'intelligence sulle minacce, il contesto delle risorse e l'analisi del percorso di attacco. Le organizzazioni con ambienti complessi e risorse limitate possono indirizzare i propri sforzi dove conta, dando la priorità e mitigando le vulnerabilità che rappresentano il rischio più significativo.
• Analisi dell'esposizione: l'analisi dell'esposizione identifica le vulnerabilità sfruttabili e correla i dati con le configurazioni di rete e i controlli di sicurezza di un'organizzazione per determinare se un sistema è vulnerabile agli attacchi informatici. Questa strategia determina quali vettori di attacco o percorsi di rete potrebbero essere utilizzati per accedere ai sistemi vulnerabili. Consente inoltre opzioni più granulari quando una terza parte rappresenta un rischio inaccettabile identificando i propri punti di accesso alla rete e fornendo un'opzione "kill switch" per portare il partner offline senza influire su altri partner.

Strategie di sicurezza informatica efficaci devono fornire una garanzia continua dei rischi e delle vulnerabilità di terze parti. Un approccio moderno e basato sul rischio alla sicurezza informatica consente la simulazione degli attacchi, la conformità e la visibilità che consentono alle organizzazioni di vedere tutti i punti di ingresso e di accesso ed eseguire analisi del percorso e dell'esposizione. Implementando un approccio alla sicurezza informatica basato sul rischio, le organizzazioni finanziarie possono realmente mitigare i rischi di sicurezza informatica di terze parti.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoAiStream. Intelligenza dei dati Web3. Conoscenza amplificata. Accedi qui.
• Coniare il futuro con Adryenn Ashley. Accedi qui.
• Fonte: https://www.finextra.com/blogposting/24140/the-third-party-cybersecurity-problem-for-financial-organizations?utm_medium=rssfinextra&utm_source=finextrablogs