פַּרשָׁנוּת
הפחתת הסיכון של צד שלישי עשויה להיראות מרתיעה כאשר בוחנים את שלל התקנות הנכנסות יחד עם הטקטיקות המתקדמות יותר ויותר של פושעי סייבר. עם זאת, לרוב הארגונים יש יותר סוכנות וגמישות ממה שהם חושבים שהם עושים. ניתן לבנות ניהול סיכונים של צד שלישי על שיטות ניהול סיכונים ובקרות אבטחה קיימות המיושמות כיום בחברה. מה שמרגיע במודל הזה הוא שזה אומר שארגונים לא צריכים לבטל לחלוטין את ההגנה הקיימת שלהם כדי להפחית בהצלחה את הסיכון של צד שלישי - וזה מעודד תרבות של שיפור הדרגתי ומתמשך.
סיכון צד שלישי מהווה אתגר ייחודי לארגונים. על פני השטח, צד שלישי יכול להיראות אמין. אך ללא שקיפות מוחלטת של פעולתו הפנימית של אותו ספק צד שלישי, כיצד יכול ארגון להבטיח שהנתונים המופקדים בידיו מאובטחים?
לעתים קרובות, ארגונים ממעיטים בשאלה הדוחקת הזו, בשל מערכת היחסים ארוכת השנים שיש להם עם ספקי הצד השלישי שלהם. מכיוון שהם עובדים עם ספק צד שלישי במשך 15 שנה, הם לא יראו סיבה לסכן את מערכת היחסים שלהם על ידי בקשה "להסתכל מתחת למכסה המנוע". עם זאת, קו חשיבה זה מסוכן - אירוע סייבר יכול להתרחש מתי או היכן שהוא הכי פחות צפוי.
נוף משתנה
כאשר פרצת נתונים פוגעת, לא רק שהארגון יכול להיות קנס כישות, אלא גם השלכות אישיות עשויות להינתן. שנה שעברה, ה-FDIC החמיר את ההנחיות שלו לגבי סיכון צד שלישי, מכין את הבמה לתעשיות אחרות ללכת בעקבותיה. עם הופעתן של טכנולוגיות חדשות כמו בינה מלאכותית, התוצאות של ניהול שגוי של נתונים על ידי צד שלישי עלולות להיות קשות. תקנות נכנסות ישקפו את ההשלכות החמורות הללו על ידי מתן עונשים קשים למי שלא פיתח בקרות חזקות.
מלבד תקנות חדשות, הופעתם של ספקי צד רביעי ואפילו חמישי צריכה לתמרץ ארגונים לאבטח את הנתונים החיצוניים שלהם. תוכנה היא לא הנוהג הפשוט והפנימי שהיה לפני 10 שנים - כיום, נתונים עוברים דרך ידיים רבות, ועם כל קישור נוסף לשרשרת הנתונים, איומי האבטחה מתגברים בעוד הפיקוח הופך לקשה יותר. לדוגמה, ביצוע בדיקות נאותות נאותות על ספק צד שלישי אינו מועיל במידה והצד השלישי הנבדק מעביר נתונים של לקוחות פרטיים במיקור חוץ לצד רביעי רשלן והארגון אינו מודע לכך.
חמישה צעדים פשוטים מחוץ לקופסה
עם מפת הדרכים הנכונה, ארגונים יכול להפחית בהצלחה סיכון של צד שלישי. יתר על כן, לא תמיד יש צורך בהשקעות טכנולוגיות יקרות ומפריעות. מלכתחילה, מה שארגונים צריכים בעת ביצוע בדיקת נאותות הוא תוכנית הגיונית, כוח אדם מוכשר שמוכן להצטרף, ותקשורת מוגברת בין צוותי ה-IT, האבטחה והעסקים.
הצעד הראשון הוא להבין היטב את נוף הספקים. למרות שזה אולי נראה מובן מאליו, ארגונים רבים, במיוחד חברות גדולות עם תקציבים למיקור חוץ, מזניחים את הצעד המכריע הזה. אמנם הקמת מערכת יחסים עם ספקים עם צד שלישי בחופזה עשויה לחסוך כסף בטווח הקצר, אך כל החיסכון הללו יימחקו אם תתרחש פרצת מידע והארגון יעמוד בפני קנסות כבדים.
לאחר מחקר של נוף הספקים, ארגונים צריכים לקבוע אילו תפקידים של צד שלישי הם "קריטיים" - תפקידים אלה עשויים להיות קריטיים תפעוליים או לעבד נתונים רגישים. בהתבסס על קריטיות, יש לקבץ ספקים לפי שכבות, מה שמאפשר גמישות באופן שבו הארגון מעריך, סוקר ומנהל את הספק.
מיון ספקים לפי קריטיותם יכול לשפוך אור על הסתמכות יתרה של ארגונים על ספקי הצד השלישי שלהם. ארגונים אלה חייבים לשאול את עצמם: אם הקשר הזה היה נפסק פתאום, האם יש לנו תוכנית גיבוי? כיצד נחליף את הפונקציה הזו תוך המשך פעולות יומיומיות בצורה חלקה?
השלב השלישי הוא פיתוח תוכנית ממשל. חייבת להיות סינרגיה בין שלושת הזרועות העיקריות של הארגון כדי לבצע ביעילות בדיקת נאותות ולנהל סיכונים - צוות האבטחה מאיר אור על חורים בתוכנית האבטחה של הספק, הצוות המשפטי קובע את הסיכון המשפטי, והצוות העסקי חוזה את המהלך השלילי השפעה על פעולות אם נתונים או פעולות נפגעים. המפתח ליצירת ממשל מוצק הוא להתאים את התוכנית כך שתתאים לצרכים הייחודיים של הארגון. זה חל במיוחד על ארגונים בתעשיות פחות מוסדרות.
שלב הממשל כולל ניסוח של התחייבויות חוזיות. לדוגמה, לעתים קרובות במחשוב ענן, מנהיגים עסקיים ימהרו בטעות לחתום על חוזה מבלי להבין שאמצעי אבטחה מסוימים עשויים להיכלל בחבילת הבסיס או לא. התחייבויות חוזיות תלויות לעתים קרובות בתעשייה, אך יש לפתח גם סעיף אבטחה סטנדרטי. לדוגמה, אם אנו מעריכים חברת משלוחים, ייתכן שיש פחות התמקדות בתהליך מחזור החיים של פיתוח תוכנה (SDLC) של ספק ויותר על אמצעי החוסן שלהם. עם זאת, אם אנו מעריכים חברת תוכנה, נרצה להתמקד בתהליכי ה-SDLC של הספק, כגון איך בודקים את הקוד ואיך נראים אמצעי ההגנה לדחיפה לייצור.
לבסוף, ארגונים צריכים לפתח אסטרטגיית יציאה. כיצד ארגון נפרד באופן נקי מצד שלישי תוך הקפדה על קרצוף נתוני הלקוח שלו? היו מקרים שבהם חברה מנתקת את הקשר עם ספק רק כדי לקבל שיחה כעבור שנים שהודיעה להם שהשותף לשעבר שלהם סבל מפגיעה בנתונים ושנתוני הלקוח שלהם נחשפו - למרות שהייתה בהנחה שהנתונים האלה נמחקו. מוסר השכל של הסיפור: אל תניח. מלבד פריצת נתונים מקרית, קיימת גם אפשרות שספקי צד שלישי ישתמשו בנתונים של שותף לשעבר לצורך פיתוח פנימי, כגון שימוש בנתונים אלה לבניית מודלים של למידת מכונה. ארגונים חייבים למנוע זאת על ידי ציון במונחים ברורים, ספציפיים ומחייבים משפטית כיצד הספקים ימחקו נתונים במקרה של סיום השותפות, ומה יהיו ההשלכות אם לא.
צור תרבות של אחריות משותפת ושיפור מתמיד
נקיטת גישה צוותית לביצוע בדיקת נאותות פירושה כי קצין אבטחת המידע הראשי (CISO) אינו חייב לשאת במלואו באחריות של ביטול הסיכון של ספק צד שלישי. ה ההאשמות של SEC נגד SolarWinds ליצור תקדים מדאיג - CISO יכול לשאת את הנפילה, גם אם הבעיה נובעת מתפקוד לקוי של הארגון. אם צוותי ה-IT והעסקים תומכים ב-CISO בבדיקת ספקים של צד שלישי, זה מכין את הבמה לשיתופי פעולה בין צוותים עתידיים, מגביר את הרכישה של הארגון ומפיק תוצאות טובות יותר בכל הנוגע לאבטחה.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach
- :הוא
- :לֹא
- :איפה
- 10
- שנים 15
- 15%
- 7
- a
- אודות
- מקרי
- הוסיף
- מתקדם
- נגד
- סוכנות
- לִפנֵי
- תעשיות
- מאפשר
- גם
- תמיד
- an
- ו
- לְהוֹפִיעַ
- ישים
- גישה
- ARE
- נשק
- מלאכותי
- בינה מלאכותית
- AS
- לשאול
- לשאול
- מעריך
- לְהַנִיחַ
- הנחה
- At
- גיבוי
- מבוסס
- Baseline
- BE
- כי
- הופך להיות
- היה
- להיות
- תועלת
- מלבד
- מוטב
- בֵּין
- כריכה
- מגביר
- הפרה
- תקציבים
- לִבנוֹת
- נבנה
- עסקים
- מנהיגים עסקיים
- אבל
- לִקְנוֹת
- by
- שיחה
- CAN
- מסוגל
- מקרים
- .201
- מסוים
- שרשרת
- לאתגר
- משתנה
- חיובים
- רֹאשׁ
- CISO
- ברור
- לקוחות
- ענן
- ענן מחשוב
- קוד
- שיתופי פעולה
- שיתוף פעולה
- מגיע
- תקשורת
- חברות
- חברה
- להשלים
- פשרה
- התפשר
- מחשוב
- לגבי
- השלכות
- בהתחשב
- ממשיך
- רציף
- חוזה
- חוזית
- בקרות
- יקר
- יחד
- לִיצוֹר
- יוצרים
- קריטי
- ביקורתיות
- מכריע
- תַרְבּוּת
- כיום
- סייבר
- עברייני אינטרנט
- מסוכן
- נתונים
- נתוני פרה
- מיום ליום
- מסירה
- תלוי
- למרות
- לקבוע
- קובע
- לפתח
- מפותח
- צעצועי התפתחות
- קשה
- חָרִיצוּת
- נורא
- מְשַׁבֵּשׁ
- do
- עושה
- לא איכפת
- עושה
- דון
- ראוי
- כל אחד
- השפעה
- יעילות
- הִתהַוּוּת
- מעודד את
- סיום
- לְהַבטִיחַ
- הבטחתי
- ישות
- מופקד
- במיוחד
- מקימים
- הערכה
- אֲפִילוּ
- אירוע
- דוגמה
- קיימים
- יציאה
- Exit Strategy
- צפוי
- חשוף
- חיצוני
- פנים
- ליפול
- fdic
- קנס
- קנסות
- ראשון
- חמש
- גמישות
- להתמקד
- לעקוב
- בעד
- לשעבר
- רביעית
- החל מ-
- לגמרי
- פונקציה
- עתיד
- ממשל
- הדרגתית
- הנחיות
- ידיים
- יש
- מִקְלָט
- חסון
- מוגבר
- חורים
- ברדס
- איך
- אולם
- HTTPS
- if
- יושם
- השבחה
- in
- לתמרץ
- תקרית
- כלול
- נכנס
- משלבת
- להגדיל
- יותר ויותר
- תעשיות
- תעשייה
- מידע
- אבטחת מידע
- פְּנִימִי
- למשל
- מוֹדִיעִין
- פנימי
- אל תוך
- השקעות
- J States
- הפיקו
- הנפקת
- IT
- שֶׁלָה
- לסכן
- jpg
- מפתח
- נוף
- גָדוֹל
- אחרון
- שנה שעברה
- מאוחר יותר
- מנהיגים
- למידה
- הכי פחות
- משפטי
- צוות משפטי
- באופן חוקי
- פחות
- מעגל החיים
- אוֹר
- כמו
- קו
- קשר
- קְצָת
- ll
- ותיק
- נראה
- נראה
- מכונה
- למידת מכונה
- ראשי
- לנהל
- ניהול
- מצליח
- רב
- מאי..
- אומר
- אמצעים
- יכול
- להקל
- מקלה
- מודל
- מודלים
- כסף
- מוסרי
- יותר
- רוב
- צריך
- הכרחי
- צורך
- צרכי
- שלילי
- חדש
- טכנולוגיות חדשות
- לא
- חובות
- ברור
- of
- לעתים קרובות
- on
- רק
- תפעול
- or
- ארגון
- ארגונים
- אחר
- תוצאות
- למיקור חוץ
- מֶחדָל
- חבילה
- שותף
- שותפות
- צד
- מעברי
- עונש
- לְבַצֵעַ
- ביצוע
- אישי
- כוח אדם
- תכנית
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- אפשרות
- תרגול
- פרקטיקות
- תקדים
- תחזית
- מתנות
- דחוף
- למנוע
- פְּרָטִי
- בעיה
- תהליך
- תהליכים
- ייצור
- הפקה
- תָכְנִית
- תָקִין
- .
- דחוף
- שאלה
- RE
- טעם
- מרגיע
- לקבל
- לשקף
- מוסדר
- תעשיות מוסדרות
- תקנון
- קשר
- מערכות יחסים
- להחליף
- דורש
- אחריות
- תוצאות
- סקר
- חוות דעת של לקוחותינו
- תקין
- הסיכון
- ניהול סיכונים
- מפת דרכים
- תפקידים
- לְמַהֵר
- s
- אמצעי הגנה
- שמור
- חיסכון
- בצורה חלקה
- ה-SEC
- לבטח
- אבטחה
- אמצעי אבטחה
- איומים ביטחוניים
- לִרְאוֹת
- נראה
- רגיש
- נפרד
- רציני
- סט
- סטים
- הצבה
- משותף
- לִשְׁפּוֹך
- זורחת
- טווח קצר
- צריך
- חתימה
- פָּשׁוּט
- תוכנה
- פיתוח תוכנה
- מוצק
- ספציפי
- התמחות
- התחלה
- לפי
- גבעולים
- שלב
- צעדים
- עוד
- סיפור
- אִסטרָטֶגִיָה
- להכות
- שביתות
- חזק
- בהצלחה
- כזה
- סבל
- כדלקמן
- תמיכה
- משטח
- סינרגיה
- טקטיקה
- חייט
- לקחת
- נבחרת
- צוותי
- טק
- טכנולוגיות
- מונחים
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- עצמם
- שם.
- אלה
- הֵם
- לחשוב
- חושב
- שְׁלִישִׁי
- צד שלישי
- זֶה
- יְסוֹדִי
- בִּיסוֹדִיוּת
- אלה
- איומים
- שְׁלוֹשָׁה
- דרך
- קשרים
- ל
- היום
- חלק עליון
- שקיפות
- אמין
- לא מודע
- תחת
- להבין
- הבנה
- ייחודי
- להשתמש
- באמצעות
- Ve
- מוכר
- ספקים
- בוטה
- רוצה
- היה
- we
- טוֹב
- היו
- מה
- מתי
- אשר
- בזמן
- מי
- יצטרך
- מוכן
- עם
- לְלֹא
- עבד
- עובד
- היה
- שנה
- שנים
- זפירנט