הפחתת סיכון של צד שלישי דורשת גישה משותפת ויסודית

פַּרשָׁנוּת

הפחתת הסיכון של צד שלישי עשויה להיראות מרתיעה כאשר בוחנים את שלל התקנות הנכנסות יחד עם הטקטיקות המתקדמות יותר ויותר של פושעי סייבר. עם זאת, לרוב הארגונים יש יותר סוכנות וגמישות ממה שהם חושבים שהם עושים. ניתן לבנות ניהול סיכונים של צד שלישי על שיטות ניהול סיכונים ובקרות אבטחה קיימות המיושמות כיום בחברה. מה שמרגיע במודל הזה הוא שזה אומר שארגונים לא צריכים לבטל לחלוטין את ההגנה הקיימת שלהם כדי להפחית בהצלחה את הסיכון של צד שלישי - וזה מעודד תרבות של שיפור הדרגתי ומתמשך. 

סיכון צד שלישי מהווה אתגר ייחודי לארגונים. על פני השטח, צד שלישי יכול להיראות אמין. אך ללא שקיפות מוחלטת של פעולתו הפנימית של אותו ספק צד שלישי, כיצד יכול ארגון להבטיח שהנתונים המופקדים בידיו מאובטחים?

לעתים קרובות, ארגונים ממעיטים בשאלה הדוחקת הזו, בשל מערכת היחסים ארוכת השנים שיש להם עם ספקי הצד השלישי שלהם. מכיוון שהם עובדים עם ספק צד שלישי במשך 15 שנה, הם לא יראו סיבה לסכן את מערכת היחסים שלהם על ידי בקשה "להסתכל מתחת למכסה המנוע". עם זאת, קו חשיבה זה מסוכן - אירוע סייבר יכול להתרחש מתי או היכן שהוא הכי פחות צפוי.

נוף משתנה

כאשר פרצת נתונים פוגעת, לא רק שהארגון יכול להיות קנס כישות, אלא גם השלכות אישיות עשויות להינתן. שנה שעברה, ה-FDIC החמיר את ההנחיות שלו לגבי סיכון צד שלישי, מכין את הבמה לתעשיות אחרות ללכת בעקבותיה. עם הופעתן של טכנולוגיות חדשות כמו בינה מלאכותית, התוצאות של ניהול שגוי של נתונים על ידי צד שלישי עלולות להיות קשות. תקנות נכנסות ישקפו את ההשלכות החמורות הללו על ידי מתן עונשים קשים למי שלא פיתח בקרות חזקות.

מלבד תקנות חדשות, הופעתם של ספקי צד רביעי ואפילו חמישי צריכה לתמרץ ארגונים לאבטח את הנתונים החיצוניים שלהם. תוכנה היא לא הנוהג הפשוט והפנימי שהיה לפני 10 שנים - כיום, נתונים עוברים דרך ידיים רבות, ועם כל קישור נוסף לשרשרת הנתונים, איומי האבטחה מתגברים בעוד הפיקוח הופך לקשה יותר. לדוגמה, ביצוע בדיקות נאותות נאותות על ספק צד שלישי אינו מועיל במידה והצד השלישי הנבדק מעביר נתונים של לקוחות פרטיים במיקור חוץ לצד רביעי רשלן והארגון אינו מודע לכך.

חמישה צעדים פשוטים מחוץ לקופסה

עם מפת הדרכים הנכונה, ארגונים יכול להפחית בהצלחה סיכון של צד שלישי. יתר על כן, לא תמיד יש צורך בהשקעות טכנולוגיות יקרות ומפריעות. מלכתחילה, מה שארגונים צריכים בעת ביצוע בדיקת נאותות הוא תוכנית הגיונית, כוח אדם מוכשר שמוכן להצטרף, ותקשורת מוגברת בין צוותי ה-IT, האבטחה והעסקים.

הצעד הראשון הוא להבין היטב את נוף הספקים. למרות שזה אולי נראה מובן מאליו, ארגונים רבים, במיוחד חברות גדולות עם תקציבים למיקור חוץ, מזניחים את הצעד המכריע הזה. אמנם הקמת מערכת יחסים עם ספקים עם צד שלישי בחופזה עשויה לחסוך כסף בטווח הקצר, אך כל החיסכון הללו יימחקו אם תתרחש פרצת מידע והארגון יעמוד בפני קנסות כבדים.

לאחר מחקר של נוף הספקים, ארגונים צריכים לקבוע אילו תפקידים של צד שלישי הם "קריטיים" - תפקידים אלה עשויים להיות קריטיים תפעוליים או לעבד נתונים רגישים. בהתבסס על קריטיות, יש לקבץ ספקים לפי שכבות, מה שמאפשר גמישות באופן שבו הארגון מעריך, סוקר ומנהל את הספק.

מיון ספקים לפי קריטיותם יכול לשפוך אור על הסתמכות יתרה של ארגונים על ספקי הצד השלישי שלהם. ארגונים אלה חייבים לשאול את עצמם: אם הקשר הזה היה נפסק פתאום, האם יש לנו תוכנית גיבוי? כיצד נחליף את הפונקציה הזו תוך המשך פעולות יומיומיות בצורה חלקה?

השלב השלישי הוא פיתוח תוכנית ממשל. חייבת להיות סינרגיה בין שלושת הזרועות העיקריות של הארגון כדי לבצע ביעילות בדיקת נאותות ולנהל סיכונים - צוות האבטחה מאיר אור על חורים בתוכנית האבטחה של הספק, הצוות המשפטי קובע את הסיכון המשפטי, והצוות העסקי חוזה את המהלך השלילי השפעה על פעולות אם נתונים או פעולות נפגעים. המפתח ליצירת ממשל מוצק הוא להתאים את התוכנית כך שתתאים לצרכים הייחודיים של הארגון. זה חל במיוחד על ארגונים בתעשיות פחות מוסדרות.

שלב הממשל כולל ניסוח של התחייבויות חוזיות. לדוגמה, לעתים קרובות במחשוב ענן, מנהיגים עסקיים ימהרו בטעות לחתום על חוזה מבלי להבין שאמצעי אבטחה מסוימים עשויים להיכלל בחבילת הבסיס או לא. התחייבויות חוזיות תלויות לעתים קרובות בתעשייה, אך יש לפתח גם סעיף אבטחה סטנדרטי. לדוגמה, אם אנו מעריכים חברת משלוחים, ייתכן שיש פחות התמקדות בתהליך מחזור החיים של פיתוח תוכנה (SDLC) של ספק ויותר על אמצעי החוסן שלהם. עם זאת, אם אנו מעריכים חברת תוכנה, נרצה להתמקד בתהליכי ה-SDLC של הספק, כגון איך בודקים את הקוד ואיך נראים אמצעי ההגנה לדחיפה לייצור. 

לבסוף, ארגונים צריכים לפתח אסטרטגיית יציאה. כיצד ארגון נפרד באופן נקי מצד שלישי תוך הקפדה על קרצוף נתוני הלקוח שלו? היו מקרים שבהם חברה מנתקת את הקשר עם ספק רק כדי לקבל שיחה כעבור שנים שהודיעה להם שהשותף לשעבר שלהם סבל מפגיעה בנתונים ושנתוני הלקוח שלהם נחשפו - למרות שהייתה בהנחה שהנתונים האלה נמחקו. מוסר השכל של הסיפור: אל תניח. מלבד פריצת נתונים מקרית, קיימת גם אפשרות שספקי צד שלישי ישתמשו בנתונים של שותף לשעבר לצורך פיתוח פנימי, כגון שימוש בנתונים אלה לבניית מודלים של למידת מכונה. ארגונים חייבים למנוע זאת על ידי ציון במונחים ברורים, ספציפיים ומחייבים משפטית כיצד הספקים ימחקו נתונים במקרה של סיום השותפות, ומה יהיו ההשלכות אם לא.

צור תרבות של אחריות משותפת ושיפור מתמיד 

נקיטת גישה צוותית לביצוע בדיקת נאותות פירושה כי קצין אבטחת המידע הראשי (CISO) אינו חייב לשאת במלואו באחריות של ביטול הסיכון של ספק צד שלישי. ה ההאשמות של SEC נגד SolarWinds ליצור תקדים מדאיג - CISO יכול לשאת את הנפילה, גם אם הבעיה נובעת מתפקוד לקוי של הארגון. אם צוותי ה-IT והעסקים תומכים ב-CISO בבדיקת ספקים של צד שלישי, זה מכין את הבמה לשיתופי פעולה בין צוותים עתידיים, מגביר את הרכישה של הארגון ומפיק תוצאות טובות יותר בכל הנוגע לאבטחה.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach