サードパーティのリスクを軽減するには、協力的で徹底的なアプローチが必要です

解説

サードパーティのリスクを軽減することは、サイバー犯罪者の戦術がますます高度化していることと、今後の大量の規制を考慮すると、困難に思えるかもしれません。しかし、ほとんどの組織は、自分たちが思っているよりも多くの主体性と柔軟性を備えています。サードパーティのリスク管理は、企業で現在実装されている既存のリスク ガバナンス慣行とセキュリティ管理に基づいて構築できます。このモデルで安心できるのは、組織がサードパーティのリスクを軽減するために既存の保護を完全に廃止する必要がないことを意味し、これにより段階的かつ継続的な改善の文化が促進されるということです。 

サードパーティのリスクは、組織に特有の課題をもたらします。表面的には、第三者は信頼できるように見えることがあります。しかし、サードパーティ ベンダーの内部動作に対する完全な透明性がなければ、組織はどのようにして、委託されたデータの安全性を確保できるでしょうか?

多くの場合、組織はサードパーティ ベンダーとの長年にわたる関係を理由に、この差し迫った問題を軽視します。彼らはサードパーティ ベンダーと 15 年間協力してきたため、「内部を見てほしい」と頼んで関係を危険にさらす理由はありません。ただし、この考え方は危険です。サイバー インシデントは、予期せぬタイミングや場所で発生する可能性があります。

変化する風景

データ侵害が発生した場合、組織が事業体として罰金を科されるだけでなく、個人的な損害も科せられる可能性があります。去年、 FDICはサードパーティリスクに関するガイドラインを強化した、他の業界が追随する準備が整いました。人工知能などの新しいテクノロジーの出現により、第三者によるデータの管理を誤ると悲惨な結果が生じる可能性があります。次の規制は、強力な管理を確立していない者に厳しい罰則を課すことにより、これらの深刻な結果を反映することになります。

新しい規制に加えて、第 10 パーティ、さらには第 XNUMX パーティのベンダーの出現により、組織は外部データを保護するよう奨励されるはずです。ソフトウェアは XNUMX 年前のような単純な社内慣行ではありません。今日、データは多くの手を経由し、データ チェーンへのリンクが追加されるたびにセキュリティの脅威が増加する一方で、監視はより困難になります。たとえば、精査されたサードパーティがクライアントの個人データを過失のある第三者に委託しており、組織がそれを認識していない場合、サードパーティ ベンダーに対して適切なデュー デリジェンスを行うことはほとんど役に立ちません。

すぐに使える 5 つの簡単なステップ

適切なロードマップがあれば、組織は サードパーティのリスクをうまく軽減できる。さらに良いことに、高価で破壊的なテクノロジーへの投資は必ずしも必要ではありません。まず、組織がデュー デリジェンスを実行する際に必要なのは、賢明な計画、賛同してくれる有能な人材、そして IT チーム、セキュリティ チーム、ビジネス チーム間のコミュニケーションの強化です。

最初のステップは、ベンダーの状況を徹底的に理解することです。これは明らかなことのように思えるかもしれませんが、多くの組織、特にアウトソーシングの予算がある大企業は、この重要なステップを無視しています。サードパーティ ベンダーとの関係を急いで確立すると、短期的にはコストを節約できる可能性がありますが、データ侵害が発生し、組織が高額の罰金に直面した場合、その節約分はすべて消去されてしまいます。

ベンダーの状況を調査した後、組織はどのサードパーティの役割が「重要」であるかを判断する必要があります。これらの役割は、運用上重要な役割である場合や、機密データを処理する場合があります。重要度に基づいてベンダーを層ごとにグループ化する必要があります。これにより、組織がベンダーを評価、レビュー、管理する方法を柔軟に行うことができます。

重要度によってベンダーを分類すると、組織がサードパーティ ベンダーに過剰に依存している可能性があることが明らかになります。こうした組織は自問する必要があります。「この関係が突然なくなった場合、バックアップ計画はあるだろうか?」日常業務をシームレスに継続しながら、この機能をどのように置き換えればよいでしょうか?

3 番目のステップは、ガバナンス計画を作成することです。デューデリジェンスを効果的に実行し、リスクを管理するには、組織の 3 つの主要部門間に相乗効果がなければなりません。セキュリティ チームはベンダーのセキュリティ プログラムの欠陥に光を当て、法務チームは法的リスクを判断し、ビジネス チームは負の連鎖を予測します。データまたは操作が侵害された場合、操作に影響を与えます。強固なガバナンスを構築するための鍵は、組織固有のニーズに合わせて計画を調整することです。これは、特に規制の少ない業界の組織に当てはまります。

ガバナンスのステップには、契約上の義務の草案が組み込まれています。たとえば、クラウド コンピューティングでは、ビジネス リーダーが、特定のセキュリティ対策がベースライン パッケージに含まれる場合と含まれない場合があることを理解せずに、誤って契約に署名してしまうことがよくあります。契約上の義務は業界に依存することが多いですが、標準化されたセキュリティ条項も開発する必要があります。たとえば、配送会社を評価している場合、ベンダーのソフトウェア開発ライフサイクル (SDLC) プロセスにはあまり重点が置かれず、回復力対策に重点が置かれる可能性があります。ただし、ソフトウェア会社を評価している場合は、コードがどのようにレビューされるか、本番環境に適用するための安全策がどのようなものであるかなど、ベンダーの SDLC のプロセスに焦点を当てたいと思うでしょう。 

最後に、組織は出口戦略を策定する必要があります。組織はクライアントデータを確実にスクラブしながら、サードパーティから完全に分離するにはどうすればよいでしょうか?企業がベンダーとの関係を断ったものの、数年後、元パートナーがデータ侵害に遭い、顧客データが漏洩したことを知らされる電話を受け取るケースがあります。このデータは消去されたと想定されていたにもかかわらずです。この話の教訓: 思い込みはしないでください。偶発的なデータ侵害に加えて、サードパーティ ベンダーが元パートナーのデータを内部開発に使用する可能性もあります。たとえば、そのデータを使用して機械学習モデルを構築することもあります。組織は、パートナーシップが終了した場合にベンダーがデータをどのように消去するのか、消去しなかった場合にどのような結果が生じるのかを、明確かつ具体的かつ法的拘束力のある条件で明記することで、これを防ぐ必要があります。

責任を共有し、継続的に改善する文化を構築する 

デュー デリジェンスの実行にチーム アプローチを採用することは、最高情報セキュリティ責任者 (CISO) がサードパーティ ベンダーのリスクを軽減する責任を完全に負う必要がないことを意味します。の SolarWindsに対するSECの告発 問題が組織全体の機能不全に起因する場合でも、CISO は責任を負うことができます。 IT チームとビジネス チームが CISO によるサードパーティ ベンダーの精査をサポートすれば、将来のチーム間コラボレーションの準備が整い、組織の賛同が高まり、セキュリティに関してより良い結果が得られます。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach