解説
サードパーティのリスクを軽減することは、サイバー犯罪者の戦術がますます高度化していることと、今後の大量の規制を考慮すると、困難に思えるかもしれません。しかし、ほとんどの組織は、自分たちが思っているよりも多くの主体性と柔軟性を備えています。サードパーティのリスク管理は、企業で現在実装されている既存のリスク ガバナンス慣行とセキュリティ管理に基づいて構築できます。このモデルで安心できるのは、組織がサードパーティのリスクを軽減するために既存の保護を完全に廃止する必要がないことを意味し、これにより段階的かつ継続的な改善の文化が促進されるということです。
サードパーティのリスクは、組織に特有の課題をもたらします。表面的には、第三者は信頼できるように見えることがあります。しかし、サードパーティ ベンダーの内部動作に対する完全な透明性がなければ、組織はどのようにして、委託されたデータの安全性を確保できるでしょうか?
多くの場合、組織はサードパーティ ベンダーとの長年にわたる関係を理由に、この差し迫った問題を軽視します。彼らはサードパーティ ベンダーと 15 年間協力してきたため、「内部を見てほしい」と頼んで関係を危険にさらす理由はありません。ただし、この考え方は危険です。サイバー インシデントは、予期せぬタイミングや場所で発生する可能性があります。
変化する風景
データ侵害が発生した場合、組織が事業体として罰金を科されるだけでなく、個人的な損害も科せられる可能性があります。去年、 FDICはサードパーティリスクに関するガイドラインを強化した、他の業界が追随する準備が整いました。人工知能などの新しいテクノロジーの出現により、第三者によるデータの管理を誤ると悲惨な結果が生じる可能性があります。次の規制は、強力な管理を確立していない者に厳しい罰則を課すことにより、これらの深刻な結果を反映することになります。
新しい規制に加えて、第 10 パーティ、さらには第 XNUMX パーティのベンダーの出現により、組織は外部データを保護するよう奨励されるはずです。ソフトウェアは XNUMX 年前のような単純な社内慣行ではありません。今日、データは多くの手を経由し、データ チェーンへのリンクが追加されるたびにセキュリティの脅威が増加する一方で、監視はより困難になります。たとえば、精査されたサードパーティがクライアントの個人データを過失のある第三者に委託しており、組織がそれを認識していない場合、サードパーティ ベンダーに対して適切なデュー デリジェンスを行うことはほとんど役に立ちません。
すぐに使える 5 つの簡単なステップ
適切なロードマップがあれば、組織は サードパーティのリスクをうまく軽減できる。さらに良いことに、高価で破壊的なテクノロジーへの投資は必ずしも必要ではありません。まず、組織がデュー デリジェンスを実行する際に必要なのは、賢明な計画、賛同してくれる有能な人材、そして IT チーム、セキュリティ チーム、ビジネス チーム間のコミュニケーションの強化です。
最初のステップは、ベンダーの状況を徹底的に理解することです。これは明らかなことのように思えるかもしれませんが、多くの組織、特にアウトソーシングの予算がある大企業は、この重要なステップを無視しています。サードパーティ ベンダーとの関係を急いで確立すると、短期的にはコストを節約できる可能性がありますが、データ侵害が発生し、組織が高額の罰金に直面した場合、その節約分はすべて消去されてしまいます。
ベンダーの状況を調査した後、組織はどのサードパーティの役割が「重要」であるかを判断する必要があります。これらの役割は、運用上重要な役割である場合や、機密データを処理する場合があります。重要度に基づいてベンダーを層ごとにグループ化する必要があります。これにより、組織がベンダーを評価、レビュー、管理する方法を柔軟に行うことができます。
重要度によってベンダーを分類すると、組織がサードパーティ ベンダーに過剰に依存している可能性があることが明らかになります。こうした組織は自問する必要があります。「この関係が突然なくなった場合、バックアップ計画はあるだろうか?」日常業務をシームレスに継続しながら、この機能をどのように置き換えればよいでしょうか?
3 番目のステップは、ガバナンス計画を作成することです。デューデリジェンスを効果的に実行し、リスクを管理するには、組織の 3 つの主要部門間に相乗効果がなければなりません。セキュリティ チームはベンダーのセキュリティ プログラムの欠陥に光を当て、法務チームは法的リスクを判断し、ビジネス チームは負の連鎖を予測します。データまたは操作が侵害された場合、操作に影響を与えます。強固なガバナンスを構築するための鍵は、組織固有のニーズに合わせて計画を調整することです。これは、特に規制の少ない業界の組織に当てはまります。
ガバナンスのステップには、契約上の義務の草案が組み込まれています。たとえば、クラウド コンピューティングでは、ビジネス リーダーが、特定のセキュリティ対策がベースライン パッケージに含まれる場合と含まれない場合があることを理解せずに、誤って契約に署名してしまうことがよくあります。契約上の義務は業界に依存することが多いですが、標準化されたセキュリティ条項も開発する必要があります。たとえば、配送会社を評価している場合、ベンダーのソフトウェア開発ライフサイクル (SDLC) プロセスにはあまり重点が置かれず、回復力対策に重点が置かれる可能性があります。ただし、ソフトウェア会社を評価している場合は、コードがどのようにレビューされるか、本番環境に適用するための安全策がどのようなものであるかなど、ベンダーの SDLC のプロセスに焦点を当てたいと思うでしょう。
最後に、組織は出口戦略を策定する必要があります。組織はクライアントデータを確実にスクラブしながら、サードパーティから完全に分離するにはどうすればよいでしょうか?企業がベンダーとの関係を断ったものの、数年後、元パートナーがデータ侵害に遭い、顧客データが漏洩したことを知らされる電話を受け取るケースがあります。このデータは消去されたと想定されていたにもかかわらずです。この話の教訓: 思い込みはしないでください。偶発的なデータ侵害に加えて、サードパーティ ベンダーが元パートナーのデータを内部開発に使用する可能性もあります。たとえば、そのデータを使用して機械学習モデルを構築することもあります。組織は、パートナーシップが終了した場合にベンダーがデータをどのように消去するのか、消去しなかった場合にどのような結果が生じるのかを、明確かつ具体的かつ法的拘束力のある条件で明記することで、これを防ぐ必要があります。
責任を共有し、継続的に改善する文化を構築する
デュー デリジェンスの実行にチーム アプローチを採用することは、最高情報セキュリティ責任者 (CISO) がサードパーティ ベンダーのリスクを軽減する責任を完全に負う必要がないことを意味します。の SolarWindsに対するSECの告発 問題が組織全体の機能不全に起因する場合でも、CISO は責任を負うことができます。 IT チームとビジネス チームが CISO によるサードパーティ ベンダーの精査をサポートすれば、将来のチーム間コラボレーションの準備が整い、組織の賛同が高まり、セキュリティに関してより良い結果が得られます。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach
- :は
- :not
- :どこ
- 10
- 15年
- 視聴者の38%が
- 7
- a
- 私たちについて
- 誤って
- 追加されました
- 高度な
- に対して
- 代理店
- 前
- すべて
- ことができます
- また
- 常に
- an
- および
- 現れる
- 適用可能な
- アプローチ
- です
- 武器
- 人工の
- 人工知能
- AS
- 頼む
- 質問
- 評価する
- 引き受けます
- 仮定
- At
- バックアップ
- ベース
- ベースライン
- BE
- なぜなら
- になる
- き
- さ
- 恩恵
- ほかに
- より良いです
- の間に
- 拘束
- ブースト
- 違反
- 予算
- ビルド
- 内蔵
- ビジネス
- ビジネスリーダー
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- 購入
- by
- コール
- 缶
- できる
- 例
- やめる
- 一定
- チェーン
- 挑戦する
- 変化
- 課金
- チーフ
- CISO
- クリア
- クライアント
- クラウド
- クラウドコンピューティング
- コード
- コラボレーション
- 共同
- 来ます
- コミュニケーション
- 企業
- 会社
- コンプリート
- 妥協
- 損害を受けた
- コンピューティング
- について
- 結果
- 考えると
- 連続
- 連続的な
- 縮小することはできません。
- 契約上の
- controls
- 高額で
- 結合しました
- 作ります
- 作成
- 重大な
- 臨界
- 重大な
- 文化
- 現在
- サイバー
- サイバー犯罪者
- 危険な
- データ
- データ侵害
- 日々
- 配達
- 依存
- にもかかわらず
- 決定する
- 決定する
- 開発する
- 発展した
- 開発
- 難しい
- 勤勉
- 悲惨な
- 破壊的な
- do
- ありません
- doesnの
- すること
- ドン
- 原因
- 各
- 効果
- 効果的に
- 出現
- 励ます
- エンディング
- 確保
- 確保する
- エンティティ
- 委託
- 特に
- 確立
- 評価します
- さらに
- イベント
- 例
- 既存の
- 出口
- 出口戦略
- 予想される
- 露出した
- 外部
- 顔
- 秋
- fdic
- 罰金
- 名
- 五
- 柔軟性
- フォーカス
- 前者
- 第4
- から
- 完全に
- function
- 未来
- ガバナンス
- 緩やかな
- ガイドライン
- ハンド
- 持ってる
- 避難所
- 重い
- 高められた
- 穴
- フード
- 認定条件
- しかしながら
- HTTPS
- if
- 実装
- 改善
- in
- 奨励します
- 事件
- 含まれました
- 入ってくる
- 組み込む
- 増える
- ますます
- 産業
- 産業を変えます
- 情報
- 情報セキュリティー
- 内側の
- インテリジェンス
- 内部
- に
- インベストメント
- ISN
- 発行済み
- 発行
- IT
- ITS
- 危険にさらす
- JPG
- キー
- 風景
- 大
- 姓
- 昨年
- 後で
- リーダー
- 学習
- 最低
- リーガルポリシー
- 法務チーム
- 合法的に
- less
- wifecycwe
- 光
- ような
- LINE
- LINK
- 少し
- ll
- 長年の
- 見て
- LOOKS
- 機械
- 機械学習
- メイン
- 管理します
- 管理
- 管理する
- 多くの
- 五月..
- 手段
- 措置
- かもしれない
- 軽減する
- 緩和する
- モデル
- お金
- 道徳
- 他には?
- 最も
- しなければなりません
- 必要
- 必要
- ニーズ
- 負
- 新作
- 新技術
- いいえ
- 義務
- 明白
- of
- 頻繁に
- on
- の
- 業務執行統括
- or
- 組織
- 組織
- その他
- 成果
- アウトソーシング
- 見落とし
- パッケージ
- パートナー
- パートナーシップ
- パーティー
- パス
- 罰則
- 実行する
- 実行
- 個人的な
- Personnel
- 計画
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 可能性
- 練習
- プラクティス
- 先例
- 予測
- プレゼント
- を押す
- 防ぐ
- プライベート
- 問題
- プロセス
- ラボレーション
- 生産する
- 生産
- 演奏曲目
- 適切な
- 保護
- プッシュ
- 質問
- RE
- 理由
- 安心する
- 受け取ります
- 反映する
- 規制
- 規制産業
- 規制
- 関係
- の関係
- replace
- 必要
- 責任
- 結果
- 日
- レビュー
- 右
- リスク
- リスク管理
- ロードマップ
- 役割
- ラッシュ
- s
- 保障措置
- Save
- 貯蓄
- シームレス
- SEC
- 安全に
- セキュリティ
- セキュリティー対策
- セキュリティ上の脅威
- 思われる
- 敏感な
- 別
- 深刻な
- セッションに
- セット
- 設定
- shared
- 小屋
- 輝く
- 短期
- すべき
- 署名
- 簡単な拡張で
- ソフトウェア
- ソフトウェア開発
- 固体
- 特定の
- ステージ
- start
- 知らせる
- 茎
- 手順
- ステップ
- まだ
- ストーリー
- 戦略
- ストライキ
- ストライキ
- 強い
- 首尾よく
- そのような
- 苦しんだ
- スーツ
- サポート
- 表面
- 相乗効果
- 戦術
- テーラー
- 取る
- チーム
- チーム
- テク
- テクノロジー
- 条件
- より
- それ
- アプリ環境に合わせて
- それら
- 自分自身
- そこ。
- ボーマン
- 彼ら
- 考える
- 考え
- 三番
- サードパーティ
- この
- 完全な
- 徹底的に
- それらの
- 脅威
- 三
- 介して
- ネクタイ
- 〜へ
- 今日
- top
- 透明性
- 信頼できる
- 知らない
- 下
- わかる
- 理解する
- ユニーク
- つかいます
- Ve
- ベンダー
- ベンダー
- 精査
- 欲しいです
- ました
- we
- WELL
- した
- この試験は
- いつ
- which
- while
- 誰
- 意志
- 喜んで
- 無し
- 働いていました
- 仕組み
- でしょう
- 年
- 年
- ゼファーネット