제3자 위험을 완화하려면 협력적이고 철저한 접근 방식이 필요합니다.

해설

점점 더 발전하는 사이버 범죄자의 전술과 함께 들어오는 수많은 규정을 고려할 때 제3자 위험을 완화하는 것은 어려운 것처럼 보일 수 있습니다. 그러나 대부분의 조직은 생각보다 더 많은 주체성과 유연성을 갖고 있습니다. 타사 위험 관리는 현재 회사에 구현된 기존 위험 거버넌스 관행 및 보안 제어를 기반으로 구축될 수 있습니다. 이 모델에서 안심할 수 있는 점은 조직이 타사 위험을 성공적으로 완화하기 위해 기존 보호 기능을 완전히 폐기할 필요가 없다는 점이며, 이는 점진적이고 지속적인 개선 문화를 장려한다는 것입니다. 

제3자 위험은 조직에 고유한 과제를 제시합니다. 표면적으로는 제3자가 신뢰할 만한 것처럼 보일 수 있습니다. 하지만 해당 제3자 공급업체의 내부 작업에 대한 완전한 투명성 없이 조직이 자신에게 맡겨진 데이터의 보안을 어떻게 보장할 수 있습니까?

종종 조직에서는 타사 공급업체와 오랫동안 유지해 온 관계로 인해 이 긴급한 질문을 경시합니다. 이들은 15년 동안 제XNUMX자 공급업체와 협력해왔기 때문에 "내부를 살펴보라"고 요청하여 관계를 위태롭게 할 이유가 없다고 생각합니다. 그러나 이러한 사고 방식은 위험합니다. 사이버 사고는 예상치 못한 시기나 장소에서 발생할 수 있습니다.

변화하는 풍경

데이터 침해가 발생하면 조직 전체에 벌금이 부과될 수 있을 뿐만 아니라 개인적인 결과도 발생할 수 있습니다. 작년, FDIC는 제3자 위험에 대한 지침을 강화했습니다., 다른 산업이 이를 따라갈 수 있는 발판을 마련했습니다. 인공지능 등 신기술이 등장하면서 제3자가 데이터를 잘못 관리하면 결과는 심각해질 수 있습니다. 앞으로 나올 규정은 강력한 통제력을 갖추지 못한 사람들에게 가혹한 처벌을 가함으로써 이러한 심각한 결과를 반영하게 될 것입니다.

새로운 규정 외에도 제10자 및 제XNUMX자 공급업체의 출현으로 인해 조직은 외부 데이터를 보호하도록 장려해야 합니다. 소프트웨어는 XNUMX년 전처럼 단순한 내부 관행이 아닙니다. 오늘날 데이터는 여러 사람의 손을 거치며 데이터 체인에 링크가 추가될 때마다 보안 위협이 증가하고 감독이 더욱 어려워집니다. 예를 들어, 심사를 받은 제XNUMX자가 개인 고객 데이터를 부주의한 제XNUMX자에게 아웃소싱하고 조직이 이를 인식하지 못하는 경우 제XNUMX자 공급업체에 대해 적절한 실사를 수행하는 것은 별 이점이 없습니다.

즉시 사용 가능한 5가지 간단한 단계

올바른 로드맵을 갖춘 조직은 제3자 위험을 성공적으로 완화할 수 있습니다.. 더 좋은 점은 비용이 많이 들고 파괴적인 기술 투자가 항상 필요한 것은 아니라는 것입니다. 우선 실사를 수행할 때 조직에 필요한 것은 합리적인 계획, 기꺼이 동의할 수 있는 유능한 인력, IT, 보안 및 비즈니스 팀 간의 향상된 커뮤니케이션입니다.

첫 번째 단계는 공급업체 환경을 철저하게 이해하는 것입니다. 이것이 당연한 것처럼 보일 수도 있지만, 많은 조직, 특히 아웃소싱할 예산이 있는 대기업에서는 이 중요한 단계를 무시합니다. 제3자 공급업체 관계를 서둘러 구축하면 단기적으로는 비용을 절약할 수 있지만, 데이터 침해가 발생하고 조직이 막대한 벌금을 물게 되면 이러한 절감 효과가 모두 사라지게 됩니다.

공급업체 환경을 조사한 후 조직은 어떤 타사 역할이 "중요"한지 결정해야 합니다. 이러한 역할은 운영상 중요하거나 민감한 데이터를 처리할 수 있습니다. 중요도에 따라 공급업체를 계층별로 그룹화해야 조직이 공급업체를 평가, 검토 및 관리하는 방법에 유연성을 제공할 수 있습니다.

중요도에 따라 공급업체를 정렬하면 조직이 타사 공급업체에 대해 지나치게 의존하고 있음을 밝힐 수 있습니다. 이러한 조직은 스스로에게 질문해야 합니다. 이 관계가 갑자기 중단된다면 백업 계획이 있습니까? 일상적인 작업을 원활하게 계속하면서 이 기능을 어떻게 대체할 수 있을까요?

세 번째 단계는 거버넌스 계획을 개발하는 것입니다. 실사를 효과적으로 수행하고 위험을 관리하려면 조직의 세 가지 주요 부서 간에 시너지 효과가 있어야 합니다. 즉, 보안 팀은 공급업체 보안 프로그램의 허점을 밝히고 법무 팀은 법적 위험을 결정하며 비즈니스 팀은 부정적 연쇄 작용을 예측합니다. 데이터나 작업이 손상된 경우 작업에 미치는 영향. 견고한 거버넌스를 구축하는 핵심은 조직의 고유한 요구 사항에 맞게 계획을 조정하는 것입니다. 이는 특히 규제가 덜한 업계의 조직에 적용됩니다.

거버넌스 단계에는 계약 의무 초안 작성이 포함됩니다. 예를 들어, 클라우드 컴퓨팅에서 비즈니스 리더는 특정 보안 조치가 기본 패키지에 포함될 수도 있고 포함되지 않을 수도 있다는 점을 이해하지 못한 채 실수로 계약에 서명하는 경우가 많습니다. 계약상 의무는 업계에 따라 달라지는 경우가 많지만 표준화된 보안 조항도 개발해야 합니다. 예를 들어 배송 회사를 평가하는 경우 공급업체의 SDLC(소프트웨어 개발 수명 주기) 프로세스보다는 탄력성 측정에 더 중점을 둘 수 있습니다. 그러나 소프트웨어 회사를 평가하는 경우 코드 검토 방법, 프로덕션에 적용하기 위한 보호 장치와 같은 공급업체의 SDLC 프로세스에 중점을 두고 싶을 것입니다. 

마지막으로 조직은 출구 전략을 개발해야 합니다. 조직은 클라이언트 데이터를 삭제하면서 어떻게 제3자와 깔끔하게 분리합니까? 회사가 공급업체와의 관계를 끊고 몇 년 후 전화를 받아 이전 파트너가 데이터 손상을 입었고 클라이언트 데이터가 노출되었다는 사실을 알리는 경우가 있었습니다. 이는 해당 데이터가 삭제되었다는 가정하에 이루어졌습니다. 이야기의 교훈: 가정하지 마세요. 우발적인 데이터 침해 외에도 제3자 공급업체가 내부 개발을 위해 이전 파트너의 데이터를 사용할 가능성도 있습니다. 예를 들어 해당 데이터를 사용하여 기계 학습 모델을 구축할 수도 있습니다. 조직은 파트너십 종료 시 공급업체가 데이터를 삭제하는 방법과 그렇지 않은 경우 어떤 결과가 발생하는지 명확하고 구체적이며 법적 구속력이 있는 조건을 명시하여 이를 방지해야 합니다.

책임 공유 및 지속적인 개선 문화 조성 

실사를 수행하기 위해 팀 접근 방식을 취한다는 것은 CISO(최고 정보 보안 책임자)가 제3자 공급업체의 위험을 제거하는 책임을 전적으로 맡을 필요가 없다는 것을 의미합니다. 그만큼 SolarWinds에 대한 SEC의 혐의 우려되는 선례를 세우십시오. 문제가 조직 전반의 기능 장애로 인해 발생하더라도 CISO는 추락을 감수할 수 있습니다. IT 및 비즈니스 팀이 타사 공급업체를 조사하는 과정에서 CISO를 지원한다면 향후 팀 간 협업을 위한 기반을 마련하고 조직의 동의를 높이며 보안과 관련하여 더 나은 결과를 얻을 수 있습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach