COMMENTAAR
Het beperken van de risico's van derden lijkt misschien lastig als je kijkt naar de stroom aan nieuwe regelgeving in combinatie met de steeds geavanceerdere tactieken van cybercriminelen. De meeste organisaties beschikken echter over meer keuzevrijheid en flexibiliteit dan ze denken. Risicobeheer van derden kan worden gebouwd bovenop de bestaande risicobeheerpraktijken en beveiligingscontroles die momenteel binnen het bedrijf worden geรฏmplementeerd. Het geruststellende aan dit model is dat het betekent dat organisaties hun bestaande bescherming niet volledig hoeven te schrappen om risico's van derden met succes te beperken โ en dit stimuleert een cultuur van geleidelijke, voortdurende verbetering.
Risico's van derden vormen een unieke uitdaging voor organisaties. Op het eerste gezicht kan een derde partij betrouwbaar overkomen. Maar hoe kan een organisatie, zonder volledige transparantie in de interne werking van die externe leverancier, ervoor zorgen dat de gegevens die aan hen worden toevertrouwd, veilig zijn?
Vaak bagatelliseren organisaties deze prangende vraag, vanwege de langdurige relaties die zij hebben met hun externe leveranciers. Omdat ze al vijftien jaar met een externe leverancier samenwerken, zien ze geen reden om hun relatie op het spel te zetten door te vragen 'onder de motorkap te kijken'. Deze manier van denken is echter gevaarlijk: een cyberincident kan toeslaan wanneer of waar dit het minst wordt verwacht.
Een veranderend landschap
Wanneer er sprake is van een datalek, kan niet alleen de organisatie als entiteit een boete krijgen, maar kunnen er ook persoonlijke gevolgen worden opgelegd. Afgelopen jaar, de FDIC heeft zijn richtlijnen inzake risico's van derden aangescherpt, wat de weg vrijmaakt voor andere industrieรซn om dit voorbeeld te volgen. Met de opkomst van nieuwe technologieรซn zoals kunstmatige intelligentie kunnen de gevolgen van het verkeerd beheren van gegevens door een derde partij verschrikkelijk zijn. De nieuwe regelgeving zal deze ernstige gevolgen weerspiegelen door zware straffen op te leggen aan degenen die geen sterke controles hebben ontwikkeld.
Naast nieuwe regelgeving zou de opkomst van vierde- en zelfs vijfde-partijleveranciers organisaties ertoe moeten aanzetten hun externe gegevens te beveiligen. Software is niet meer de eenvoudige, interne praktijk die het tien jaar geleden was. Tegenwoordig gaan gegevens door vele handen, en met elke extra schakel in de gegevensketen nemen de veiligheidsrisico's toe, terwijl het toezicht moeilijker wordt. Het uitvoeren van een gedegen due diligence-onderzoek bij een externe leverancier heeft bijvoorbeeld weinig nut als de gecontroleerde derde partij privรฉ-klantgegevens uitbesteedt aan een nalatige vierde partij en de organisatie zich daar niet van bewust is.
Vijf eenvoudige kant-en-klare stappen
Met de juiste roadmap kunnen organisaties kan het risico van derden met succes beperken. Beter nog: dure en ontwrichtende technologie-investeringen zijn niet altijd nodig. Om te beginnen is wat organisaties nodig hebben bij het uitvoeren van due diligence een verstandig plan, bekwaam personeel dat bereid is mee te doen, en een betere communicatie tussen de IT-, beveiligings- en zakelijke teams.
De eerste stap is het grondig begrijpen van het leverancierslandschap. Hoewel dit voor de hand liggend lijkt, negeren veel organisaties, vooral grote bedrijven met budgetten die moeten worden uitbesteed, deze cruciale stap. Hoewel het haastig aangaan van een relatie met een externe leverancier op de korte termijn geld kan besparen, zullen al deze besparingen teniet worden gedaan als er zich een datalek voordoet en de organisatie met hoge boetes te maken krijgt.
Na onderzoek naar het leverancierslandschap moeten organisaties bepalen welke rollen van derden โcruciaalโ zijn; deze rollen kunnen operationeel cruciaal zijn of gevoelige gegevens verwerken. Op basis van kriticiteit moeten leveranciers worden gegroepeerd op niveaus, wat flexibiliteit mogelijk maakt in de manier waarop de organisatie de leverancier beoordeelt, beoordeelt en beheert.
Het sorteren van leveranciers op hun kriticiteit kan licht werpen op de overmatige afhankelijkheid die organisaties kunnen hebben van hun externe leveranciers. Deze organisaties moeten zichzelf de vraag stellen: als deze relatie plotseling zou eindigen, hebben we dan een back-upplan? Hoe zouden we deze functie kunnen vervangen, terwijl de dagelijkse activiteiten naadloos kunnen worden voortgezet?
De derde stap is het ontwikkelen van een bestuursplan. Er moet synergie zijn tussen de drie belangrijkste takken van een organisatie om due diligence effectief uit te voeren en risico's te beheersen: het beveiligingsteam werpt licht op gaten in het beveiligingsprogramma van de leverancier, het juridische team bepaalt het juridische risico en het zakelijke team voorspelt de negatieve gevolgen. effect op de bedrijfsvoering als gegevens of bewerkingen in gevaar komen. De sleutel tot het creรซren van solide bestuur is het afstemmen van het plan op de unieke behoeften van een organisatie. Dit is vooral van toepassing op organisaties in minder gereguleerde sectoren.
De governancestap omvat het opstellen van contractuele verplichtingen. Bij cloud computing zullen bedrijfsleiders bijvoorbeeld vaak ten onrechte overhaast een contract ondertekenen zonder te begrijpen dat bepaalde beveiligingsmaatregelen wel of niet in het basispakket zijn opgenomen. Contractuele verplichtingen zijn vaak afhankelijk van de sector, maar er moet ook een gestandaardiseerde veiligheidsclausule worden ontwikkeld. Als we bijvoorbeeld een leveringsbedrijf evalueren, kan er minder aandacht zijn voor het softwareontwikkelingslevenscyclusproces (SDLC) van een leverancier en meer voor hun veerkrachtmaatregelen. Als we echter een softwarebedrijf evalueren, willen we ons concentreren op de SDLC-processen van de leverancier, zoals hoe code wordt beoordeeld en hoe de waarborgen die naar de productie moeten worden gestuurd, eruit zien.
Ten slotte moeten organisaties een exitstrategie ontwikkelen. Hoe scheidt een organisatie zich netjes af van een derde partij en zorgt er tegelijkertijd voor dat hun klantgegevens worden opgeschoond? Er zijn gevallen geweest waarin een bedrijf de banden met een leverancier verbrak om jaren later een telefoontje te krijgen met de mededeling dat hun voormalige partner een datacompromis had opgelopen en dat hun klantgegevens openbaar waren gemaakt โ ondanks dat ze in de veronderstelling waren dat deze gegevens waren gewist. Moraal van het verhaal: Ga er niet van uit. Naast een onbedoelde datalek bestaat er ook de mogelijkheid dat externe leveranciers de gegevens van een voormalige partner gebruiken voor interne ontwikkeling, zoals het gebruik van die gegevens om machine learning-modellen te bouwen. Organisaties moeten dit voorkomen door in duidelijke, specifieke en juridisch bindende termen vast te leggen hoe leveranciers gegevens zullen wissen als het partnerschap wordt beรซindigd, en wat de gevolgen zullen zijn als ze dat niet doen.
Creรซer een cultuur van gedeelde verantwoordelijkheid en voortdurende verbetering
Het hanteren van een teambenadering bij het uitvoeren van due diligence betekent dat de Chief Information Security Officer (CISO) niet volledig de verantwoordelijkheid hoeft te dragen om de risico's van een externe leverancier te verkleinen. De SEC's aanklacht tegen SolarWinds schept een zorgwekkend precedent: een CISO kan de schuld op zich nemen, zelfs als het probleem voortkomt uit disfunctioneren binnen de hele organisatie. Als de IT- en bedrijfsteams de CISO ondersteunen bij het doorlichten van externe leveranciers, wordt de weg geรซffend voor toekomstige samenwerking tussen teams, wordt de betrokkenheid van de organisatie vergroot en worden betere resultaten geboekt als het om beveiliging gaat.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach
- :is
- :niet
- :waar
- 10
- 15 jaar
- 15%
- 7
- a
- Over
- toevallig
- toegevoegd
- vergevorderd
- tegen
- agentschap
- geleden
- Alles
- toestaat
- ook
- altijd
- an
- en
- verschijnen
- toepasselijk
- nadering
- ZIJN
- armen
- kunstmatig
- kunstmatige intelligentie
- AS
- vragen
- vragen
- beoordeelt
- ervan uitgaan
- aanname
- At
- backup
- gebaseerde
- Baseline
- BE
- omdat
- wordt
- geweest
- wezen
- voordeel
- behalve
- Betere
- tussen
- verbindend
- boosts
- overtreding
- Begrotingen
- bouw
- bebouwd
- bedrijfsdeskundigen
- Zakelijke leiders
- maar
- kopen
- by
- Bellen
- CAN
- in staat
- gevallen
- ophouden
- zeker
- keten
- uitdagen
- veranderende
- lasten
- chef
- CISO
- duidelijk
- klant
- Cloud
- cloud computing
- code
- samenwerkingen
- samenwerkend
- komt
- Communicatie
- Bedrijven
- afstand
- compleet
- compromis
- Aangetast
- computergebruik
- betreffende
- Gevolgen
- aangezien
- voortgezette
- doorlopend
- contract
- contractueel
- controles
- kostbaar
- gepaard
- en je merk te creรซren
- Wij creรซren
- kritisch
- kriticiteit
- cruciaal
- Culture
- Op dit moment
- cyber
- cybercriminelen
- gevaarlijk
- gegevens
- datalek
- dagelijks
- levering
- afhankelijk
- Niettegenstaande
- Bepalen
- bepaalt
- ontwikkelen
- ontwikkelde
- Ontwikkeling
- moeilijk
- ijver
- dire
- verstorend
- do
- doet
- doesn
- doen
- don
- twee
- elk
- effect
- effectief
- opkomst
- moedigt
- einde
- verzekeren
- zorgen
- entiteit
- toevertrouwd
- vooral
- oprichting
- evalueren
- Zelfs
- Event
- voorbeeld
- bestaand
- afrit
- Exit-strategie
- verwacht
- blootgestelde
- extern
- gezichten
- Vallen
- FDIC
- beboet
- uiteinden
- Voornaam*
- vijf
- Flexibiliteit
- Focus
- volgen
- Voor
- Voormalig
- Vierde
- oppompen van
- geheel
- functie
- toekomst
- bestuur
- geleidelijk
- richtlijnen
- handen
- Hebben
- veilige haven
- zwaar
- verhoogde
- Gaten
- kap
- Hoe
- Echter
- HTTPS
- if
- geรฏmplementeerd
- verbetering
- in
- stimuleren
- incident
- inclusief
- Inkomend
- omvat
- Laat uw omzet
- in toenemende mate
- industrieรซn
- -industrie
- informatie
- informatiebeveiliging
- binnenste
- instantie
- Intelligentie
- intern
- in
- Investeringen
- isn
- Uitgegeven
- uitgevende
- IT
- HAAR
- In gevaar brengen
- jpg
- sleutel
- Landschap
- Groot
- Achternaam*
- Afgelopen jaar
- later
- leiders
- leren
- minst
- Juridisch
- juridisch team
- wettelijk
- minder
- levenscyclus van uw product
- licht
- als
- Lijn
- LINK
- Elke kleine stap levert grote resultaten op!
- ll
- longstanding
- Kijk
- LOOKS
- machine
- machine learning
- Hoofd
- beheer
- management
- beheert
- veel
- Mei..
- middel
- maatregelen
- macht
- Verzachten
- verzachtende
- model
- modellen
- geld
- moreel
- meer
- meest
- Dan moet je
- noodzakelijk
- Noodzaak
- behoeften
- negatief
- New
- Nieuwe technologieรซn
- geen
- verplichtingen
- Voor de hand liggend
- of
- vaak
- on
- Slechts
- Operations
- or
- organisatie
- organisaties
- Overige
- resultaten
- uitbesteden
- Toezicht
- pakket
- partner
- Samenwerking
- feest
- passes
- sancties
- Uitvoeren
- uitvoerend
- persoonlijk
- Personeel
- plan
- Plato
- Plato gegevensintelligentie
- PlatoData
- mogelijkheid
- praktijk
- praktijken
- Precedent
- voorspelt
- cadeautjes
- druk
- voorkomen
- privaat
- probleem
- processen
- produceert
- productie
- Programma
- gepast
- bescherming
- Duwen
- vraag
- RE
- reden
- geruststellend
- ontvangen
- reflecteren
- gereguleerd
- gereguleerde industrieรซn
- reglement
- verwantschap
- Relaties
- vervangen
- vereist
- verantwoordelijkheid
- Resultaten
- beoordeeld
- Recensies
- rechts
- Risico
- risicobeheer
- roadmap
- rollen
- haast
- s
- waarborgen
- Bespaar
- Bespaar geld
- naadloos
- SEC
- beveiligen
- veiligheid
- Veiligheidsmaatregelen
- Beveiligingsbedreigingen
- zien
- lijken
- gevoelig
- apart
- ernstig
- reeks
- Sets
- het instellen van
- gedeeld
- werpen
- schijnt
- korte termijn
- moet
- het ondertekenen van
- Eenvoudig
- Software
- software development
- solide
- specifiek
- Stadium
- begin
- vermelding
- stengels
- Stap voor
- Stappen
- Still
- Verhaal
- Strategie
- slaan
- Stakingen
- sterke
- Met goed gevolg
- dergelijk
- leed
- Pak
- ondersteuning
- Oppervlak
- synergie
- tactiek
- kleermaker
- Nemen
- team
- teams
- tech
- Technologies
- termen
- neem contact
- dat
- De
- hun
- Ze
- zich
- Er.
- Deze
- ze
- denken
- het denken
- Derde
- van derden
- dit
- grondig
- grondig
- die
- bedreigingen
- drie
- Door
- Ties
- naar
- vandaag
- top
- Transparantie
- betrouwbaar
- onbewust
- voor
- begrijpen
- begrip
- unieke
- .
- gebruik
- Ve
- verkoper
- vendors
- doorgelicht
- willen
- was
- we
- GOED
- waren
- Wat
- wanneer
- welke
- en
- WIE
- wil
- gewillig
- Met
- zonder
- werkte
- werkingen
- zou
- jaar
- jaar
- zephyrnet
