KOMMENTAR
Å redusere tredjepartsrisiko kan virke skremmende når man vurderer mengden av innkommende reguleringer kombinert med den stadig mer avanserte taktikken til nettkriminelle. Imidlertid har de fleste organisasjoner mer handlefrihet og fleksibilitet enn de tror de har. Tredjeparts risikostyring kan bygges på toppen av eksisterende risikostyringspraksis og sikkerhetskontroller som for tiden er implementert i selskapet. Det som er betryggende med denne modellen er at det betyr at organisasjoner ikke trenger å fullstendig skrote sin eksisterende beskyttelse for å lykkes med å redusere tredjepartsrisiko – og dette oppmuntrer til en kultur med gradvis, kontinuerlig forbedring.
Tredjepartsrisiko utgjør en unik utfordring for organisasjoner. På overflaten kan en tredjepart fremstå som pålitelig. Men uten fullstendig åpenhet om den indre funksjonen til den tredjepartsleverandøren, hvordan kan en organisasjon sikre at data som er betrodd dem er sikre?
Ofte bagatelliserer organisasjoner dette presserende spørsmålet på grunn av de langvarige relasjonene de har med sine tredjepartsleverandører. Fordi de har jobbet med en tredjepartsleverandør i 15 år, vil de ikke se noen grunn til å sette forholdet i fare ved å be om å «se under panseret». Imidlertid er denne tankegangen farlig - en cyberhendelse kan inntreffe når eller hvor det er minst forventet.
Et landskap i endring
Når et databrudd inntreffer, kan ikke bare organisasjonen bli bøtelagt som en enhet, men personlige konsekvenser kan også bli gitt. I fjor, FDIC strammet sine retningslinjer for tredjepartsrisiko, satte scenen for at andre bransjer kan følge etter. Med fremveksten av nye teknologier som kunstig intelligens, kan utfallet av feilhåndtering av data av en tredjepart bli alvorlig. Innkommende forskrifter vil reflektere disse alvorlige konsekvensene ved å gi strenge straffer til de som ikke har utviklet sterke kontroller.
I tillegg til nye forskrifter, bør fremveksten av fjerde- og til og med femtepartsleverandører oppmuntre organisasjoner til å sikre sine eksterne data. Programvare er ikke den enkle, interne praksisen den var for 10 år siden – i dag passerer data gjennom mange hender, og med hver tilføyd lenke til datakjeden øker sikkerhetstruslene mens tilsynet blir vanskeligere. For eksempel er det liten fordel å utføre riktig due diligence på en tredjepartsleverandør hvis den kontrollerte tredjeparten outsourcer private klientdata til en uaktsom fjerdepart og organisasjonen ikke er klar over det.
Fem enkle ut-av-boksen trinn
Med riktig veikart, organisasjoner kan redusere tredjepartsrisiko. Enda bedre, kostbare og forstyrrende teknologiinvesteringer er ikke alltid nødvendig. Til å begynne med, det organisasjoner trenger når de utfører due diligence, er en fornuftig plan, dyktig personell som er villig til å kjøpe seg inn, og økt kommunikasjon mellom IT-, sikkerhets- og forretningsteamene.
Det første trinnet er å forstå leverandørlandskapet grundig. Selv om dette kan virke åpenbart, neglisjerer mange organisasjoner, spesielt store selskaper med budsjetter å outsource, dette avgjørende trinnet. Selv om det å raskt etablere et tredjepartsleverandørforhold kan spare penger på kort sikt, vil alle disse besparelsene bli slettet hvis et datainnbrudd oppstår og organisasjonen står overfor store bøter.
Etter å ha undersøkt leverandørlandskapet, bør organisasjoner finne ut hvilke tredjepartsroller som er "kritiske" - disse rollene kan være operasjonskritiske eller behandle sensitive data. Basert på kritikkverdighet bør leverandører grupperes etter nivåer, noe som gir mulighet for fleksibilitet i hvordan organisasjonen vurderer, vurderer og administrerer leverandøren.
Sortering av leverandører etter deres kritikkverdighet kan kaste lys over den overavhengigheten organisasjoner kan ha til sine tredjepartsleverandører. Disse organisasjonene må spørre seg selv: Hvis dette forholdet plutselig skulle opphøre, har vi en reserveplan? Hvordan ville vi erstatte denne funksjonen mens vi sømløst fortsetter den daglige driften?
Det tredje trinnet er å utvikle en plan for styring. Det må være synergi mellom de tre hovedarmene i en organisasjon for å effektivt utføre due diligence og håndtere risiko – sikkerhetsteamet kaster lys over hull i leverandørens sikkerhetsprogram, det juridiske teamet bestemmer juridisk risiko, og forretningsteamet forutsier den negative kaskaden. effekt på driften hvis data eller drift blir kompromittert. Nøkkelen til å skape solid styring er å skreddersy planen for å passe en organisasjons unike behov. Dette gjelder spesielt organisasjoner i mindre regulerte bransjer.
Styringstrinnet omfatter utforming av kontraktsforpliktelser. For eksempel, ofte innen cloud computing, vil bedriftsledere feilaktig skynde seg å signere en kontrakt uten å forstå at visse sikkerhetstiltak kan være inkludert i grunnpakken. Kontraktsforpliktelser er ofte bransjeavhengige, men det bør også utvikles en standardiseringsklausul. For eksempel, hvis vi evaluerer et leveringsselskap, kan det være mindre fokus på en leverandørs programvareutviklingslivssyklus-prosess (SDLC) og mer på deres motstandsdyktighetstiltak. Men hvis vi vurderer et programvareselskap, vil vi fokusere på leverandørens SDLCs prosesser, for eksempel hvordan kode gjennomgås og hvordan sikkerhetstiltakene for å presse til produksjon ser ut.
Til slutt må organisasjoner utvikle en exit-strategi. Hvordan skiller en organisasjon seg fra en tredjepart samtidig som den sikrer at klientdataene deres er skrubbet? Det har vært tilfeller der et selskap bryter båndet med en leverandør for å motta en samtale år senere som informerer dem om at deres tidligere partner led et datakompromittering og at deres klientdata ble avslørt - til tross for at de antok at disse dataene ble slettet. Moralen i historien: Ikke anta. Foruten et utilsiktet datainnbrudd, er det også muligheten for at tredjepartsleverandører vil bruke en tidligere partners data til intern utvikling, for eksempel å bruke disse dataene til å bygge maskinlæringsmodeller. Organisasjoner må forhindre dette ved å angi i klare, spesifikke og juridisk bindende vilkår hvordan leverandører vil slette data i tilfelle partnerskapet avsluttes, og hva konsekvensene vil være hvis de ikke gjør det.
Skap en kultur med delt ansvar og kontinuerlig forbedring
Å ha en teamtilnærming til å utføre due diligence betyr at informasjonssikkerhetssjefen (CISO) ikke trenger å ta fullstendig ansvar for å fjerne risikoen for en tredjepartsleverandør. De SECs anklager mot SolarWinds skape en bekymringsfull presedens - en CISO kan ta fallet, selv om problemet stammer fra organisasjonsomfattende dysfunksjon. Hvis IT- og forretningsteamene støtter CISO i å vurdere tredjepartsleverandører, setter det scenen for fremtidige samarbeid på tvers av team, øker organisasjonens innkjøp og gir bedre resultater når det kommer til sikkerhet.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach
- :er
- :ikke
- :hvor
- 10
- 15 år
- 15%
- 7
- a
- Om oss
- utilsiktet
- la til
- avansert
- mot
- byrå
- siden
- Alle
- tillater
- også
- alltid
- an
- og
- vises
- aktuelt
- tilnærming
- ER
- armer
- kunstig
- kunstig intelligens
- AS
- spør
- spør
- Vurderer
- anta
- forutsetningen
- At
- Backup
- basert
- Baseline
- BE
- fordi
- blir
- vært
- være
- nytte
- foruten
- Bedre
- mellom
- bindende
- øker
- brudd
- Budsjetter
- bygge
- bygget
- virksomhet
- Bedriftsledere
- men
- kjøpe
- by
- ring
- CAN
- stand
- saker
- opphøre
- viss
- kjede
- utfordre
- endring
- avgifter
- sjef
- CISO
- fjerne
- kunde
- Cloud
- cloud computing
- kode
- samarbeid
- samarbeids
- kommer
- Kommunikasjon
- Selskaper
- Selskapet
- fullføre
- kompromiss
- kompromittert
- databehandling
- angå
- Konsekvenser
- vurderer
- fortsetter
- kontinuerlig
- kontrakt
- kontraktsmessige
- kontroller
- kostbar
- kombinert
- skape
- Opprette
- kritisk
- kritikalitet
- avgjørende
- Kultur
- I dag
- cyber
- nettkriminelle
- Dangerous
- dato
- datainnbrudd
- dag til dag
- levering
- avhengig
- Til tross for
- Bestem
- bestemmes
- utvikle
- utviklet
- Utvikling
- vanskelig
- aktsomhet
- dire
- forstyrrende
- do
- gjør
- doesn
- gjør
- Don
- to
- hver enkelt
- effekt
- effektivt
- veksten
- oppmuntrer
- slutt
- sikre
- sikrer
- enhet
- betrodd
- spesielt
- etablere
- evaluere
- Selv
- Event
- eksempel
- eksisterende
- Utgang
- Slutt strategi
- forventet
- utsatt
- utvendig
- ansikter
- Fall
- FDIC
- bøtelagt
- bøter
- Først
- fem
- fleksibilitet
- Fokus
- følge
- Til
- Tidligere
- Fjerde
- fra
- fullt
- funksjon
- framtid
- styresett
- gradvis
- retningslinjer
- hender
- Ha
- haven
- heftig
- økt
- Holes
- panser
- Hvordan
- Men
- HTTPS
- if
- implementert
- forbedring
- in
- incentivise
- hendelse
- inkludert
- Innkommende
- inkorporerer
- Øke
- stadig
- bransjer
- industri
- informasjon
- informasjonssikkerhet
- indre
- f.eks
- Intelligens
- intern
- inn
- Investeringer
- er n
- Utstedt
- utstedelse
- IT
- DET ER
- sette på spill
- jpg
- nøkkel
- landskap
- stor
- Siste
- I fjor
- seinere
- ledere
- læring
- minst
- Lovlig
- juridisk team
- lovlig
- mindre
- Livssyklus
- lett
- i likhet med
- linje
- LINK
- lite
- ll
- årige
- Se
- UTSEENDE
- maskin
- maskinlæring
- Hoved
- administrer
- ledelse
- forvalter
- mange
- Kan..
- midler
- målinger
- kunne
- Minske
- formildende
- modell
- modeller
- penger
- moralsk
- mer
- mest
- må
- nødvendig
- Trenger
- behov
- negativ
- Ny
- Ny teknologi
- Nei.
- bindinger
- Åpenbare
- of
- ofte
- on
- bare
- Drift
- or
- organisasjon
- organisasjoner
- Annen
- utfall
- outsource
- oppsyn
- pakke
- partner
- Partnerskap
- parti
- passerer
- straffer
- Utfør
- utfører
- personlig
- ansatte
- fly
- plato
- Platon Data Intelligence
- PlatonData
- mulighet
- praksis
- praksis
- Presedens
- spår
- gaver
- trykke
- forebygge
- privat
- Problem
- prosess
- Prosesser
- produserer
- Produksjon
- program
- ordentlig
- beskyttelse
- Skyv
- spørsmål
- RE
- grunnen til
- betryggende
- motta
- reflektere
- regulert
- regulerte næringer
- forskrifter
- forholdet
- Relasjoner
- erstatte
- Krever
- ansvar
- Resultater
- anmeldt
- Anmeldelser
- ikke sant
- Risiko
- risikostyring
- veikart
- roller
- jag
- s
- sikringstiltak
- Spar
- Besparelser
- sømløst
- SEK
- sikre
- sikkerhet
- Sikkerhetstiltak
- Sikkerhetstrusler
- se
- synes
- sensitive
- separat
- alvorlig
- sett
- sett
- innstilling
- delt
- skur
- skinner
- kortsiktig
- bør
- signering
- Enkelt
- Software
- programvareutvikling
- solid
- spesifikk
- Scene
- Begynn
- sier
- stammer
- Trinn
- Steps
- Still
- Story
- Strategi
- streik
- streik
- sterk
- vellykket
- slik
- LED
- Dress
- støtte
- overflaten
- synergi
- taktikk
- skredder
- Ta
- lag
- lag
- tech
- Technologies
- vilkår
- enn
- Det
- De
- deres
- Dem
- seg
- Der.
- Disse
- de
- tror
- tenker
- Tredje
- tredjeparts
- denne
- grundig
- grundig
- De
- trusler
- tre
- Gjennom
- Ties
- til
- i dag
- topp
- Åpenhet
- troverdig
- uvitende
- etter
- forstå
- forståelse
- unik
- bruke
- ved hjelp av
- Ve
- leverandør
- leverandører
- undersøkt
- ønsker
- var
- we
- VI VIL
- var
- Hva
- når
- hvilken
- mens
- HVEM
- vil
- villig
- med
- uten
- arbeidet
- hjemkomsten
- ville
- år
- år
- zephyrnet
