Tredjeparts cybersikkerhetsproblem for finansielle organisasjoner (Terry Olaes)

Dagens finansinstitusjoner gjennomgår en transformasjon for å modernisere organisasjonene sine, og er i økende grad avhengig av å sette ut driftsoppgaver til tredjeparter for å øke effektiviteten. Mange store finansielle organisasjoner har omfattende tredjepartsnettverk som består av en rekke leverandører og leverandører. Faktisk fant Gartner det

60% av organisasjonene samarbeide med over 1,000 tredjeparter, og det antallet vil bare vokse etter hvert som virksomheter blir mer komplekse.

Ettersom finansielle organisasjoner fortsetter å støtte seg på tredjeparter, kan ikke betydningen av å opprettholde en sterk risikostyringsplan understrekes nok til å håndtere risikoer mer effektivt og sikre overholdelse av regelverk. Gjennom denne tilnærmingen kan finansielle organisasjoner få en bedre forståelse av deres sårbarhet overfor nettangrep og fokusere utbedringstiltak deretter, og spare verdifulle ressurser ved nøyaktig å identifisere de mest virkningsfulle truslene.

Risikoen for tredjepartsnettverk

Selv om tredjepartspartnerskap bidrar til å forenkle viktige forretningsfunksjoner, øker de også innsatsen for finansinstitusjoner når det gjelder cyberrisiko. Dette kan bli spesielt komplisert med så mange enheter og tjenester som skal sikres og overvåkes, samt tredjepartsorganisasjoner som sannsynligvis er koblet til ytterligere enheter som også kan være kilden til cybersikkerhetsrisiko. Katalogen over potensielle sikkerhetsproblemer fra tredjeparter kan være katastrofale, truende sensitiv informasjon om både ansatte og kunder, økonomiske data, samt operasjoner innenfor organisasjonens forsyningskjede og andre eksterne enheter som har tilgang til privilegerte systemer. En rapport fra
Ponemon Institute fant at 51 % av virksomhetene har vært utsatt for et datainnbrudd forårsaket av en tredjepart.

For å beskytte systemer og sensitive data mot tredjepartsrisiko, investerer mange finansielle tjenesteorganisasjoner i forsikringsprosesser, som i ulik grad krever en uavhengig vurdering av tredjeparts cyber-overholdelse gjennom penetrasjonstester eller SOC 2 Type 2-sertifisering. Selv om denne tilnærmingen er praktisk, er denne typen vurdering kostbar, har synlighetshull og representerer fortsatt bare en tilnærming av risiko på et enkelt tidspunkt.

En ny tilnærming til håndtering av tredjepartsrisiko

Den økende kompleksiteten til tredjepartsnettverk har gjort det spesielt utfordrende å få innsikt i innvirkning forårsaket av sårbarheter, spesielt for større organisasjoner. Finansielle organisasjoner trenger en moderne tilnærming til cybersikkerhet, en som kan identifisere, måle, prioritere og håndtere alle risikoer. For å skape en risikofokusert tilnærming som er i stand til å bekjempe tredjepartsrisiko, bør finansorganisasjoner vurdere å implementere noen få kritiske strategier:

• Risikoscore: Scoring av cyberrisiko gir et objektivt rammeverk for å evaluere sikkerhetsstilling som tar i betraktning et bredt spekter av risikofaktorer fra innsiden og utenfor en organisasjon. Ved å konvertere disse evalueringene til en lettfattelig representasjon av kvantitativ cyberrisiko, kan organisasjoner bedre forstå hvor trygge eiendelene deres er og hvor de må forbedres.
• Sårbarhetsprioritering: Denne strategien vurderer automatisk trusselintelligens, aktivakontekst og angrepsbaneanalyse. Organisasjoner med komplekse miljøer og begrensede ressurser kan målrette innsatsen der det betyr noe ved å prioritere og redusere sårbarheter som utgjør den største risikoen.
• Eksponeringsanalyse: Eksponeringsanalyse identifiserer utnyttbare sårbarheter og korrelerer data med en organisasjons nettverkskonfigurasjoner og sikkerhetskontroller for å avgjøre om et system er sårbart for cyberangrep. Denne strategien bestemmer hvilke angrepsvektorer eller nettverksbaner som kan brukes for å få tilgang til sårbare systemer. Det muliggjør også mer detaljerte alternativer når en tredjepart utgjør en uakseptabel risiko ved å identifisere nettverkstilgangspunktene deres og tilby et "kill switch"-alternativ for å ta partneren offline uten å påvirke andre partnere.

Effektive nettsikkerhetsstrategier må gi kontinuerlig forsikring om tredjeparts risikoer og sårbarheter. En moderne, risikobasert tilnærming til cybersikkerhet muliggjør angrepssimulering, samsvar og synlighet som lar organisasjoner se alle inngangs- og tilgangspunkter og utføre bane- og eksponeringsanalyse. Ved å implementere en risikobasert tilnærming til cybersikkerhet, kan finansielle organisasjoner virkelig redusere tredjeparts cybersikkerhetsrisiko.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoAiStream. Web3 Data Intelligence. Kunnskap forsterket. Tilgang her.
• Minting the Future med Adryenn Ashley. Tilgang her.
• kilde: https://www.finextra.com/blogposting/24140/the-third-party-cybersecurity-problem-for-financial-organizations?utm_medium=rssfinextra&utm_source=finextrablogs