Ograniczanie ryzyka stron trzecich wymaga wspólnego i dokładnego podejścia

KOMENTARZ

Ograniczanie ryzyka stron trzecich może wydawać się zniechęcające, biorąc pod uwagę mnogość nadchodzących przepisów w połączeniu z coraz bardziej zaawansowaną taktyką cyberprzestępców. Jednak większość organizacji ma większą swobodę działania i elastyczność, niż im się wydaje. Zarządzanie ryzykiem stron trzecich można zbudować w oparciu o istniejące praktyki zarządzania ryzykiem i kontrole bezpieczeństwa, które są obecnie wdrożone w firmie. Pocieszający w tym modelu jest fakt, że organizacje nie muszą całkowicie rezygnować z istniejącej ochrony, aby skutecznie ograniczyć ryzyko stron trzecich — a to zachęca do stosowania kultury stopniowego, ciągłego doskonalenia. 

Ryzyko stron trzecich stanowi wyjątkowe wyzwanie dla organizacji. Na pozór osoba trzecia może sprawiać wrażenie godnej zaufania. Jak jednak organizacja może zapewnić bezpieczeństwo powierzonych jej danych bez całkowitej przejrzystości wewnętrznego działania tego zewnętrznego dostawcy?

Organizacje często bagatelizują tę palącą kwestię ze względu na długotrwałe relacje, jakie utrzymują z zewnętrznymi dostawcami. Ponieważ od 15 lat współpracują z zewnętrznym dostawcą, nie widzą powodu, aby narażać swoje relacje, prosząc o „zajrzenie pod maskę”. Jednak taki sposób myślenia jest niebezpieczny — incydent cybernetyczny może nastąpić w najmniej spodziewanym momencie lub miejscu.

Zmieniający się krajobraz

W przypadku naruszenia bezpieczeństwa danych organizacja może zostać ukarana grzywną nie tylko jako podmiot, ale mogą również zostać nałożone konsekwencje osobiste. Ostatni rok, FDIC zaostrzyła swoje wytyczne dotyczące ryzyka stron trzecich, przygotowując grunt dla innych branż, które mogą pójść w ich ślady. Wraz z pojawieniem się nowych technologii, takich jak sztuczna inteligencja, skutki niewłaściwego zarządzania danymi przez stronę trzecią mogą być tragiczne. Nadchodzące regulacje odzwierciedlą te poważne konsekwencje, nakładając surowe kary na tych, którzy nie rozwinęli silnych kontroli.

Oprócz nowych przepisów pojawienie się dostawców czwartych, a nawet piątych powinno zachęcać organizacje do zabezpieczania swoich danych zewnętrznych. Oprogramowanie nie jest już taką prostą, wewnętrzną praktyką, jak 10 lat temu — dziś dane przechodzą przez wiele rąk, a każde dodatkowe ogniwo w łańcuchu danych zwiększa zagrożenia bezpieczeństwa, a nadzór staje się trudniejszy. Na przykład przeprowadzenie należytej staranności wobec zewnętrznego dostawcy przyniesie niewielkie korzyści, jeśli sprawdzona strona trzecia zleca dane prywatnego klienta niedbałej stronie czwartej, a organizacja nie jest tego świadoma.

Pięć prostych, gotowych do użycia kroków

Dzięki odpowiedniemu planowi działania organizacje może skutecznie ograniczać ryzyko stron trzecich. Co więcej, kosztowne i destrukcyjne inwestycje technologiczne nie zawsze są konieczne. Zacznijmy od tego, czego organizacje potrzebują przy przeprowadzaniu należytej staranności to rozsądny plan, kompetentny personel, który chce się zgodzić, oraz usprawniona komunikacja między zespołami IT, bezpieczeństwa i biznesem.

Pierwszym krokiem jest dokładne zrozumienie środowiska dostawców. Choć może się to wydawać oczywiste, wiele organizacji, zwłaszcza dużych firm dysponujących budżetem do outsourcingu, zaniedbuje ten kluczowy krok. Chociaż pośpieszne nawiązanie współpracy z zewnętrznym dostawcą może w krótkim okresie zaoszczędzić pieniądze, wszystkie te oszczędności zostaną utracone w przypadku naruszenia bezpieczeństwa danych, a organizacji grożą wysokie kary.

Po zbadaniu krajobrazu dostawców organizacje powinny określić, które role stron trzecich są „krytyczne” — role te mogą mieć kluczowe znaczenie operacyjne lub przetwarzać wrażliwe dane. W oparciu o krytyczność dostawców należy grupować według poziomów, co pozwala na elastyczność w sposobie, w jaki organizacja ocenia, przegląda i zarządza dostawcą.

Sortowanie dostawców według ich krytyczności może rzucić światło na nadmierne poleganie organizacji na zewnętrznych dostawcach. Organizacje te muszą zadać sobie pytanie: czy mamy plan awaryjny, gdyby ta relacja nagle się skończyła? Jak zastąpić tę funkcję, jednocześnie płynnie kontynuując codzienną pracę?

Trzecim krokiem jest opracowanie planu zarządzania. Aby skutecznie przeprowadzić należytą staranność i zarządzać ryzykiem, musi istnieć synergia między trzema głównymi ramionami organizacji — zespół ds. bezpieczeństwa rzuca światło na luki w programie bezpieczeństwa dostawcy, zespół prawny określa ryzyko prawne, a zespół biznesowy przewiduje negatywne skutki kaskadowe wpływ na operacje, jeśli dane lub operacje zostaną naruszone. Kluczem do stworzenia solidnego zarządzania jest dostosowanie planu do unikalnych potrzeb organizacji. Ma to szczególne zastosowanie w przypadku organizacji działających w mniej regulowanych branżach.

Etap zarządzania obejmuje opracowanie zobowiązań umownych. Na przykład często w przypadku przetwarzania w chmurze liderzy biznesowi omyłkowo pośpieszą z podpisaniem umowy, nie rozumiejąc, że pewne środki bezpieczeństwa mogą, ale nie muszą, być uwzględnione w pakiecie podstawowym. Zobowiązania umowne często zależą od branży, należy jednak opracować również standaryzującą klauzulę bezpieczeństwa. Na przykład, jeśli oceniamy firmę dostawczą, możemy w mniejszym stopniu skupiać się na procesie cyklu życia oprogramowania (SDLC) dostawcy, a bardziej na miarach odporności. Jeśli jednak oceniamy firmę zajmującą się oprogramowaniem, będziemy chcieli skupić się na procesach SDLC dostawcy, takich jak sposób sprawdzania kodu i jak wyglądają zabezpieczenia umożliwiające przekazanie oprogramowania do produkcji. 

Wreszcie organizacje muszą opracować strategię wyjścia. W jaki sposób organizacja może skutecznie oddzielić się od strony trzeciej, jednocześnie upewniając się, że dane jej klientów zostały usunięte? Zdarzały się przypadki, gdy firma zrywała współpracę z dostawcą, a po latach otrzymała telefon z informacją, że jej były partner doznał naruszenia bezpieczeństwa danych i że dane jej klientów zostały ujawnione – pomimo założenia, że ​​dane te zostały usunięte. Morał z tej historii: nie zakładaj. Oprócz przypadkowego naruszenia bezpieczeństwa danych istnieje również możliwość, że zewnętrzni dostawcy wykorzystają dane byłego partnera do celów wewnętrznego rozwoju, na przykład wykorzystania tych danych do tworzenia modeli uczenia maszynowego. Organizacje muszą temu zapobiec, określając w jasnych, konkretnych i prawnie wiążących warunkach, w jaki sposób dostawcy usuną dane w przypadku zakończenia współpracy i jakie będą konsekwencje, jeśli tego nie zrobią.

Stwórz kulturę wspólnej odpowiedzialności i ciągłego doskonalenia 

Przyjęcie zespołowego podejścia do należytej staranności oznacza, że ​​dyrektor ds. bezpieczeństwa informacji (CISO) nie musi w pełni brać na siebie odpowiedzialności za zmniejszenie ryzyka dla zewnętrznego dostawcy. The Zarzuty SEC wobec SolarWinds ustanowić niepokojący precedens — CISO może ponieść upadek, nawet jeśli problem wynika z dysfunkcji całej organizacji. Jeśli zespoły IT i biznesowe wspierają CISO w weryfikacji zewnętrznych dostawców, przygotowuje to grunt pod przyszłą współpracę międzyzespołową, zwiększa zaangażowanie organizacji i zapewnia lepsze wyniki w zakresie bezpieczeństwa.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach