Atenuarea riscului terților necesită o abordare de colaborare și amănunțită

COMENTARIU

Atenuarea riscului terților poate părea descurajantă atunci când luăm în considerare multitudinea de reglementări primite, împreună cu tacticile din ce în ce mai avansate ale infractorilor cibernetici. Cu toate acestea, majoritatea organizațiilor au mai multă agenție și flexibilitate decât cred că au. Managementul riscului de la terți poate fi construit pe baza practicilor existente de guvernare a riscurilor și a controalelor de securitate care sunt implementate în prezent la companie. Ceea ce este liniștitor la acest model este că înseamnă că organizațiile nu trebuie să-și abandoneze complet protecția existentă pentru a atenua cu succes riscul terților – iar acest lucru încurajează o cultură a îmbunătățirii graduale și continue. 

Riscul terțelor părți reprezintă o provocare unică pentru organizații. La suprafață, o terță parte poate părea demnă de încredere. Dar fără o transparență completă în funcționarea interioară a acelui furnizor terț, cum poate o organizație să se asigure că datele care le sunt încredințate sunt sigure?

Adesea, organizațiile minimizează această întrebare presantă, din cauza relațiilor de lungă durată pe care le au cu furnizorii lor terți. Deoarece au lucrat cu un furnizor terț timp de 15 ani, nu vor vedea niciun motiv să-și pună în pericol relația cerând „să se uite sub capotă”. Cu toate acestea, această linie de gândire este periculoasă - un incident cibernetic poate lovi când sau unde este cel mai puțin așteptat.

Un peisaj în schimbare

Atunci când se produce o încălcare a datelor, nu numai că organizația poate fi amendată ca entitate, dar pot fi emise și consecințe personale. Anul trecut, FDIC și-a înăsprit liniile directoare privind riscul terților, pregătind terenul pentru ca alte industrii să urmeze exemplul. Odată cu apariția noilor tehnologii, cum ar fi inteligența artificială, rezultatele gestionării greșite a datelor de către o terță parte pot fi îngrozitoare. Reglementările care apar vor reflecta aceste consecințe grave prin emiterea de sancțiuni dure celor care nu au dezvoltat controale puternice.

Pe lângă noile reglementări, apariția unor furnizori a patra și chiar a cincea părți ar trebui să stimuleze organizațiile să-și securizeze datele externe. Software-ul nu este practica internă simplă de acum 10 ani - astăzi, datele trec prin mai multe mâini și, cu fiecare verigă adăugată la lanțul de date, amenințările de securitate cresc, în timp ce supravegherea devine mai dificilă. De exemplu, efectuarea unei verificări corespunzătoare asupra unui furnizor terță parte este de puțin beneficiu dacă terțul verificat externalizează datele clienților private unei terțe părți neglijente și organizația nu este conștientă de acest lucru.

Cinci pași simpli de tip out-of-the-box

Cu foaia de parcurs potrivită, organizații poate atenua cu succes riscul terților. Mai bine, investițiile în tehnologie costisitoare și perturbatoare nu sunt întotdeauna necesare. Pentru început, ceea ce au nevoie organizațiile atunci când efectuează due diligence este un plan sensibil, personal capabil și dispus să accepte și o comunicare sporită între echipele IT, de securitate și de afaceri.

Primul pas este să înțelegeți în detaliu peisajul furnizorului. Deși acest lucru poate părea evident, multe organizații, în special companiile mari cu bugete de externalizat, neglijează acest pas crucial. În timp ce stabilirea în grabă a unei relații cu furnizorii terți poate economisi bani pe termen scurt, toate aceste economii vor fi șterse dacă are loc o încălcare a datelor și organizația se confruntă cu amenzi mari.

După ce au cercetat peisajul furnizorilor, organizațiile ar trebui să determine care roluri terță parte sunt „critice” – aceste roluri pot fi critice din punct de vedere operațional sau pot procesa date sensibile. Pe baza criticității, furnizorii ar trebui grupați pe niveluri, ceea ce permite flexibilitate în modul în care organizația evaluează, revizuiește și gestionează furnizorul.

Sortarea furnizorilor în funcție de criticitatea lor poate face lumină asupra dependenței excesive pe care organizațiile le-ar putea avea față de furnizorii lor terți. Aceste organizații trebuie să se întrebe: dacă această relație ar înceta brusc, avem un plan de rezervă? Cum am înlocui această funcție în timp ce continuăm fără probleme operațiunile de zi cu zi?

Al treilea pas este elaborarea unui plan de guvernare. Trebuie să existe sinergie între cele trei brațe principale ale unei organizații pentru a efectua eficient due diligence și pentru a gestiona riscul — echipa de securitate pune lumină asupra găurilor din programul de securitate al furnizorului, echipa juridică determină riscul legal, iar echipa de afaceri prezice cascada negativă. efect asupra operațiunilor dacă datele sau operațiunile sunt compromise. Cheia pentru crearea unei guvernări solide este de a adapta planul pentru a se potrivi nevoilor unice ale unei organizații. Acest lucru este aplicabil în special organizațiilor din industriile mai puțin reglementate.

Etapa de guvernare include redactarea obligațiilor contractuale. De exemplu, adesea în cloud computing, liderii de afaceri se vor grăbi din greșeală să semneze un contract fără să înțeleagă că anumite măsuri de securitate pot fi incluse sau nu în pachetul de bază. Obligațiile contractuale depind adesea de industrie, dar ar trebui dezvoltată și o clauză de securitate standardizată. De exemplu, dacă evaluăm o companie de livrare, s-ar putea să se concentreze mai puțin pe procesul ciclului de viață al dezvoltării software (SDLC) al unui furnizor și mai mult despre măsurile de rezistență ale acestora. Cu toate acestea, dacă evaluăm o companie de software, vom dori să ne concentrăm asupra proceselor SDLC ale furnizorului, cum ar fi modul în care este revizuit codul și cum arată garanțiile pentru a le împinge în producție. 

În cele din urmă, organizațiile trebuie să dezvolte o strategie de ieșire. Cum se separă o organizație de o terță parte, asigurându-se în același timp că datele clienților lor sunt curățate? Au existat cazuri în care o companie întrerupe legăturile cu un furnizor doar pentru a primi un apel ani mai târziu, care îi informează că fostul lor partener a suferit un compromis de date și că datele clienților lor au fost expuse - în ciuda presupunerii că aceste date au fost șterse. Morala povestirii: Nu presupune. Pe lângă o încălcare accidentală a datelor, există și posibilitatea ca furnizorii terți să folosească datele unui fost partener pentru dezvoltarea internă, cum ar fi utilizarea acestor date pentru a construi modele de învățare automată. Organizațiile trebuie să prevină acest lucru, declarând în termeni clari, specifici și obligatorii din punct de vedere juridic modul în care furnizorii vor șterge datele în cazul încetării parteneriatului și care vor fi consecințele dacă nu o vor face.

Creați o cultură a responsabilității partajate și a îmbunătățirii continue 

Adoptarea unei abordări de echipă pentru efectuarea due diligence înseamnă că responsabilul șef de securitate a informațiilor (CISO) nu trebuie să-și asume pe deplin responsabilitatea de a reduce riscul unui furnizor terță parte. The Acuzațiile SEC împotriva SolarWinds să stabilească un precedent îngrijorător – un CISO poate suferi căderea, chiar dacă problema provine din disfuncția organizației. Dacă echipele de IT și de afaceri sprijină CISO în verificarea furnizorilor terți, acesta pregătește scena pentru viitoare colaborări între echipe, stimulează acceptarea organizației și produce rezultate mai bune când vine vorba de securitate.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach