Снижение рисков третьих сторон требует совместного и тщательного подхода

КОММЕНТАРИЙ

Снижение риска со стороны третьих сторон может показаться сложной задачей, если принять во внимание множество новых нормативных актов в сочетании со все более продвинутыми тактиками киберпреступников. Однако большинство организаций обладают большей свободой действий и гибкостью, чем они думают. Стороннее управление рисками может быть построено на основе существующих практик управления рисками и мер безопасности, которые в настоящее время внедрены в компании. Что обнадеживает в этой модели, так это то, что она означает, что организациям не придется полностью отказываться от существующей защиты, чтобы успешно снизить риски третьих сторон, и это способствует развитию культуры постепенного и непрерывного улучшения. 

Сторонние риски представляют собой уникальную проблему для организаций. На первый взгляд третья сторона может показаться заслуживающей доверия. Но как организация может гарантировать безопасность доверенных ей данных без полной прозрачности внутренней работы стороннего поставщика?

Часто организации преуменьшают значение этого насущного вопроса из-за давних отношений со сторонними поставщиками. Поскольку они работали со сторонним поставщиком в течение 15 лет, они не видят причин ставить под угрозу свои отношения, прося «заглянуть под капот». Однако такой образ мышления опасен: киберинцидент может произойти тогда и там, где его меньше всего ожидают.

Меняющийся пейзаж

В случае утечки данных организация может быть не только оштрафована как юридическое лицо, но также могут быть наложены личные последствия. В прошлом году, Федеральная корпорация по страхованию вкладов (FDIC) ужесточила свои правила в отношении рисков третьих лиц, подготавливая почву для того, чтобы другие отрасли последовали этому примеру. С появлением новых технологий, таких как искусственный интеллект, последствия неправильного управления данными третьей стороной могут быть ужасными. Новые правила отразят эти серьезные последствия путем введения суровых наказаний для тех, кто не разработал строгий контроль.

Помимо новых правил, появление четвертых и даже сторонних поставщиков должно стимулировать организации защищать свои внешние данные. Программное обеспечение уже не является той простой внутренней практикой, которая была 10 лет назад: сегодня данные проходят через множество рук, и с каждым добавленным звеном в цепочку данных угрозы безопасности возрастают, а надзор становится все сложнее. Например, проведение надлежащей комплексной проверки стороннего поставщика принесет мало пользы, если проверенная третья сторона передает данные частных клиентов небрежной четвертой стороне, а организация об этом не знает.

Пять простых готовых шагов

Имея правильную дорожную карту, организации может успешно снизить риск третьих сторон. Более того, дорогостоящие и разрушительные инвестиции в технологии не всегда необходимы. Начнем с того, что организациям при проведении комплексной проверки нужен разумный план, компетентный персонал, готовый принять участие, а также усиленное взаимодействие между ИТ-отделами, службами безопасности и бизнес-подразделениями.

Первый шаг — тщательно понять ситуацию с поставщиками. Хотя это может показаться очевидным, многие организации, особенно крупные компании, у которых есть бюджеты на аутсорсинг, пренебрегают этим важным шагом. Хотя поспешное установление отношений со сторонним поставщиком может сэкономить деньги в краткосрочной перспективе, вся эта экономия будет сведена на нет, если произойдет утечка данных и организации грозят крупные штрафы.

Изучив среду поставщиков, организации должны определить, какие сторонние роли являются «критическими» — эти роли могут быть критически важными для эксплуатации или обрабатывать конфиденциальные данные. В зависимости от критичности поставщики должны быть сгруппированы по уровням, что обеспечивает гибкость в том, как организация оценивает, проверяет и управляет поставщиком.

Сортировка поставщиков по критичности может пролить свет на чрезмерную зависимость организаций от своих сторонних поставщиков. Эти организации должны спросить себя: если эти отношения внезапно прекратятся, есть ли у нас запасной план? Как бы мы заменили эту функцию, продолжая при этом бесперебойную повседневную работу?

Третий шаг – разработать план управления. Для эффективного проведения комплексной проверки и управления рисками необходима синергия между тремя основными подразделениями организации: команда безопасности проливает свет на дыры в программе безопасности поставщика, команда юристов определяет юридические риски, а бизнес-команда прогнозирует негативное каскадное развитие событий. влияние на операции, если данные или операции будут скомпрометированы. Ключом к созданию надежного управления является адаптация плана к уникальным потребностям организации. Это особенно применимо к организациям в менее регулируемых отраслях.

Этап управления включает в себя разработку договорных обязательств. Например, часто в сфере облачных вычислений бизнес-лидеры по ошибке спешат подписать контракт, не понимая, что определенные меры безопасности могут быть включены или не включены в базовый пакет. Контрактные обязательства часто зависят от отрасли, но следует также разработать стандартизированное положение о безопасности. Например, если мы оцениваем компанию-поставщика, возможно, меньше внимания будет уделяться процессу жизненного цикла разработки программного обеспечения (SDLC) поставщика, а больше — мерам устойчивости. Однако, если мы оцениваем компанию-разработчика программного обеспечения, мы хотим сосредоточиться на процессах SDLC поставщика, например, на том, как проверяется код и как выглядят меры безопасности для внедрения в производство. 

Наконец, организациям необходимо разработать стратегию выхода. Как организация четко отделяется от третьей стороны, обеспечивая при этом очистку данных своих клиентов? Были случаи, когда компания разрывала связи с поставщиком только для того, чтобы спустя годы ей позвонили и сообщили, что ее бывший партнер пострадал от компрометации данных и что данные ее клиента были раскрыты, несмотря на то, что предполагалось, что эти данные были удалены. Мораль этой истории: не предполагайте. Помимо случайной утечки данных, существует также вероятность того, что сторонние поставщики будут использовать данные бывшего партнера для внутренних разработок, например, для создания моделей машинного обучения. Организации должны предотвратить это, заявив в ясных, конкретных и юридически обязывающих терминах, как поставщики будут удалять данные в случае прекращения партнерства и каковы будут последствия, если они этого не сделают.

Создайте культуру общей ответственности и постоянного совершенствования 

Использование группового подхода к проведению комплексной проверки означает, что директору по информационной безопасности (CISO) не придется полностью брать на себя ответственность за снижение рисков стороннего поставщика. Обвинения SEC против SolarWinds создал тревожный прецедент: директор по информационной безопасности может взять на себя ответственность, даже если проблема связана с дисфункцией всей организации. Если ИТ- и бизнес-команды поддерживают директора по информационной безопасности в проверке сторонних поставщиков, это создает основу для будущего межкомандного сотрудничества, повышает заинтересованность организации и дает лучшие результаты, когда дело касается безопасности.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach