Проблема сторонней кибербезопасности для финансовых организаций (Терри Олаес)

Сегодня финансовые учреждения претерпевают трансформацию, чтобы модернизировать свои организации, все больше полагаясь на аутсорсинг операционных задач третьим сторонам для повышения эффективности. Многие крупные финансовые организации имеют разветвленные сторонние сети, состоящие из многочисленных поставщиков и продавцов. На самом деле Gartner обнаружил, что

60% организаций работать с более чем 1,000 третьих лиц, и это число будет только расти по мере усложнения бизнеса.

Поскольку финансовые организации продолжают полагаться на третьи стороны, невозможно переоценить важность наличия надежного плана управления рисками для более эффективного управления рисками и обеспечения соблюдения нормативных требований. Благодаря этому подходу финансовые организации могут лучше понять свою уязвимость перед кибератаками и соответствующим образом сосредоточить усилия по устранению последствий, экономя ценные ресурсы за счет точного выявления наиболее серьезных угроз.

Риск сторонних сетей

Хотя сторонние партнерские отношения помогают упростить основные бизнес-функции, они также повышают ставки для финансовых учреждений с точки зрения кибер-рисков. Это может стать особенно сложным из-за большого количества сущностей и служб, которые необходимо защищать и отслеживать, а также сторонних организаций, которые, вероятно, связаны с дополнительными сущностями, которые также могут быть источником риска кибербезопасности. Список потенциальных проблем безопасности со стороны третьих лиц может иметь катастрофические последствия, угрожая конфиденциальной информации как сотрудников, так и клиентов, финансовым данным, а также операциям в цепочке поставок организации и другим внешним субъектам, имеющим доступ к привилегированным системам. Доклад
Институт Понемона обнаружили, что 51% предприятий пострадали от утечки данных, вызванной третьей стороной.

Чтобы защитить системы и конфиденциальные данные от сторонних рисков, многие организации, предоставляющие финансовые услуги, инвестируют средства в процессы обеспечения безопасности, которые в той или иной степени требуют независимой оценки стороннего соответствия требованиям кибербезопасности посредством тестов на проникновение или сертификации SOC 2 Type 2. Несмотря на то, что этот подход практичен, этот тип оценки является дорогостоящим, имеет пробелы в видимости и по-прежнему представляет собой лишь приблизительную оценку риска в один момент времени.

Новый подход к управлению рисками третьих лиц

Растущая сложность сторонних сетей делает получение информации о последствиях уязвимостей особенно сложной задачей, особенно для крупных организаций. Финансовым организациям нужен современный подход к кибербезопасности, который может выявлять, измерять, расставлять приоритеты и управлять всеми рисками. Чтобы создать риск-ориентированный подход, способный бороться с рисками третьих сторон, финансовым организациям следует рассмотреть возможность реализации нескольких важнейших стратегий:

• Оценка рисков: Оценка кибер-риска обеспечивает объективную основу для оценки состояния безопасности, которая учитывает широкий спектр факторов риска внутри и вне организации. Преобразовывая эти оценки в простое для восприятия представление количественных кибер-рисков, организации могут лучше понять, насколько безопасны их активы и что им нужно улучшить.
• Приоритизация уязвимостей: эта стратегия автоматически учитывает информацию об угрозах, контекст активов и анализ путей атаки. Организации со сложной средой и ограниченными ресурсами могут направить свои усилия туда, где это необходимо, расставив приоритеты и устранив уязвимости, представляющие наибольший риск.
• Анализ экспозиции: анализ подверженности выявляет уязвимости, которые можно использовать, и сопоставляет данные с конфигурациями сети и средствами безопасности организации, чтобы определить, уязвима ли система для кибератак. Эта стратегия определяет, какие векторы атак или сетевые пути могут использоваться для доступа к уязвимым системам. Это также обеспечивает более детализированные варианты, когда третья сторона представляет неприемлемый риск, определяя свои точки доступа к сети и предоставляя опцию «выключатель», чтобы отключить партнера, не затрагивая других партнеров.

Эффективные стратегии кибербезопасности должны обеспечивать постоянную гарантию сторонних рисков и уязвимостей. Современный подход к кибербезопасности, основанный на оценке рисков, обеспечивает моделирование атак, соответствие требованиям и прозрачность, что позволяет организациям видеть все точки входа и доступа, а также выполнять анализ путей и рисков. Внедряя риск-ориентированный подход к кибербезопасности, финансовые организации могут действительно снизить риски кибербезопасности третьих сторон.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• ПлатонАйСтрим. Анализ данных Web3. Расширение знаний. Доступ здесь.
• Чеканка будущего с Эдриенн Эшли. Доступ здесь.
• Источник: https://www.finextra.com/blogposting/24140/the-third-party-cybersecurity-problem-for-financial-organizations?utm_medium=rssfinextra&utm_source=finextrablogs