Zmanjšanje tveganja tretjih oseb zahteva sodelovalen, temeljit pristop

KOMENTAR

Zmanjšanje tveganja tretjih oseb se morda zdi zastrašujoče, če upoštevamo množico prihajajočih predpisov skupaj z vedno bolj naprednimi taktikami kibernetskih kriminalcev. Vendar ima večina organizacij več delovanja in prilagodljivosti, kot si mislijo. Upravljanje tveganj tretjih oseb je mogoče zgraditi na podlagi obstoječih praks obvladovanja tveganj in varnostnih kontrol, ki se trenutno izvajajo v podjetju. Pri tem modelu je pomirjujoče to, da pomeni, da organizacijam ni treba v celoti opustiti svoje obstoječe zaščite, da bi uspešno ublažile tveganje tretjih oseb – in to spodbuja kulturo postopnega, nenehnega izboljševanja. 

Tveganje tretjih oseb predstavlja edinstven izziv za organizacije. Na prvi pogled se lahko tretja oseba zdi vredna zaupanja. Toda brez popolne preglednosti notranjega delovanja tega zunanjega prodajalca, kako lahko organizacija zagotovi, da so podatki, ki so ji zaupani, varni?

Organizacije pogosto omalovažujejo to pereče vprašanje zaradi dolgoletnih odnosov, ki jih imajo s svojimi tretjimi ponudniki. Ker so 15 let sodelovali z neodvisnim prodajalcem, ne bodo videli nobenega razloga, da bi ogrozili svoje razmerje s tem, da bi zahtevali, da »pogledajo pod pokrov«. Vendar je takšno razmišljanje nevarno – kibernetski incident lahko prizadene takrat ali tam, kjer ga najmanj pričakujemo.

Spreminjajoča se pokrajina

Ko pride do kršitve podatkov, je organizacija lahko kaznovana ne samo kot subjekt, ampak so lahko izdane tudi osebne posledice. Lansko leto, FDIC je poostril svoje smernice glede tveganja tretjih oseb, ki postavlja temelje za druge industrije, da jim sledijo. S pojavom novih tehnologij, kot je umetna inteligenca, so lahko posledice napačnega upravljanja podatkov s strani tretje osebe grozljive. Prihodnji predpisi bodo odražali te resne posledice z izdajo strogih kazni za tiste, ki niso razvili močnega nadzora.

Poleg novih predpisov bi moral pojav četrtih in celo petih ponudnikov spodbuditi organizacije, da zavarujejo svoje zunanje podatke. Programska oprema ni preprosta interna praksa, kot je bila pred 10 leti – danes gredo podatki skozi številne roke in z vsako dodano povezavo v podatkovno verigo se varnostne grožnje povečajo, nadzor pa postane težji. Na primer, ustrezen skrbni pregled pri zunanjem prodajalcu nima velike koristi, če preverjena tretja oseba oddaja zasebne podatke strank malomarni četrti stranki in se organizacija tega ne zaveda.

Pet preprostih korakov izven okvirja

S pravim načrtom, organizacije lahko uspešno ublaži tveganje tretjih oseb. Še bolje, drage in prelomne tehnološke naložbe niso vedno potrebne. Za začetek je tisto, kar organizacije potrebujejo pri izvajanju skrbnega pregleda, razumen načrt, sposobno osebje, ki je pripravljeno kupiti, in izboljšana komunikacija med IT, varnostnimi in poslovnimi ekipami.

Prvi korak je temeljito razumevanje krajine prodajalca. Čeprav se to morda zdi očitno, številne organizacije, zlasti velika podjetja s proračuni za zunanje izvajanje, zanemarjajo ta ključni korak. Medtem ko lahko nagla vzpostavitev odnosa s tretjim ponudnikom kratkoročno prihrani denar, bodo vsi ti prihranki izbrisani, če pride do kršitve podatkov in se organizacija sooči z visokimi globami.

Po raziskavi okolice prodajalcev bi morale organizacije določiti, katere vloge tretjih oseb so "kritične" - te vloge so lahko operativno kritične ali obdelujejo občutljive podatke. Na podlagi kritičnosti je treba prodajalce razvrstiti po stopnjah, kar omogoča prilagodljivost pri tem, kako organizacija ocenjuje, pregleduje in upravlja prodajalca.

Razvrščanje prodajalcev glede na njihovo kritičnost lahko osvetli preveliko zanašanje organizacij na njihove zunanje prodajalce. Te organizacije se morajo vprašati: ali imamo rezervni načrt, če bi ta odnos nenadoma prenehal? Kako bi nadomestili to funkcijo in hkrati nemoteno nadaljevali z vsakodnevnimi operacijami?

Tretji korak je izdelava načrta upravljanja. Med tremi glavnimi vejami organizacije mora obstajati sinergija, da se učinkovito opravi skrbni pregled in obvladuje tveganje – varnostna ekipa osvetli luknje v varnostnem programu prodajalca, pravna ekipa določi pravno tveganje, poslovna ekipa pa napove negativno kaskadno učinek na operacije, če so podatki ali operacije ogroženi. Ključ do ustvarjanja trdnega upravljanja je prilagoditev načrta tako, da bo ustrezal edinstvenim potrebam organizacije. To še posebej velja za organizacije v manj reguliranih panogah.

Korak upravljanja vključuje pripravo pogodbenih obveznosti. Na primer, v računalništvu v oblaku bodo vodje podjetij pogosto pomotoma pohiteli s podpisom pogodbe, ne da bi razumeli, da so določeni varnostni ukrepi lahko ali pa tudi ne vključeni v osnovni paket. Pogodbene obveznosti so pogosto odvisne od industrije, vendar je treba razviti tudi standardizirano varnostno klavzulo. Na primer, če ocenjujemo dostavno podjetje, je morda manj poudarka na procesu življenjskega cikla razvoja programske opreme (SDLC) prodajalca in več na njegovih ukrepih odpornosti. Če pa ocenjujemo podjetje za programsko opremo, se bomo želeli osredotočiti na prodajalčeve postopke SDLC, na primer na to, kako se koda pregleda in kako izgledajo zaščitni ukrepi za prenos v proizvodnjo. 

Končno morajo organizacije razviti izhodno strategijo. Kako se organizacija čisto loči od tretje osebe, hkrati pa zagotovi, da so njeni podatki strank prečiščeni? Bili so primeri, ko podjetje prekine vezi s prodajalcem le zato, da leta pozneje prejme klic, ki ga obvesti, da je bil njihov nekdanji partner ogrožen s podatki in da so bili podatki o njegovih strankah razkriti – kljub temu, da se je domnevalo, da so bili ti podatki izbrisani. Morala zgodbe: Ne domnevajte. Poleg nenamerne kršitve podatkov obstaja tudi možnost, da bodo tretji ponudniki uporabili podatke nekdanjega partnerja za notranji razvoj, kot je uporaba teh podatkov za izdelavo modelov strojnega učenja. Organizacije morajo to preprečiti tako, da v jasnih, specifičnih in pravno zavezujočih pogojih navedejo, kako bodo prodajalci izbrisali podatke v primeru prekinitve partnerstva in kakšne bodo posledice, če tega ne storijo.

Ustvarite kulturo deljene odgovornosti in nenehnega izboljševanja 

Skupinski pristop k izvajanju skrbnega pregleda pomeni, da glavnemu uradniku za informacijsko varnost (CISO) ni treba v celoti prevzeti odgovornosti za zmanjšanje tveganja zunanjega prodajalca. The Obtožbe SEC proti SolarWinds postaviti zaskrbljujoč precedens – CISO lahko prevzame napako, tudi če težava izvira iz disfunkcije celotne organizacije. Če IT in poslovne ekipe podpirajo CISO pri preverjanju zunanjih ponudnikov, to postavlja temelje za prihodnje sodelovanje med ekipami, povečuje prevzem organizacije in daje boljše rezultate, ko gre za varnost.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach