För att minska risken från tredje part krävs ett samarbetande, grundligt tillvägagångssätt

KOMMENTAR

Att minska risken för tredje part kan tyckas skrämmande när man överväger mängden av inkommande regler i kombination med cyberkriminellas allt mer avancerade taktik. De flesta organisationer har dock mer handlingskraft och flexibilitet än de tror att de har. Tredjeparts riskhantering kan byggas ovanpå befintliga riskstyrningsmetoder och säkerhetskontroller som för närvarande implementeras på företaget. Det som är betryggande med den här modellen är att det innebär att organisationer inte helt behöver skrota sitt befintliga skydd för att framgångsrikt minska risker från tredje part – och detta uppmuntrar en kultur av gradvis, kontinuerlig förbättring. 

Tredjepartsrisk utgör en unik utmaning för organisationer. På ytan kan en tredje part framstå som pålitlig. Men utan fullständig insyn i den tredje parts leverantörens inre funktioner, hur kan en organisation säkerställa att data som anförtrotts dem är säker?

Ofta förringar organisationer denna pressande fråga, på grund av de långvariga relationer de har med sina tredjepartsleverantörer. Eftersom de har arbetat med en tredjepartsleverantör i 15 år, ser de ingen anledning att äventyra deras förhållande genom att be att "titta under huven." Men den här tankegången är farlig – en cyberincident kan inträffa när eller var den minst förväntas.

Ett landskap i förändring

När ett dataintrång inträffar kan inte bara organisationen bötfällas som en enhet, utan personliga konsekvenser kan också utfärdas. Förra året, FDIC skärpte sina riktlinjer för tredje parts risk, vilket skapar förutsättningar för andra branscher att följa efter. Med framväxten av ny teknik som artificiell intelligens kan resultatet av att en tredje part missköter data bli fruktansvärda. Inkommande regler kommer att återspegla dessa allvarliga konsekvenser genom att utfärda hårda straff till dem som inte har utvecklat starka kontroller.

Förutom nya regler bör framväxten av fjärde- och till och med femtepartsleverantörer uppmuntra organisationer att säkra sina externa data. Mjukvara är inte den enkla, interna praxis som den var för 10 år sedan – idag passerar data genom många händer, och med varje ytterligare länk till datakedjan ökar säkerhetshoten samtidigt som övervakningen blir svårare. Till exempel, att utföra korrekt due diligence på en tredjepartsleverantör är till liten fördel om den granskade tredje parten lägger ut privata klientdata till en försumlig fjärde part och organisationen inte är medveten om det.

Fem enkla steg ur kartongen

Med rätt färdplan, organisationer kan framgångsrikt minska risken för tredje part. Ännu bättre, dyra och störande tekniska investeringar är inte alltid nödvändiga. Till att börja med, vad organisationer behöver när de utför due diligence är en förnuftig plan, kompetent personal som är villig att köpa in och förbättrad kommunikation mellan IT-, säkerhets- och affärsteamen.

Det första steget är att grundligt förstå säljarlandskapet. Även om detta kan verka självklart, försummar många organisationer, särskilt stora företag med budgetar att lägga ut på entreprenad, detta avgörande steg. Även om ett snabbt upprättande av en tredjepartsleverantörsrelation kan spara pengar på kort sikt, kommer alla dessa besparingar att raderas om ett dataintrång inträffar och organisationen står inför rejäla böter.

Efter att ha undersökt leverantörslandskapet bör organisationer avgöra vilka tredjepartsroller som är "kritiska" - dessa roller kan vara operativt kritiska eller bearbeta känslig data. Baserat på kritikalitet bör leverantörer grupperas efter nivåer, vilket möjliggör flexibilitet i hur organisationen bedömer, granskar och hanterar leverantören.

Att sortera leverantörer efter deras kritik kan kasta ljus över den övertillit organisationer kan ha på sina tredjepartsleverantörer. Dessa organisationer måste fråga sig själva: Om denna relation plötsligt skulle upphöra, har vi en backupplan? Hur skulle vi ersätta denna funktion samtidigt som vi sömlöst fortsätter den dagliga verksamheten?

Det tredje steget är att ta fram en plan för styrning. Det måste finnas synergi mellan de tre huvudarmarna i en organisation för att effektivt utföra due diligence och hantera risker – säkerhetsteamet lyser upp hål i leverantörens säkerhetsprogram, det juridiska teamet avgör juridisk risk och affärsteamet förutsäger den negativa kaskadutvecklingen effekt på verksamheten om data eller verksamhet äventyras. Nyckeln till att skapa solid styrning är att skräddarsy planen för att passa en organisations unika behov. Detta gäller särskilt organisationer i mindre reglerade branscher.

Styrningssteget innefattar utarbetandet av avtalsförpliktelser. Till exempel, ofta inom cloud computing, kommer företagsledare av misstag att skynda sig att underteckna ett kontrakt utan att förstå att vissa säkerhetsåtgärder kan inkluderas i baspaketet eller inte. Avtalsförpliktelser är ofta branschberoende, men en standardisera säkerhetsklausul bör också utvecklas. Till exempel, om vi utvärderar ett leveransföretag, kan det vara mindre fokus på en leverantörs process för mjukvaruutvecklingslivscykel (SDLC) och mer på deras motståndskraftsåtgärder. Men om vi utvärderar ett mjukvaruföretag kommer vi att vilja fokusera på leverantörens SDLC:s processer, såsom hur kod granskas och hur säkerhetsåtgärderna för att driva till produktion ser ut. 

Slutligen måste organisationer utveckla en exitstrategi. Hur separeras en organisation rent från en tredje part samtidigt som den säkerställer att deras kunddata rengörs? Det har förekommit fall där ett företag bryter banden med en leverantör bara för att få ett samtal flera år senare som informerar dem om att deras tidigare partner drabbats av en datakompromettering och att deras kunddata avslöjades – trots att de antog att dessa data raderades. Moralen i historien: Anta inte. Förutom ett oavsiktligt dataintrång, finns det också möjligheten att tredjepartsleverantörer kommer att använda en tidigare partners data för intern utveckling, till exempel att använda dessa data för att bygga modeller för maskininlärning. Organisationer måste förhindra detta genom att i tydliga, specifika och juridiskt bindande termer ange hur leverantörer kommer att radera data i händelse av att partnerskapet upphör, och vilka konsekvenserna blir om de inte gör det.

Skapa en kultur av delat ansvar och ständiga förbättringar 

Att ta ett team för att utföra due diligence innebär att informationssäkerhetschefen (CISO) inte fullt ut behöver axla ansvaret för att ta bort risken för en tredjepartsleverantör. De SEC:s anklagelser mot SolarWinds skapa ett oroande prejudikat — en CISO kan ta fallet, även om problemet härrör från organisationsomfattande dysfunktion. Om IT- och affärsteamen stödjer CISO i granskning av tredjepartsleverantörer sätter det scenen för framtida samarbeten mellan team, ökar organisationens inköp och ger bättre resultat när det kommer till säkerhet.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach