การลดความเสี่ยงจากบุคคลที่สามต้องอาศัยความร่วมมือและแนวทางที่ละเอียดถี่ถ้วน

COMMENTARY

การลดความเสี่ยงจากบุคคลที่สามอาจดูน่ากังวลเมื่อพิจารณาถึงกฎข้อบังคับที่เข้ามามากมาย ควบคู่ไปกับกลยุทธ์ที่ก้าวหน้ามากขึ้นของอาชญากรไซเบอร์ อย่างไรก็ตาม องค์กรส่วนใหญ่มีเอเจนซี่และความยืดหยุ่นมากกว่าที่คิด การจัดการความเสี่ยงของบุคคลที่สามสามารถสร้างขึ้นได้จากแนวทางปฏิบัติด้านการกำกับดูแลความเสี่ยงและการควบคุมความปลอดภัยที่มีอยู่ในปัจจุบันที่บริษัทนำไปใช้ สิ่งที่ทำให้มั่นใจเกี่ยวกับโมเดลนี้คือ หมายความว่าองค์กรต่างๆ ไม่จำเป็นต้องละทิ้งการป้องกันที่มีอยู่ทั้งหมดเพื่อลดความเสี่ยงจากบุคคลที่สามได้สำเร็จ และสิ่งนี้ส่งเสริมวัฒนธรรมของการปรับปรุงอย่างค่อยเป็นค่อยไปอย่างต่อเนื่อง 

ความเสี่ยงจากบุคคลที่สามถือเป็นความท้าทายที่ไม่เหมือนใครสำหรับองค์กร เมื่อดูเผินๆ บุคคลที่สามอาจดูน่าเชื่อถือได้ แต่หากไม่มีความโปร่งใสอย่างสมบูรณ์ในการทำงานภายในของผู้จำหน่ายบุคคลที่สาม องค์กรจะมั่นใจได้อย่างไรว่าข้อมูลที่ได้รับความไว้วางใจนั้นปลอดภัย

บ่อยครั้งที่องค์กรมองข้ามคำถามเร่งด่วนนี้ เนื่องจากความสัมพันธ์อันยาวนานที่พวกเขามีกับผู้จำหน่ายบุคคลที่สาม เนื่องจากพวกเขาทำงานร่วมกับผู้จำหน่ายบุคคลที่สามมาเป็นเวลา 15 ปีแล้ว พวกเขาจะไม่เห็นเหตุผลที่จะทำลายความสัมพันธ์ของพวกเขาด้วยการขอให้ "มองลึกลงไป" อย่างไรก็ตาม แนวความคิดนี้เป็นอันตราย เนื่องจากเหตุการณ์ทางไซเบอร์สามารถเกิดขึ้นได้ในเวลาหรือสถานที่ที่คาดว่าจะเกิดขึ้นน้อยที่สุด

ภูมิทัศน์ที่เปลี่ยนไป

เมื่อเกิดการละเมิดข้อมูล ไม่เพียงแต่องค์กรจะถูกปรับในฐานะนิติบุคคลเท่านั้น แต่ยังอาจมีผลกระทบส่วนบุคคลด้วยเช่นกัน ปีที่แล้ว, FDIC ได้กระชับแนวทางเกี่ยวกับความเสี่ยงของบุคคลที่สามให้รัดกุมเพื่อเป็นการสร้างเวทีให้อุตสาหกรรมอื่นๆ ตามมา ด้วยการเกิดขึ้นของเทคโนโลยีใหม่ๆ เช่น ปัญญาประดิษฐ์ ผลลัพธ์ของการจัดการข้อมูลที่ไม่ถูกต้องโดยบุคคลที่สามอาจเลวร้ายได้ กฎระเบียบที่เข้ามาจะสะท้อนถึงผลกระทบร้ายแรงเหล่านี้โดยการออกบทลงโทษที่รุนแรงแก่ผู้ที่ไม่ได้พัฒนาการควบคุมที่เข้มงวด

นอกเหนือจากกฎระเบียบใหม่แล้ว การเกิดขึ้นของผู้จำหน่ายบุคคลที่สามและบุคคลที่ห้าควรจูงใจองค์กรให้รักษาความปลอดภัยข้อมูลภายนอกของตน ซอฟต์แวร์ไม่ใช่เรื่องง่าย แต่เป็นแนวทางปฏิบัติภายในเมื่อ 10 ปีที่แล้ว ในปัจจุบัน ข้อมูลถูกส่งผ่านมือหลายๆ คน และด้วยการเพิ่มแต่ละลิงก์ไปยังห่วงโซ่ข้อมูล ภัยคุกคามด้านความปลอดภัยก็เพิ่มขึ้น ในขณะที่การควบคุมดูแลกลายเป็นเรื่องยากมากขึ้น ตัวอย่างเช่น การตรวจสอบสถานะอย่างเหมาะสมกับผู้ขายบุคคลที่สามนั้นมีประโยชน์เพียงเล็กน้อย หากบุคคลที่สามที่ได้รับการตรวจสอบแล้วว่าจ้างข้อมูลลูกค้าส่วนตัวจากภายนอกให้กับบุคคลที่สามที่ประมาทเลินเล่อ และองค์กรไม่ทราบเรื่องนี้

ห้าขั้นตอนง่ายๆ นอกกรอบ

ด้วยแผนงานที่ถูกต้ององค์กร สามารถลดความเสี่ยงของบุคคลที่สามได้สำเร็จ- ยังดีกว่าการลงทุนด้านเทคโนโลยีที่มีราคาแพงและก่อกวนไม่จำเป็นเสมอไป ประการแรก สิ่งที่องค์กรต้องการเมื่อดำเนินการตรวจสอบสถานะคือแผนที่สมเหตุสมผล บุคลากรที่มีความสามารถเต็มใจที่จะยอมรับ และการสื่อสารที่เพิ่มขึ้นระหว่างทีมไอที ความปลอดภัย และธุรกิจ

ขั้นตอนแรกคือการทำความเข้าใจภูมิทัศน์ของผู้ขายอย่างถี่ถ้วน แม้ว่าสิ่งนี้อาจดูชัดเจน แต่องค์กรหลายแห่ง โดยเฉพาะบริษัทขนาดใหญ่ที่มีงบประมาณในการจ้างบุคคลภายนอก ละเลยขั้นตอนสำคัญนี้ แม้ว่าการสร้างความสัมพันธ์ระหว่างผู้ขายกับบุคคลที่สามอย่างเร่งรีบอาจช่วยประหยัดเงินได้ในระยะสั้น แต่การประหยัดเหล่านั้นทั้งหมดจะถูกลบทิ้งหากเกิดการละเมิดข้อมูล และองค์กรต้องเผชิญกับค่าปรับจำนวนมาก

หลังจากการค้นคว้าภาพรวมของผู้ขาย องค์กรควรพิจารณาว่าบทบาทของบุคคลที่สามใดที่ “มีความสำคัญ” — บทบาทเหล่านี้อาจมีความสำคัญในการปฏิบัติงานหรือประมวลผลข้อมูลที่ละเอียดอ่อน ตามภาวะวิกฤต ผู้จัดจำหน่ายควรถูกจัดกลุ่มตามระดับ ซึ่งช่วยให้องค์กรมีความยืดหยุ่นในการประเมิน ทบทวน และจัดการผู้ขาย

การเรียงลำดับผู้จัดจำหน่ายตามความสำคัญของพวกเขาสามารถให้ความกระจ่างเกี่ยวกับองค์กรที่พึ่งพามากเกินไปอาจมีกับผู้จัดจำหน่ายบุคคลที่สามของตน องค์กรเหล่านี้ต้องถามตัวเองว่า ถ้าความสัมพันธ์นี้ต้องยุติลงกะทันหัน เรามีแผนสำรองหรือไม่? เราจะแทนที่ฟังก์ชันนี้ในขณะที่ดำเนินการในแต่ละวันได้อย่างราบรื่นได้อย่างไร

ขั้นตอนที่สามคือการพัฒนาแผนการกำกับดูแล จะต้องมีการทำงานร่วมกันระหว่างหน่วยงานหลักทั้งสามขององค์กรเพื่อดำเนินการตรวจสอบสถานะและจัดการความเสี่ยงอย่างมีประสิทธิภาพ ทีมรักษาความปลอดภัยให้ความกระจ่างเกี่ยวกับช่องโหว่ในโปรแกรมความปลอดภัยของผู้ขาย ทีมกฎหมายกำหนดความเสี่ยงทางกฎหมาย และทีมธุรกิจคาดการณ์การเรียงซ้อนเชิงลบ ผลกระทบต่อการดำเนินงานหากข้อมูลหรือการดำเนินงานถูกบุกรุก กุญแจสำคัญในการสร้างธรรมาภิบาลที่มั่นคงคือการปรับแผนให้เหมาะสมกับความต้องการเฉพาะขององค์กร สิ่งนี้ใช้ได้กับองค์กรในอุตสาหกรรมที่มีการควบคุมน้อยโดยเฉพาะ

ขั้นตอนการกำกับดูแลประกอบด้วยการร่างข้อผูกพันตามสัญญา ตัวอย่างเช่น บ่อยครั้งในการประมวลผลแบบคลาวด์ ผู้นำธุรกิจมักจะรีบเซ็นสัญญาโดยไม่ได้ตั้งใจโดยไม่เข้าใจว่ามาตรการรักษาความปลอดภัยบางอย่างอาจรวมหรือไม่รวมไว้ในแพ็คเกจพื้นฐานก็ได้ ภาระผูกพันตามสัญญามักขึ้นอยู่กับอุตสาหกรรม แต่ควรพัฒนาข้อกำหนดด้านความปลอดภัยที่เป็นมาตรฐานด้วยเช่นกัน ตัวอย่างเช่น หากเรากำลังประเมินบริษัทจัดส่ง อาจให้ความสำคัญกับกระบวนการวงจรการพัฒนาซอฟต์แวร์ (SDLC) ของผู้ขายน้อยลง และให้ความสำคัญกับมาตรการความยืดหยุ่นของบริษัทเหล่านั้นน้อยลง อย่างไรก็ตาม หากเรากำลังประเมินบริษัทซอฟต์แวร์ เราจะต้องมุ่งเน้นไปที่กระบวนการของ SDLC ของผู้จำหน่าย เช่น วิธีการตรวจสอบโค้ด และลักษณะของการป้องกันในการผลักดันไปสู่การใช้งานจริง 

สุดท้าย องค์กรจำเป็นต้องพัฒนากลยุทธ์ทางออก องค์กรจะแยกออกจากบุคคลที่สามอย่างหมดจดได้อย่างไรพร้อมทั้งรับประกันว่าข้อมูลลูกค้าจะถูกขัดเกลา? มีหลายกรณีที่บริษัทตัดความสัมพันธ์กับผู้ขายเพียงเพื่อรับโทรศัพท์ในปีต่อมา โดยแจ้งให้ทราบว่าอดีตหุ้นส่วนของพวกเขาประสบปัญหาข้อมูลรั่วไหล และข้อมูลลูกค้าของพวกเขาถูกเปิดเผย แม้ว่าจะอยู่ภายใต้สมมติฐานว่าข้อมูลนี้ถูกลบไปแล้วก็ตาม คุณธรรมของเรื่อง: อย่าถือว่า. นอกจากการละเมิดข้อมูลโดยไม่ตั้งใจแล้ว ยังมีความเป็นไปได้ที่ผู้จำหน่ายบุคคลที่สามจะใช้ข้อมูลของพันธมิตรเก่าเพื่อการพัฒนาภายใน เช่น การใช้ข้อมูลนั้นเพื่อสร้างโมเดลการเรียนรู้ของเครื่อง องค์กรต้องป้องกันสิ่งนี้ด้วยการระบุเงื่อนไขที่ชัดเจน เฉพาะเจาะจง และมีผลผูกพันทางกฎหมายว่าผู้ขายจะลบข้อมูลอย่างไรในกรณีที่ความร่วมมือสิ้นสุดลง และผลที่ตามมาจะเป็นอย่างไรหากไม่ทำเช่นนั้น

สร้างวัฒนธรรมแห่งความรับผิดชอบร่วมกันและการปรับปรุงอย่างต่อเนื่อง 

การใช้แนวทางแบบทีมในการดำเนินการตรวจสอบสถานะหมายความว่าหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล (CISO) ไม่จำเป็นต้องแบกรับความรับผิดชอบอย่างเต็มที่ในการลดความเสี่ยงของผู้จำหน่ายบุคคลที่สาม ที่ ข้อกล่าวหาของ ก.ล.ต. ต่อ SolarWinds กำหนดแบบอย่างที่เกี่ยวข้อง — CISO สามารถล้มลงได้ แม้ว่าปัญหาจะเกิดจากความผิดปกติทั่วทั้งองค์กรก็ตาม หากทีมไอทีและธุรกิจสนับสนุน CISO ในการคัดเลือกผู้จำหน่ายจากภายนอก จะเป็นการปูทางสำหรับการทำงานร่วมกันข้ามทีมในอนาคต เพิ่มการยอมรับในองค์กร และสร้างผลลัพธ์ที่ดีขึ้นในเรื่องความปลอดภัย

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach