COMMENTARY
การลดความเสี่ยงจากบุคคลที่สามอาจดูน่ากังวลเมื่อพิจารณาถึงกฎข้อบังคับที่เข้ามามากมาย ควบคู่ไปกับกลยุทธ์ที่ก้าวหน้ามากขึ้นของอาชญากรไซเบอร์ อย่างไรก็ตาม องค์กรส่วนใหญ่มีเอเจนซี่และความยืดหยุ่นมากกว่าที่คิด การจัดการความเสี่ยงของบุคคลที่สามสามารถสร้างขึ้นได้จากแนวทางปฏิบัติด้านการกำกับดูแลความเสี่ยงและการควบคุมความปลอดภัยที่มีอยู่ในปัจจุบันที่บริษัทนำไปใช้ สิ่งที่ทำให้มั่นใจเกี่ยวกับโมเดลนี้คือ หมายความว่าองค์กรต่างๆ ไม่จำเป็นต้องละทิ้งการป้องกันที่มีอยู่ทั้งหมดเพื่อลดความเสี่ยงจากบุคคลที่สามได้สำเร็จ และสิ่งนี้ส่งเสริมวัฒนธรรมของการปรับปรุงอย่างค่อยเป็นค่อยไปอย่างต่อเนื่อง
ความเสี่ยงจากบุคคลที่สามถือเป็นความท้าทายที่ไม่เหมือนใครสำหรับองค์กร เมื่อดูเผินๆ บุคคลที่สามอาจดูน่าเชื่อถือได้ แต่หากไม่มีความโปร่งใสอย่างสมบูรณ์ในการทำงานภายในของผู้จำหน่ายบุคคลที่สาม องค์กรจะมั่นใจได้อย่างไรว่าข้อมูลที่ได้รับความไว้วางใจนั้นปลอดภัย
บ่อยครั้งที่องค์กรมองข้ามคำถามเร่งด่วนนี้ เนื่องจากความสัมพันธ์อันยาวนานที่พวกเขามีกับผู้จำหน่ายบุคคลที่สาม เนื่องจากพวกเขาทำงานร่วมกับผู้จำหน่ายบุคคลที่สามมาเป็นเวลา 15 ปีแล้ว พวกเขาจะไม่เห็นเหตุผลที่จะทำลายความสัมพันธ์ของพวกเขาด้วยการขอให้ "มองลึกลงไป" อย่างไรก็ตาม แนวความคิดนี้เป็นอันตราย เนื่องจากเหตุการณ์ทางไซเบอร์สามารถเกิดขึ้นได้ในเวลาหรือสถานที่ที่คาดว่าจะเกิดขึ้นน้อยที่สุด
ภูมิทัศน์ที่เปลี่ยนไป
เมื่อเกิดการละเมิดข้อมูล ไม่เพียงแต่องค์กรจะถูกปรับในฐานะนิติบุคคลเท่านั้น แต่ยังอาจมีผลกระทบส่วนบุคคลด้วยเช่นกัน ปีที่แล้ว, FDIC ได้กระชับแนวทางเกี่ยวกับความเสี่ยงของบุคคลที่สามให้รัดกุมเพื่อเป็นการสร้างเวทีให้อุตสาหกรรมอื่นๆ ตามมา ด้วยการเกิดขึ้นของเทคโนโลยีใหม่ๆ เช่น ปัญญาประดิษฐ์ ผลลัพธ์ของการจัดการข้อมูลที่ไม่ถูกต้องโดยบุคคลที่สามอาจเลวร้ายได้ กฎระเบียบที่เข้ามาจะสะท้อนถึงผลกระทบร้ายแรงเหล่านี้โดยการออกบทลงโทษที่รุนแรงแก่ผู้ที่ไม่ได้พัฒนาการควบคุมที่เข้มงวด
นอกเหนือจากกฎระเบียบใหม่แล้ว การเกิดขึ้นของผู้จำหน่ายบุคคลที่สามและบุคคลที่ห้าควรจูงใจองค์กรให้รักษาความปลอดภัยข้อมูลภายนอกของตน ซอฟต์แวร์ไม่ใช่เรื่องง่าย แต่เป็นแนวทางปฏิบัติภายในเมื่อ 10 ปีที่แล้ว ในปัจจุบัน ข้อมูลถูกส่งผ่านมือหลายๆ คน และด้วยการเพิ่มแต่ละลิงก์ไปยังห่วงโซ่ข้อมูล ภัยคุกคามด้านความปลอดภัยก็เพิ่มขึ้น ในขณะที่การควบคุมดูแลกลายเป็นเรื่องยากมากขึ้น ตัวอย่างเช่น การตรวจสอบสถานะอย่างเหมาะสมกับผู้ขายบุคคลที่สามนั้นมีประโยชน์เพียงเล็กน้อย หากบุคคลที่สามที่ได้รับการตรวจสอบแล้วว่าจ้างข้อมูลลูกค้าส่วนตัวจากภายนอกให้กับบุคคลที่สามที่ประมาทเลินเล่อ และองค์กรไม่ทราบเรื่องนี้
ห้าขั้นตอนง่ายๆ นอกกรอบ
ด้วยแผนงานที่ถูกต้ององค์กร สามารถลดความเสี่ยงของบุคคลที่สามได้สำเร็จ- ยังดีกว่าการลงทุนด้านเทคโนโลยีที่มีราคาแพงและก่อกวนไม่จำเป็นเสมอไป ประการแรก สิ่งที่องค์กรต้องการเมื่อดำเนินการตรวจสอบสถานะคือแผนที่สมเหตุสมผล บุคลากรที่มีความสามารถเต็มใจที่จะยอมรับ และการสื่อสารที่เพิ่มขึ้นระหว่างทีมไอที ความปลอดภัย และธุรกิจ
ขั้นตอนแรกคือการทำความเข้าใจภูมิทัศน์ของผู้ขายอย่างถี่ถ้วน แม้ว่าสิ่งนี้อาจดูชัดเจน แต่องค์กรหลายแห่ง โดยเฉพาะบริษัทขนาดใหญ่ที่มีงบประมาณในการจ้างบุคคลภายนอก ละเลยขั้นตอนสำคัญนี้ แม้ว่าการสร้างความสัมพันธ์ระหว่างผู้ขายกับบุคคลที่สามอย่างเร่งรีบอาจช่วยประหยัดเงินได้ในระยะสั้น แต่การประหยัดเหล่านั้นทั้งหมดจะถูกลบทิ้งหากเกิดการละเมิดข้อมูล และองค์กรต้องเผชิญกับค่าปรับจำนวนมาก
หลังจากการค้นคว้าภาพรวมของผู้ขาย องค์กรควรพิจารณาว่าบทบาทของบุคคลที่สามใดที่ “มีความสำคัญ” — บทบาทเหล่านี้อาจมีความสำคัญในการปฏิบัติงานหรือประมวลผลข้อมูลที่ละเอียดอ่อน ตามภาวะวิกฤต ผู้จัดจำหน่ายควรถูกจัดกลุ่มตามระดับ ซึ่งช่วยให้องค์กรมีความยืดหยุ่นในการประเมิน ทบทวน และจัดการผู้ขาย
การเรียงลำดับผู้จัดจำหน่ายตามความสำคัญของพวกเขาสามารถให้ความกระจ่างเกี่ยวกับองค์กรที่พึ่งพามากเกินไปอาจมีกับผู้จัดจำหน่ายบุคคลที่สามของตน องค์กรเหล่านี้ต้องถามตัวเองว่า ถ้าความสัมพันธ์นี้ต้องยุติลงกะทันหัน เรามีแผนสำรองหรือไม่? เราจะแทนที่ฟังก์ชันนี้ในขณะที่ดำเนินการในแต่ละวันได้อย่างราบรื่นได้อย่างไร
ขั้นตอนที่สามคือการพัฒนาแผนการกำกับดูแล จะต้องมีการทำงานร่วมกันระหว่างหน่วยงานหลักทั้งสามขององค์กรเพื่อดำเนินการตรวจสอบสถานะและจัดการความเสี่ยงอย่างมีประสิทธิภาพ ทีมรักษาความปลอดภัยให้ความกระจ่างเกี่ยวกับช่องโหว่ในโปรแกรมความปลอดภัยของผู้ขาย ทีมกฎหมายกำหนดความเสี่ยงทางกฎหมาย และทีมธุรกิจคาดการณ์การเรียงซ้อนเชิงลบ ผลกระทบต่อการดำเนินงานหากข้อมูลหรือการดำเนินงานถูกบุกรุก กุญแจสำคัญในการสร้างธรรมาภิบาลที่มั่นคงคือการปรับแผนให้เหมาะสมกับความต้องการเฉพาะขององค์กร สิ่งนี้ใช้ได้กับองค์กรในอุตสาหกรรมที่มีการควบคุมน้อยโดยเฉพาะ
ขั้นตอนการกำกับดูแลประกอบด้วยการร่างข้อผูกพันตามสัญญา ตัวอย่างเช่น บ่อยครั้งในการประมวลผลแบบคลาวด์ ผู้นำธุรกิจมักจะรีบเซ็นสัญญาโดยไม่ได้ตั้งใจโดยไม่เข้าใจว่ามาตรการรักษาความปลอดภัยบางอย่างอาจรวมหรือไม่รวมไว้ในแพ็คเกจพื้นฐานก็ได้ ภาระผูกพันตามสัญญามักขึ้นอยู่กับอุตสาหกรรม แต่ควรพัฒนาข้อกำหนดด้านความปลอดภัยที่เป็นมาตรฐานด้วยเช่นกัน ตัวอย่างเช่น หากเรากำลังประเมินบริษัทจัดส่ง อาจให้ความสำคัญกับกระบวนการวงจรการพัฒนาซอฟต์แวร์ (SDLC) ของผู้ขายน้อยลง และให้ความสำคัญกับมาตรการความยืดหยุ่นของบริษัทเหล่านั้นน้อยลง อย่างไรก็ตาม หากเรากำลังประเมินบริษัทซอฟต์แวร์ เราจะต้องมุ่งเน้นไปที่กระบวนการของ SDLC ของผู้จำหน่าย เช่น วิธีการตรวจสอบโค้ด และลักษณะของการป้องกันในการผลักดันไปสู่การใช้งานจริง
สุดท้าย องค์กรจำเป็นต้องพัฒนากลยุทธ์ทางออก องค์กรจะแยกออกจากบุคคลที่สามอย่างหมดจดได้อย่างไรพร้อมทั้งรับประกันว่าข้อมูลลูกค้าจะถูกขัดเกลา? มีหลายกรณีที่บริษัทตัดความสัมพันธ์กับผู้ขายเพียงเพื่อรับโทรศัพท์ในปีต่อมา โดยแจ้งให้ทราบว่าอดีตหุ้นส่วนของพวกเขาประสบปัญหาข้อมูลรั่วไหล และข้อมูลลูกค้าของพวกเขาถูกเปิดเผย แม้ว่าจะอยู่ภายใต้สมมติฐานว่าข้อมูลนี้ถูกลบไปแล้วก็ตาม คุณธรรมของเรื่อง: อย่าถือว่า. นอกจากการละเมิดข้อมูลโดยไม่ตั้งใจแล้ว ยังมีความเป็นไปได้ที่ผู้จำหน่ายบุคคลที่สามจะใช้ข้อมูลของพันธมิตรเก่าเพื่อการพัฒนาภายใน เช่น การใช้ข้อมูลนั้นเพื่อสร้างโมเดลการเรียนรู้ของเครื่อง องค์กรต้องป้องกันสิ่งนี้ด้วยการระบุเงื่อนไขที่ชัดเจน เฉพาะเจาะจง และมีผลผูกพันทางกฎหมายว่าผู้ขายจะลบข้อมูลอย่างไรในกรณีที่ความร่วมมือสิ้นสุดลง และผลที่ตามมาจะเป็นอย่างไรหากไม่ทำเช่นนั้น
สร้างวัฒนธรรมแห่งความรับผิดชอบร่วมกันและการปรับปรุงอย่างต่อเนื่อง
การใช้แนวทางแบบทีมในการดำเนินการตรวจสอบสถานะหมายความว่าหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล (CISO) ไม่จำเป็นต้องแบกรับความรับผิดชอบอย่างเต็มที่ในการลดความเสี่ยงของผู้จำหน่ายบุคคลที่สาม ที่ ข้อกล่าวหาของ ก.ล.ต. ต่อ SolarWinds กำหนดแบบอย่างที่เกี่ยวข้อง — CISO สามารถล้มลงได้ แม้ว่าปัญหาจะเกิดจากความผิดปกติทั่วทั้งองค์กรก็ตาม หากทีมไอทีและธุรกิจสนับสนุน CISO ในการคัดเลือกผู้จำหน่ายจากภายนอก จะเป็นการปูทางสำหรับการทำงานร่วมกันข้ามทีมในอนาคต เพิ่มการยอมรับในองค์กร และสร้างผลลัพธ์ที่ดีขึ้นในเรื่องความปลอดภัย
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach
- :เป็น
- :ไม่
- :ที่ไหน
- 10
- 15%
- 7
- a
- เกี่ยวกับเรา
- โดยไม่ตั้งใจ
- ที่เพิ่ม
- สูง
- กับ
- บริษัท ตัวแทน
- มาแล้ว
- ทั้งหมด
- ช่วยให้
- ด้วย
- เสมอ
- an
- และ
- ปรากฏ
- เหมาะสม
- เข้าใกล้
- เป็น
- อาวุธ
- เทียม
- ปัญญาประดิษฐ์
- AS
- ถาม
- ขอให้
- ประเมิน
- สมมติ
- ข้อสมมติ
- At
- สำรอง
- ตาม
- baseline
- BE
- เพราะ
- จะกลายเป็น
- รับ
- กำลัง
- ประโยชน์
- นอกจากนี้
- ดีกว่า
- ระหว่าง
- ผูกพัน
- ช่วยเพิ่ม
- ช่องโหว่
- งบประมาณ
- สร้าง
- สร้าง
- ธุรกิจ
- ผู้นำทางธุรกิจ
- แต่
- ซื้อ
- by
- โทรศัพท์
- CAN
- สามารถ
- กรณี
- หยุด
- บาง
- โซ่
- ท้าทาย
- เปลี่ยนแปลง
- โหลด
- หัวหน้า
- CISO
- ชัดเจน
- ไคลเอนต์
- เมฆ
- คอมพิวเตอร์เมฆ
- รหัส
- ความร่วมมือ
- การทำงานร่วมกัน
- มา
- การสื่อสาร
- บริษัท
- บริษัท
- สมบูรณ์
- การประนีประนอม
- ที่ถูกบุกรุก
- การคำนวณ
- เกี่ยวกับ
- ผลที่ตามมา
- พิจารณา
- อย่างต่อเนื่อง
- ต่อเนื่องกัน
- สัญญา
- ตามสัญญา
- การควบคุม
- แพง
- ควบคู่
- สร้าง
- การสร้าง
- วิกฤติ
- วิกฤติ
- สำคัญมาก
- วัฒนธรรม
- ขณะนี้
- ไซเบอร์
- อาชญากรไซเบอร์
- Dangerous
- ข้อมูล
- การละเมิดข้อมูล
- วันต่อวัน
- การจัดส่ง
- ขึ้นอยู่กับ
- แม้จะมี
- กำหนด
- แน่นอน
- พัฒนา
- พัฒนา
- พัฒนาการ
- ยาก
- ความขยัน
- น่ากลัว
- ซึ่งทำให้ยุ่ง
- do
- ทำ
- doesn
- การทำ
- สวม
- สอง
- แต่ละ
- ผล
- มีประสิทธิภาพ
- ภาวะฉุกเฉิน
- กระตุ้นให้เกิดการ
- สิ้นสุด
- ทำให้มั่นใจ
- การสร้างความมั่นใจ
- เอกลักษณ์
- มอบหมาย
- โดยเฉพาะอย่างยิ่ง
- การสร้าง
- การประเมินการ
- แม้
- เหตุการณ์
- ตัวอย่าง
- ที่มีอยู่
- ทางออก
- ออกจากกลยุทธ์
- ที่คาดหวัง
- ที่เปิดเผย
- ภายนอก
- ใบหน้า
- ตก
- เชื่อมั่น
- ปรับ
- ค่าปรับ
- ชื่อจริง
- ห้า
- ความยืดหยุ่น
- โฟกัส
- ปฏิบัติตาม
- สำหรับ
- อดีต
- ที่สี่
- ราคาเริ่มต้นที่
- อย่างเต็มที่
- ฟังก์ชัน
- อนาคต
- การกำกับดูแล
- ค่อยๆ
- แนวทาง
- มือ
- มี
- ที่พัก
- หนัก
- ที่ทำเป็นแข็งแรงขึ้น
- หลุม
- กระโปรงหน้ารถ
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- อย่างไรก็ตาม
- HTTPS
- if
- การดำเนินการ
- การปรับปรุง
- in
- จูงใจ
- อุบัติการณ์
- รวม
- ขาเข้า
- รวม
- เพิ่ม
- ขึ้น
- อุตสาหกรรม
- อุตสาหกรรม
- ข้อมูล
- ความปลอดภัยของข้อมูล
- ภายใน
- ตัวอย่าง
- Intelligence
- ภายใน
- เข้าไป
- เงินลงทุน
- ISN
- ทุนที่ออก
- การออก
- IT
- ITS
- เป็นภัยต่อ
- jpg
- คีย์
- ภูมิประเทศ
- ใหญ่
- ชื่อสกุล
- ปีที่แล้ว
- ต่อมา
- ผู้นำ
- การเรียนรู้
- น้อยที่สุด
- กฎหมาย
- ทีมกฎหมาย
- ตามกฎหมาย
- น้อยลง
- วงจรชีวิต
- เบา
- กดไลก์
- Line
- LINK
- น้อย
- ll
- ยาวนาน
- ดู
- LOOKS
- เครื่อง
- เรียนรู้เครื่อง
- หลัก
- จัดการ
- การจัดการ
- จัดการ
- หลาย
- อาจ..
- วิธี
- มาตรการ
- อาจ
- บรรเทา
- ซึ่งบรรเทา
- แบบ
- โมเดล
- เงิน
- คุณธรรม
- ข้อมูลเพิ่มเติม
- มากที่สุด
- ต้อง
- จำเป็น
- จำเป็นต้อง
- ความต้องการ
- เชิงลบ
- ใหม่
- เทคโนโลยีใหม่ ๆ
- ไม่
- พันธบัตร
- ชัดเจน
- of
- มักจะ
- on
- เพียง
- การดำเนินการ
- or
- organizacja
- องค์กร
- อื่นๆ
- ผลลัพธ์
- ภายนอก
- การควบคุม
- แพ็คเกจ
- หุ้นส่วน
- พาร์ทเนอร์
- พรรค
- ผ่าน
- บทลงโทษ
- ดำเนินการ
- ที่มีประสิทธิภาพ
- ส่วนบุคคล
- บุคลากร
- แผนการ
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- ความเป็นไปได้
- การปฏิบัติ
- การปฏิบัติ
- แบบอย่าง
- คาดการณ์
- นำเสนอ
- การกด
- ป้องกัน
- ส่วนตัว
- ปัญหา
- กระบวนการ
- กระบวนการ
- ผลิต
- การผลิต
- โครงการ
- เหมาะสม
- การป้องกัน
- ผลัก
- คำถาม
- RE
- เหตุผล
- ซึ่งทำให้อุ่นใจ
- รับ
- สะท้อน
- ควบคุม
- อุตสาหกรรมที่มีการควบคุม
- กฎระเบียบ
- ความสัมพันธ์
- ความสัมพันธ์
- แทนที่
- ต้อง
- ความรับผิดชอบ
- ผลสอบ
- สุดท้าย
- รีวิว
- ขวา
- ความเสี่ยง
- การบริหาจัดการความเสี่ยง
- แผนงาน
- บทบาท
- รีบเร่ง
- s
- การป้องกัน
- ลด
- เงินออม
- ได้อย่างลงตัว
- สำนักงานคณะกรรมการ ก.ล.ต.
- ปลอดภัย
- ความปลอดภัย
- มาตรการรักษาความปลอดภัย
- ภัยคุกคามความปลอดภัย
- เห็น
- ดูเหมือน
- มีความละเอียดอ่อน
- แยก
- ร้ายแรง
- ชุด
- ชุดอุปกรณ์
- การตั้งค่า
- ที่ใช้ร่วมกัน
- เพิง
- ส่อง
- ระยะสั้น
- น่า
- การลงชื่อ
- ง่าย
- ซอฟต์แวร์
- การพัฒนาซอฟต์แวร์
- ของแข็ง
- โดยเฉพาะ
- ระยะ
- เริ่มต้น
- เซน
- ลำต้น
- ขั้นตอน
- ขั้นตอน
- ยังคง
- เรื่องราว
- กลยุทธ์
- โขก
- การนัดหยุดงาน
- แข็งแรง
- ประสบความสำเร็จ
- อย่างเช่น
- ได้รับความเดือดร้อน
- สูท
- สนับสนุน
- พื้นผิว
- ทำงานร่วมกัน
- กลยุทธ์
- ช่างตัดเสื้อ
- เอา
- ทีม
- ทีม
- เทคโนโลยี
- เทคโนโลยี
- เงื่อนไขการใช้บริการ
- กว่า
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- ตัวเอง
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- คิด
- คิด
- ที่สาม
- ของบุคคลที่สาม
- นี้
- ทั่วถึง
- อย่างถี่ถ้วน
- เหล่านั้น
- ภัยคุกคาม
- สาม
- ตลอด
- ความสัมพันธ์
- ไปยัง
- ในวันนี้
- ด้านบน
- ความโปร่งใส
- เชื่อถือได้
- ไม่ทราบ
- ภายใต้
- เข้าใจ
- ความเข้าใจ
- เป็นเอกลักษณ์
- ใช้
- การใช้
- Ve
- ผู้ขาย
- ผู้ขาย
- ตรวจสอบแล้ว
- ต้องการ
- คือ
- we
- ดี
- คือ
- อะไร
- เมื่อ
- ที่
- ในขณะที่
- WHO
- จะ
- เต็มใจ
- กับ
- ไม่มี
- ทำงาน
- ทำงาน
- จะ
- ปี
- ปี
- ลมทะเล