Проблема кібербезпеки третіх сторін для фінансових організацій (Террі Олас)

Сучасні фінансові установи переживають трансформацію, щоб модернізувати свої організації, дедалі більше покладаючись на аутсорсинг операційних завдань третім сторонам для підвищення ефективності. Багато великих фінансових організацій мають розгалужені сторонні мережі, які складаються з численних постачальників і продавців. Насправді Gartner виявив це

60% організацій працювати з понад 1,000 третіми сторонами, і ця кількість лише зростатиме, оскільки бізнес стане складнішим.

Оскільки фінансові організації продовжують покладатися на треті сторони, важливість підтримки надійного плану управління ризиками не може бути достатньо підкреслена для більш ефективного управління ризиками та забезпечення дотримання нормативних вимог. Завдяки цьому підходу фінансові організації можуть отримати краще розуміння своєї вразливості до кібератак і відповідно зосередити зусилля на виправленні, зберігаючи цінні ресурси шляхом точного визначення найбільш серйозних загроз.

Ризик сторонніх мереж

Хоча сторонні партнерства допомагають спростити основні бізнес-функції, вони також підвищують ставки для фінансових установ з точки зору кіберризиків. Це може стати особливо складним через таку кількість об’єктів і служб для захисту та моніторингу, а також сторонні організації, які, ймовірно, пов’язані з додатковими об’єктами, які також можуть бути джерелом ризику для кібербезпеки. Каталог потенційних проблем безпеки від третіх осіб може бути катастрофічним, загрожуючи конфіденційній інформації як співробітників, так і клієнтів, фінансовим даним, а також операціям у ланцюзі постачання організації та іншим зовнішнім особам, які мають доступ до привілейованих систем. Доповідь від
Інститут Понемона було виявлено, що 51% підприємств зазнали витоку даних, спричиненого третьою стороною.

Щоб захистити системи та конфіденційні дані від сторонніх ризиків, багато організацій, що надають фінансові послуги, інвестують у процеси гарантування, які різною мірою вимагають незалежної оцінки кібервідповідності третьої сторони за допомогою тестів на проникнення або сертифікації SOC 2 типу 2. Хоча цей підхід є практичним, цей тип оцінки є дорогим, має прогалини у видимості та все ще представляє лише наближену оцінку ризику в один момент часу.

Новий підхід до управління ризиками третіх сторін

Зростаюча складність мереж сторонніх розробників ускладнює визначення впливу вразливостей, особливо для великих організацій. Фінансовим організаціям потрібен сучасний підхід до кібербезпеки, який може ідентифікувати, вимірювати, визначати пріоритети та керувати всіма ризиками. Щоб створити орієнтований на ризик підхід, здатний протистояти ризикам третіх сторін, фінансові організації повинні розглянути можливість впровадження кількох важливих стратегій:

• Оцінка ризику: Оцінка кіберризиків забезпечує об’єктивну основу для оцінки стану безпеки, яка враховує широкий спектр факторів ризику всередині та зовні організації. Перетворюючи ці оцінки на легке для сприйняття представлення кількісних кіберризиків, організації можуть краще зрозуміти, наскільки безпечні їхні активи та де їх потрібно покращити.
• Пріоритезація вразливостей: ця стратегія автоматично враховує дані про загрози, контекст активів і аналіз шляху атаки. Організації зі складним середовищем і обмеженими ресурсами можуть спрямувати свої зусилля там, де це важливо, визначаючи пріоритети та пом’якшуючи вразливості, які становлять найбільший ризик.
• Аналіз експозиції: Аналіз ризику виявлення вразливостей, які можна використовувати, і співвідносить дані з мережевими конфігураціями організації та засобами контролю безпеки, щоб визначити, чи є система вразливою до кібератак. Ця стратегія визначає, які вектори атак або мережеві шляхи можуть бути використані для доступу до вразливих систем. Він також надає більш детальні параметри, коли третя сторона створює неприйнятний ризик, визначаючи їхні точки доступу до мережі та надаючи опцію «відключення», щоб перевести партнера в автономний режим, не впливаючи на інших партнерів.

Ефективні стратегії кібербезпеки повинні забезпечувати постійну гарантію ризиків і вразливостей третіх сторін. Сучасний підхід до кібербезпеки, що ґрунтується на оцінці ризиків, забезпечує симуляцію атак, відповідність і видимість, що дозволяє організаціям бачити всі точки входу та доступу та виконувати аналіз шляхів і ризиків. Впроваджуючи підхід до кібербезпеки, що ґрунтується на оцінці ризиків, фінансові організації можуть справді зменшити ризики кібербезпеки третіх сторін.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoAiStream. Web3 Data Intelligence. Розширення знань. Доступ тут.
• Карбування майбутнього з Адріенн Ешлі. Доступ тут.
• джерело: https://www.finextra.com/blogposting/24140/the-third-party-cybersecurity-problem-for-financial-organizations?utm_medium=rssfinextra&utm_source=finextrablogs