Các tổ chức tài chính ngày nay đang trải qua quá trình chuyển đổi để hiện đại hóa tổ chức của họ, ngày càng dựa vào các nhiệm vụ vận hành gia công cho bên thứ ba để tăng hiệu quả. Nhiều tổ chức tài chính lớn có mạng lưới bên thứ ba rộng lớn bao gồm nhiều nhà cung cấp và đại lý. Trên thực tế, Gartner nhận thấy rằng
60% tổ chức làm việc với hơn 1,000 bên thứ ba và con số đó sẽ chỉ tăng lên khi hoạt động kinh doanh trở nên phức tạp hơn.
Khi các tổ chức tài chính tiếp tục dựa vào các bên thứ ba, tầm quan trọng của việc duy trì một kế hoạch quản lý rủi ro mạnh mẽ không thể được nhấn mạnh đủ để quản lý rủi ro hiệu quả hơn và đảm bảo tuân thủ quy định. Thông qua phương pháp này, các tổ chức tài chính có thể hiểu rõ hơn về các lỗ hổng của họ trước các cuộc tấn công mạng và tập trung các nỗ lực khắc phục phù hợp, tiết kiệm các nguồn tài nguyên quý giá bằng cách xác định chính xác các mối đe dọa có tác động lớn nhất.
Rủi ro của mạng bên thứ ba
Mặc dù quan hệ đối tác bên thứ ba giúp đơn giản hóa các chức năng kinh doanh thiết yếu, nhưng chúng cũng làm tăng rủi ro cho các tổ chức tài chính về rủi ro mạng. Điều này có thể trở nên đặc biệt phức tạp với rất nhiều thực thể và dịch vụ cần bảo mật và giám sát, cũng như các tổ chức bên thứ ba có khả năng được kết nối với các thực thể bổ sung cũng có thể là nguồn gốc của rủi ro an ninh mạng. Danh mục các vấn đề bảo mật tiềm ẩn từ bên thứ ba có thể là thảm họa, đe dọa thông tin nhạy cảm của cả nhân viên và khách hàng, dữ liệu tài chính, cũng như các hoạt động trong chuỗi cung ứng của tổ chức và các thực thể bên ngoài khác có quyền truy cập vào các hệ thống đặc quyền. Một báo cáo của
Viện Ponemon phát hiện ra rằng 51% doanh nghiệp đã bị vi phạm dữ liệu do bên thứ ba gây ra.
Để bảo vệ các hệ thống và dữ liệu nhạy cảm khỏi rủi ro của bên thứ ba, nhiều tổ chức dịch vụ tài chính đầu tư vào các quy trình đảm bảo, ở các mức độ khác nhau yêu cầu đánh giá độc lập về việc tuân thủ mạng của bên thứ ba thông qua các thử nghiệm thâm nhập hoặc chứng nhận SOC 2 Loại 2. Mặc dù cách tiếp cận này là thực tế, nhưng loại đánh giá này tốn kém, có khoảng cách về khả năng hiển thị và vẫn chỉ thể hiện mức độ rủi ro gần đúng tại một thời điểm duy nhất.
Một cách tiếp cận mới để quản lý rủi ro của bên thứ ba
Sự phức tạp ngày càng tăng của các mạng bên thứ ba đã khiến cho việc đạt được tầm nhìn về tác động do các lỗ hổng gây ra trở nên đặc biệt khó khăn, nhất là đối với các tổ chức lớn hơn. Các tổ chức tài chính cần một cách tiếp cận hiện đại đối với an ninh mạng, một phương pháp có thể xác định, đo lường, ưu tiên và quản lý mọi rủi ro. Để tạo ra một cách tiếp cận tập trung vào rủi ro có khả năng chống lại rủi ro của bên thứ ba, các tổ chức tài chính nên xem xét thực hiện một số chiến lược quan trọng:
- Chấm điểm rủi ro: Chấm điểm rủi ro mạng cung cấp một khuôn khổ khách quan để đánh giá tình trạng bảo mật có xem xét nhiều yếu tố rủi ro từ bên trong và bên ngoài một tổ chức. Bằng cách chuyển đổi những đánh giá này thành một đại diện dễ nắm bắt về rủi ro mạng định lượng, các tổ chức có thể hiểu rõ hơn về mức độ an toàn của tài sản của họ và những điểm họ cần cải thiện.
- Ưu tiên lỗ hổng: Chiến lược này tự động xem xét thông tin tình báo về mối đe dọa, bối cảnh tài sản và phân tích đường dẫn tấn công. Các tổ chức có môi trường phức tạp và nguồn lực hạn chế có thể nhắm mục tiêu nỗ lực của họ vào nơi quan trọng bằng cách ưu tiên và giảm thiểu các lỗ hổng gây rủi ro đáng kể nhất.
- Phân tích tiếp xúc: Phân tích phơi nhiễm xác định các lỗ hổng có thể khai thác và so sánh dữ liệu với các cấu hình mạng và kiểm soát bảo mật của tổ chức để xác định xem hệ thống có dễ bị tấn công mạng hay không. Chiến lược này xác định vectơ tấn công hoặc đường dẫn mạng nào có thể được sử dụng để truy cập các hệ thống dễ bị tấn công. Nó cũng cho phép các tùy chọn chi tiết hơn khi bên thứ ba gây ra rủi ro không thể chấp nhận được bằng cách xác định các điểm truy cập mạng của họ và cung cấp tùy chọn “kill switch” để đưa đối tác ngoại tuyến mà không ảnh hưởng đến bất kỳ đối tác nào khác.
Các chiến lược an ninh mạng hiệu quả cần cung cấp sự đảm bảo liên tục về các rủi ro và lỗ hổng của bên thứ ba. Phương pháp tiếp cận hiện đại, dựa trên rủi ro đối với an ninh mạng cho phép mô phỏng tấn công, tuân thủ và khả năng hiển thị cho phép các tổ chức xem tất cả các mục nhập và điểm truy cập, đồng thời thực hiện phân tích lộ trình và phơi nhiễm. Bằng cách triển khai phương pháp tiếp cận dựa trên rủi ro đối với an ninh mạng, các tổ chức tài chính thực sự có thể giảm thiểu rủi ro an ninh mạng của bên thứ ba.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoAiStream. Thông minh dữ liệu Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Đúc kết tương lai với Adryenn Ashley. Truy cập Tại đây.
- nguồn: https://www.finextra.com/blogposting/24140/the-third-party-cybersecurity-problem-for-financial-organizations?utm_medium=rssfinextra&utm_source=finextrablogs
- : có
- :là
- :Ở đâu
- 000
- 1
- a
- truy cập
- cho phù hợp
- chính xác
- thêm vào
- ảnh hưởng đến
- Tất cả
- Ngoài ra
- an
- phân tích
- và
- bất kì
- phương pháp tiếp cận
- LÀ
- AS
- thẩm định, lượng định, đánh giá
- tài sản
- Tài sản
- đảm bảo
- At
- tấn công
- tự động
- BE
- trở nên
- được
- Hơn
- cả hai
- vi phạm
- kinh doanh
- chức năng kinh doanh
- các doanh nghiệp
- by
- CAN
- không thể
- có khả năng
- Danh mục hàng
- thảm họa
- gây ra
- Chứng nhận
- chuỗi
- thách thức
- phức tạp
- phức tạp
- tuân thủ
- phức tạp
- kết nối
- Hãy xem xét
- xem xét
- bối cảnh
- tiếp tục
- liên tục
- điều khiển
- có thể
- tạo
- quan trọng
- khách hàng
- không gian mạng
- Tấn công mạng
- An ninh mạng
- dữ liệu
- vi phạm dữ liệu
- Xác định
- xác định
- hiệu quả
- hiệu quả
- nỗ lực
- những nỗ lực
- nhấn mạnh
- nhân viên
- cho phép
- đủ
- đảm bảo
- thực thể
- nhập
- môi trường
- đặc biệt
- thiết yếu
- đánh giá
- đánh giá
- Tiếp xúc
- mở rộng
- ngoài
- các yếu tố
- vài
- tài chính
- dữ liệu tài chính
- Học viện Tài chính
- dịch vụ tài chính
- tài chính
- Tập trung
- Trong
- tìm thấy
- Khung
- từ
- chức năng
- đạt được
- Gartner
- Phát triển
- Phát triển
- Có
- có
- giúp đỡ
- Độ đáng tin của
- HTTPS
- xác định
- xác định
- xác định
- if
- Va chạm
- ảnh hưởng lớn
- thực hiện
- nâng cao
- in
- Tăng lên
- lên
- độc lập
- thông tin
- tổ chức
- Sự thông minh
- trong
- Đầu tư
- các vấn đề
- IT
- jpg
- lớn
- lớn hơn
- Có khả năng
- Hạn chế
- thực hiện
- Duy trì
- quản lý
- quản lý
- quản lý
- nhiều
- Vấn đề
- đo
- Giảm nhẹ
- giảm nhẹ
- hiện đại
- hiện đại hóa
- Màn Hình
- chi tiết
- hầu hết
- Cần
- mạng
- mạng
- Mới
- con số
- nhiều
- Mục tiêu
- được
- of
- Ngoại tuyến
- on
- ONE
- có thể
- hoạt động
- Hoạt động
- Tùy chọn
- Các lựa chọn
- or
- cơ quan
- tổ chức
- Nền tảng khác
- bên ngoài
- Gia công phần mềm
- kết thúc
- đặc biệt
- các bên tham gia
- đối tác
- Đối tác
- quan hệ đối tác
- bên
- con đường
- Thực hiện
- kế hoạch
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Điểm
- điểm
- đặt ra
- tiềm năng
- Thực tế
- Ưu tiên
- ưu tiên
- đặc quyền đặc lợi
- Vấn đề
- Quy trình
- bảo vệ
- cho
- cung cấp
- cung cấp
- định lượng
- nâng cao
- phạm vi
- nhà quản lý
- Tuân thủ quy định
- báo cáo
- đại diện
- đại diện cho
- yêu cầu
- Thông tin
- Nguy cơ
- Các yếu tố rủi ro
- quản lý rủi ro
- rủi ro
- s
- an toàn
- tiết kiệm
- ghi bàn
- an toàn
- an ninh
- xem
- nhạy cảm
- dịch vụ
- DỊCH VỤ
- nên
- ý nghĩa
- có ý nghĩa
- đơn giản hóa
- mô phỏng
- duy nhất
- So
- nguồn
- Vẫn còn
- chiến lược
- Chiến lược
- mạnh mẽ
- nhà cung cấp
- cung cấp
- chuỗi cung ứng
- hệ thống
- hệ thống
- Hãy
- Mục tiêu
- nhiệm vụ
- về
- kiểm tra
- việc này
- Sản phẩm
- Nguồn
- cung cấp their dịch
- Kia là
- họ
- Thứ ba
- các bên thứ ba
- của bên thứ ba
- điều này
- mối đe dọa
- các mối đe dọa
- Thông qua
- thời gian
- đến
- Chuyển đổi
- thực sự
- kiểu
- hiểu
- sự hiểu biết
- đã sử dụng
- Quý báu
- nhà cung cấp
- khả năng hiển thị
- Lỗ hổng
- Dễ bị tổn thương
- TỐT
- khi nào
- cái nào
- trong khi
- rộng
- Phạm vi rộng
- sẽ
- với
- ở trong
- không có
- Công việc
- zephyrnet