Vấn đề an ninh mạng của bên thứ ba đối với các tổ chức tài chính (Terry Olaes)

Các tổ chức tài chính ngày nay đang trải qua quá trình chuyển đổi để hiện đại hóa tổ chức của họ, ngày càng dựa vào các nhiệm vụ vận hành gia công cho bên thứ ba để tăng hiệu quả. Nhiều tổ chức tài chính lớn có mạng lưới bên thứ ba rộng lớn bao gồm nhiều nhà cung cấp và đại lý. Trên thực tế, Gartner nhận thấy rằng

60% tổ chức làm việc với hơn 1,000 bên thứ ba và con số đó sẽ chỉ tăng lên khi hoạt động kinh doanh trở nên phức tạp hơn.

Khi các tổ chức tài chính tiếp tục dựa vào các bên thứ ba, tầm quan trọng của việc duy trì một kế hoạch quản lý rủi ro mạnh mẽ không thể được nhấn mạnh đủ để quản lý rủi ro hiệu quả hơn và đảm bảo tuân thủ quy định. Thông qua phương pháp này, các tổ chức tài chính có thể hiểu rõ hơn về các lỗ hổng của họ trước các cuộc tấn công mạng và tập trung các nỗ lực khắc phục phù hợp, tiết kiệm các nguồn tài nguyên quý giá bằng cách xác định chính xác các mối đe dọa có tác động lớn nhất.

Rủi ro của mạng bên thứ ba

Mặc dù quan hệ đối tác bên thứ ba giúp đơn giản hóa các chức năng kinh doanh thiết yếu, nhưng chúng cũng làm tăng rủi ro cho các tổ chức tài chính về rủi ro mạng. Điều này có thể trở nên đặc biệt phức tạp với rất nhiều thực thể và dịch vụ cần bảo mật và giám sát, cũng như các tổ chức bên thứ ba có khả năng được kết nối với các thực thể bổ sung cũng có thể là nguồn gốc của rủi ro an ninh mạng. Danh mục các vấn đề bảo mật tiềm ẩn từ bên thứ ba có thể là thảm họa, đe dọa thông tin nhạy cảm của cả nhân viên và khách hàng, dữ liệu tài chính, cũng như các hoạt động trong chuỗi cung ứng của tổ chức và các thực thể bên ngoài khác có quyền truy cập vào các hệ thống đặc quyền. Một báo cáo của
Viện Ponemon phát hiện ra rằng 51% doanh nghiệp đã bị vi phạm dữ liệu do bên thứ ba gây ra.

Để bảo vệ các hệ thống và dữ liệu nhạy cảm khỏi rủi ro của bên thứ ba, nhiều tổ chức dịch vụ tài chính đầu tư vào các quy trình đảm bảo, ở các mức độ khác nhau yêu cầu đánh giá độc lập về việc tuân thủ mạng của bên thứ ba thông qua các thử nghiệm thâm nhập hoặc chứng nhận SOC 2 Loại 2. Mặc dù cách tiếp cận này là thực tế, nhưng loại đánh giá này tốn kém, có khoảng cách về khả năng hiển thị và vẫn chỉ thể hiện mức độ rủi ro gần đúng tại một thời điểm duy nhất.

Một cách tiếp cận mới để quản lý rủi ro của bên thứ ba

Sự phức tạp ngày càng tăng của các mạng bên thứ ba đã khiến cho việc đạt được tầm nhìn về tác động do các lỗ hổng gây ra trở nên đặc biệt khó khăn, nhất là đối với các tổ chức lớn hơn. Các tổ chức tài chính cần một cách tiếp cận hiện đại đối với an ninh mạng, một phương pháp có thể xác định, đo lường, ưu tiên và quản lý mọi rủi ro. Để tạo ra một cách tiếp cận tập trung vào rủi ro có khả năng chống lại rủi ro của bên thứ ba, các tổ chức tài chính nên xem xét thực hiện một số chiến lược quan trọng:

• Chấm điểm rủi ro: Chấm điểm rủi ro mạng cung cấp một khuôn khổ khách quan để đánh giá tình trạng bảo mật có xem xét nhiều yếu tố rủi ro từ bên trong và bên ngoài một tổ chức. Bằng cách chuyển đổi những đánh giá này thành một đại diện dễ nắm bắt về rủi ro mạng định lượng, các tổ chức có thể hiểu rõ hơn về mức độ an toàn của tài sản của họ và những điểm họ cần cải thiện.
• Ưu tiên lỗ hổng: Chiến lược này tự động xem xét thông tin tình báo về mối đe dọa, bối cảnh tài sản và phân tích đường dẫn tấn công. Các tổ chức có môi trường phức tạp và nguồn lực hạn chế có thể nhắm mục tiêu nỗ lực của họ vào nơi quan trọng bằng cách ưu tiên và giảm thiểu các lỗ hổng gây rủi ro đáng kể nhất.
• Phân tích tiếp xúc: Phân tích phơi nhiễm xác định các lỗ hổng có thể khai thác và so sánh dữ liệu với các cấu hình mạng và kiểm soát bảo mật của tổ chức để xác định xem hệ thống có dễ bị tấn công mạng hay không. Chiến lược này xác định vectơ tấn công hoặc đường dẫn mạng nào có thể được sử dụng để truy cập các hệ thống dễ bị tấn công. Nó cũng cho phép các tùy chọn chi tiết hơn khi bên thứ ba gây ra rủi ro không thể chấp nhận được bằng cách xác định các điểm truy cập mạng của họ và cung cấp tùy chọn “kill switch” để đưa đối tác ngoại tuyến mà không ảnh hưởng đến bất kỳ đối tác nào khác.

Các chiến lược an ninh mạng hiệu quả cần cung cấp sự đảm bảo liên tục về các rủi ro và lỗ hổng của bên thứ ba. Phương pháp tiếp cận hiện đại, dựa trên rủi ro đối với an ninh mạng cho phép mô phỏng tấn công, tuân thủ và khả năng hiển thị cho phép các tổ chức xem tất cả các mục nhập và điểm truy cập, đồng thời thực hiện phân tích lộ trình và phơi nhiễm. Bằng cách triển khai phương pháp tiếp cận dựa trên rủi ro đối với an ninh mạng, các tổ chức tài chính thực sự có thể giảm thiểu rủi ro an ninh mạng của bên thứ ba.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoAiStream. Thông minh dữ liệu Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Đúc kết tương lai với Adryenn Ashley. Truy cập Tại đây.
• nguồn: https://www.finextra.com/blogposting/24140/the-third-party-cybersecurity-problem-for-financial-organizations?utm_medium=rssfinextra&utm_source=finextrablogs