Търсене
Close this search box.

Непрекъснатото оценяване и актуализиране на оценката на риска от трети страни може да подобри позицията ви по отношение на сигурността и да гарантира, че компанията ви няма да преживее следващия инцидент, който ще се превърне във водещ.

През декември бе отбелязана третата годишнина от едно от най-значимите нарушения на сигурността на данните в индустрията – SolarWinds. Макар че огромните разходи и неотдавнашните съдебни дела от тази изключително вредна атака по веригата за доставки през 2020 г. поставиха в центъра на вниманието важността на оценката на риска от трети страни, лошите продължиха да използват софтуер на трети страни.

Според проучването на Forrester Research за сигурността през 2022 г. веригите за доставки са основната причина за нарушения. Например броят на организациите, засегнати от хакването на веригата за доставки MOVEit, е близо 3000 – и този брой нараства. Време е да преразгледате настоящата си програма за оценка на риска от трети страни и да приемете нови най-добри практики, за да намалите риска.

 

Възходът на абонаментите за SaaS

Рисковете, свързани с трети страни, никога не са били по-големи. Анализаторската фирма Gartner наскоро разкри, че въпреки увеличените инвестиции в управлението на риска за киберсигурността на трети страни през последните две години 45% от организациите са преживели прекъсвания на бизнеса, свързани с трети страни. Как стигнахме дотук? Според Gartner 60% от организациите работят с повече от 1000 трети страни. Средно организациите използват над 370 приложения тип „софтуер като услуга“ (SaaS); средностатистическият отдел вече използва 87 приложения SaaS. С всяко ново приложение векторът на атака се увеличава. Мащабът на проблема е огромен.

В миналото закупуването на корпоративен софтуер беше дълъг, протяжен процес с много надзор. Макар и понякога досадни, дългите цикли на продажби на предприятията даваха възможност за правилна проверка, така че организациите не включваха твърде много системи на трети страни. С разпространението на SaaS за организациите – и за отделните лица – е по-лесно да добавят нови софтуерни абонаменти, отколкото когато и да било преди, понякога с малко надзор или оценка на риска.

Обемът и скоростта на абонаментите за SaaS е една от най-големите причини, поради които организациите вече имат толкова много доставчици от трети страни. Правомощието за вземане на решения за закупуване и включване на тези приложения е все по-децентрализирано; от отделни служители, които просто искат да участват в безплатен пробен период на софтуер, до упълномощени членове на екипа. Решенията на трети страни се въвеждат в организацията по много пътища, което само увеличава предизвикателството пред сигурността и затруднява оценката на риска.

С появата на инструменти за повишаване на производителността, задвижвани от изкуствен интелект, можем да очакваме разрастването на SaaS – и свързания с него риск от трети страни – да се увеличи. Освен това сред служителите нараства търсенето на иновативни продукти от потребителски клас. Макар че организациите може да предпочетат да консолидират отношенията си с доставчиците, търсенето от страна на служителите на продукти от най-висок клас може да противодейства на това усилие, продължавайки инерцията в присъединяването на доставчици.

Път напред за по-добра оценка на риска от трети страни

Един от най-големите митове за оценката на риска от трети страни е, че тя е еднократна дейност. Много организации погрешно я разглеждат като упражнение за поставяне на отметка, което се извършва само по време на първоначалния процес на включване на доставчика. Този подход пренебрегва динамичния характер на риска, като не успява да отчете промените с течение на времето в бизнес практиките на третата страна, позицията по отношение на сигурността или регулаторната среда.

За да се повиши ефективността, като същевременно се намали рискът, и за да се подобри оценката на риска от трети страни, организациите трябва да предприемат следните стъпки:

  • Класифицирайте доставчиците въз основа на нивото на риска, който те представляват. Фокусирайте се върху по-интензивни оценки на доставчиците с по-висок риск, като същевременно прилагате рационализирани процеси за тези с по-нисък риск.
  • Преминете от периодични прегледи към непрекъснато наблюдение на рисковете от трети страни, като използвате данни в реално време. Това помага за бързото идентифициране и реагиране на възникващи рискове.
  • Разработете стандартизирани процедури и шаблони за оценка на риска, за да осигурите последователност, да намалите излишъците и да ускорите цикъла на оценка. Създайте система, която автоматично да ви напомня, когато даден доставчик трябва да бъде оценен за риск.
  • Уверете се, че третите страни спазват международните закони и разпоредби за защита на личните данни, които могат да се различават значително в отделните региони.
  • Оценявайте готовността на третите страни да реагират на инциденти със сигурността или оперативни смущения.
  • Вземете предвид рисковете от четвърти страни, породени от подизпълнителите или партньорите на доставчиците от трети страни на организацията, които могат значително да повлияят на рисковия пейзаж.
  • Оценете устойчивостта на веригата за доставки на третата страна срещу прекъсвания и тяхното въздействие върху операциите на организацията.
  • Разширявайте програмите за оценка на риска, за да съответстват на растежа на бизнеса и нарастващия брой взаимоотношения с трети страни.
  • Внедрете модерни технологии като изкуствен интелект и машинно обучение за автоматизирано събиране и анализ на данни и използвайте изкуствен интелект, за да подпомогнете разработването на правилните въпроси, които да задавате на доставчиците си. Възползвайте се от най-съвременните технологии и процеси за автоматизация, за да се преборите с мащаба на предизвикателството и бързо да осигурите сигурност в голям мащаб.

Заключение

Тъй като организациите продължават да включват нови доставчици, рисковете по веригата на доставки и други рискове, свързани с трети страни, ще продължат да се покачват. Чрез непрекъснато оценяване и актуализиране на програмата за оценка на риска от трети страни на вашата организация можете значително да подобрите позицията си по отношение на сигурността и да се надяваме, че ще се уверите, че компанията ви няма да пострада при  следващия инцидент, предизвикващ заглавия.

Автор: Ей Джей Сандър, съосновател и CIO на  Responsive

Източник: DARKReading

Подобни публикации

9 декември 2024

QNAP поправя уязвимостите, експлоатирани в Pwn2Own

През уикенда тайванската компания QNAP Systems обяви кръпки за множ...
9 декември 2024

Производител на медицински изделия претърпя ата...

В понеделник компанията за медицинска апаратура Artivion оповести а...
9 декември 2024

ЕС отправя спешно запитване към TikTok

Европейският съюз съобщи в петък, че е изпратил на TikTok спешно ис...
9 декември 2024

QR кодовете заобикалят изолацията на браузъра

Mandiant е идентифицирала нов метод за заобикаляне на технологията ...
9 декември 2024

SonicWall поправя 6 уязвимости в Secure Access ...

В края на миналата седмица SonicWall обяви пачове за множество уязв...
8 декември 2024

Тексаски тийнейджър е арестуван за хакове на те...

Преследването на членовете на Scattered Spider, киберпрестъпната гр...
Бъдете социални
Още по темата
06/12/2024

Критичен недостатък на Mite...

Изследователи в областта на киберсигурността публикуваха...
04/12/2024

Домейните за разработчици н...

Домейните „pages.dev“ и „workers.dev“ на Cloudflare,...
03/12/2024

Прототипът на UEFI Bootkit ...

Откриването на прототип на UEFI bootkit,...
Последно добавени
09/12/2024

QNAP поправя уязвимостите, ...

През уикенда тайванската компания QNAP Systems...
09/12/2024

Производител на медицински ...

В понеделник компанията за медицинска апаратура...
09/12/2024

ЕС отправя спешно запитване...

Европейският съюз съобщи в петък, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!