Търсене
Close this search box.

Oценката на риска от трети страни- крайъгълен камък в киберсигурността

Непрекъснатото оценяване и актуализиране на оценката на риска от трети страни може да подобри позицията ви по отношение на сигурността и да гарантира, че компанията ви няма да преживее следващия инцидент, който ще се превърне във водещ.

През декември бе отбелязана третата годишнина от едно от най-значимите нарушения на сигурността на данните в индустрията – SolarWinds. Макар че огромните разходи и неотдавнашните съдебни дела от тази изключително вредна атака по веригата за доставки през 2020 г. поставиха в центъра на вниманието важността на оценката на риска от трети страни, лошите продължиха да използват софтуер на трети страни.

Според проучването на Forrester Research за сигурността през 2022 г. веригите за доставки са основната причина за нарушения. Например броят на организациите, засегнати от хакването на веригата за доставки MOVEit, е близо 3000 – и този брой нараства. Време е да преразгледате настоящата си програма за оценка на риска от трети страни и да приемете нови най-добри практики, за да намалите риска.

 

Възходът на абонаментите за SaaS

Рисковете, свързани с трети страни, никога не са били по-големи. Анализаторската фирма Gartner наскоро разкри, че въпреки увеличените инвестиции в управлението на риска за киберсигурността на трети страни през последните две години 45% от организациите са преживели прекъсвания на бизнеса, свързани с трети страни. Как стигнахме дотук? Според Gartner 60% от организациите работят с повече от 1000 трети страни. Средно организациите използват над 370 приложения тип „софтуер като услуга“ (SaaS); средностатистическият отдел вече използва 87 приложения SaaS. С всяко ново приложение векторът на атака се увеличава. Мащабът на проблема е огромен.

В миналото закупуването на корпоративен софтуер беше дълъг, протяжен процес с много надзор. Макар и понякога досадни, дългите цикли на продажби на предприятията даваха възможност за правилна проверка, така че организациите не включваха твърде много системи на трети страни. С разпространението на SaaS за организациите – и за отделните лица – е по-лесно да добавят нови софтуерни абонаменти, отколкото когато и да било преди, понякога с малко надзор или оценка на риска.

Обемът и скоростта на абонаментите за SaaS е една от най-големите причини, поради които организациите вече имат толкова много доставчици от трети страни. Правомощието за вземане на решения за закупуване и включване на тези приложения е все по-децентрализирано; от отделни служители, които просто искат да участват в безплатен пробен период на софтуер, до упълномощени членове на екипа. Решенията на трети страни се въвеждат в организацията по много пътища, което само увеличава предизвикателството пред сигурността и затруднява оценката на риска.

С появата на инструменти за повишаване на производителността, задвижвани от изкуствен интелект, можем да очакваме разрастването на SaaS – и свързания с него риск от трети страни – да се увеличи. Освен това сред служителите нараства търсенето на иновативни продукти от потребителски клас. Макар че организациите може да предпочетат да консолидират отношенията си с доставчиците, търсенето от страна на служителите на продукти от най-висок клас може да противодейства на това усилие, продължавайки инерцията в присъединяването на доставчици.

Път напред за по-добра оценка на риска от трети страни

Един от най-големите митове за оценката на риска от трети страни е, че тя е еднократна дейност. Много организации погрешно я разглеждат като упражнение за поставяне на отметка, което се извършва само по време на първоначалния процес на включване на доставчика. Този подход пренебрегва динамичния характер на риска, като не успява да отчете промените с течение на времето в бизнес практиките на третата страна, позицията по отношение на сигурността или регулаторната среда.

За да се повиши ефективността, като същевременно се намали рискът, и за да се подобри оценката на риска от трети страни, организациите трябва да предприемат следните стъпки:

  • Класифицирайте доставчиците въз основа на нивото на риска, който те представляват. Фокусирайте се върху по-интензивни оценки на доставчиците с по-висок риск, като същевременно прилагате рационализирани процеси за тези с по-нисък риск.
  • Преминете от периодични прегледи към непрекъснато наблюдение на рисковете от трети страни, като използвате данни в реално време. Това помага за бързото идентифициране и реагиране на възникващи рискове.
  • Разработете стандартизирани процедури и шаблони за оценка на риска, за да осигурите последователност, да намалите излишъците и да ускорите цикъла на оценка. Създайте система, която автоматично да ви напомня, когато даден доставчик трябва да бъде оценен за риск.
  • Уверете се, че третите страни спазват международните закони и разпоредби за защита на личните данни, които могат да се различават значително в отделните региони.
  • Оценявайте готовността на третите страни да реагират на инциденти със сигурността или оперативни смущения.
  • Вземете предвид рисковете от четвърти страни, породени от подизпълнителите или партньорите на доставчиците от трети страни на организацията, които могат значително да повлияят на рисковия пейзаж.
  • Оценете устойчивостта на веригата за доставки на третата страна срещу прекъсвания и тяхното въздействие върху операциите на организацията.
  • Разширявайте програмите за оценка на риска, за да съответстват на растежа на бизнеса и нарастващия брой взаимоотношения с трети страни.
  • Внедрете модерни технологии като изкуствен интелект и машинно обучение за автоматизирано събиране и анализ на данни и използвайте изкуствен интелект, за да подпомогнете разработването на правилните въпроси, които да задавате на доставчиците си. Възползвайте се от най-съвременните технологии и процеси за автоматизация, за да се преборите с мащаба на предизвикателството и бързо да осигурите сигурност в голям мащаб.

Заключение

Тъй като организациите продължават да включват нови доставчици, рисковете по веригата на доставки и други рискове, свързани с трети страни, ще продължат да се покачват. Чрез непрекъснато оценяване и актуализиране на програмата за оценка на риска от трети страни на вашата организация можете значително да подобрите позицията си по отношение на сигурността и да се надяваме, че ще се уверите, че компанията ви няма да пострада при  следващия инцидент, предизвикващ заглавия.

Автор: Ей Джей Сандър, съосновател и CIO на  Responsive

Източник: DARKReading

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...

Грешки в киберсигурността на крайните потребите...

В днешните забързани организации крайните потребители понякога се о...

Всичко за Закона за онлайн безопасността на дец...

За последен път Конгресът прие закон за защита на децата в интернет...
Бъдете социални
Още по темата
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
23/07/2024

Google се отказа от плана с...

Google се отказа от плана си...
22/07/2024

Осмисляне на глобалното пре...

Скорошният глобален ИТ срив, засегнал потребителите...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!