Търсене
Close this search box.

Oценката на риска от трети страни- крайъгълен камък в киберсигурността

Непрекъснатото оценяване и актуализиране на оценката на риска от трети страни може да подобри позицията ви по отношение на сигурността и да гарантира, че компанията ви няма да преживее следващия инцидент, който ще се превърне във водещ.

През декември бе отбелязана третата годишнина от едно от най-значимите нарушения на сигурността на данните в индустрията – SolarWinds. Макар че огромните разходи и неотдавнашните съдебни дела от тази изключително вредна атака по веригата за доставки през 2020 г. поставиха в центъра на вниманието важността на оценката на риска от трети страни, лошите продължиха да използват софтуер на трети страни.

Според проучването на Forrester Research за сигурността през 2022 г. веригите за доставки са основната причина за нарушения. Например броят на организациите, засегнати от хакването на веригата за доставки MOVEit, е близо 3000 – и този брой нараства. Време е да преразгледате настоящата си програма за оценка на риска от трети страни и да приемете нови най-добри практики, за да намалите риска.

 

Възходът на абонаментите за SaaS

Рисковете, свързани с трети страни, никога не са били по-големи. Анализаторската фирма Gartner наскоро разкри, че въпреки увеличените инвестиции в управлението на риска за киберсигурността на трети страни през последните две години 45% от организациите са преживели прекъсвания на бизнеса, свързани с трети страни. Как стигнахме дотук? Според Gartner 60% от организациите работят с повече от 1000 трети страни. Средно организациите използват над 370 приложения тип „софтуер като услуга“ (SaaS); средностатистическият отдел вече използва 87 приложения SaaS. С всяко ново приложение векторът на атака се увеличава. Мащабът на проблема е огромен.

В миналото закупуването на корпоративен софтуер беше дълъг, протяжен процес с много надзор. Макар и понякога досадни, дългите цикли на продажби на предприятията даваха възможност за правилна проверка, така че организациите не включваха твърде много системи на трети страни. С разпространението на SaaS за организациите – и за отделните лица – е по-лесно да добавят нови софтуерни абонаменти, отколкото когато и да било преди, понякога с малко надзор или оценка на риска.

Обемът и скоростта на абонаментите за SaaS е една от най-големите причини, поради които организациите вече имат толкова много доставчици от трети страни. Правомощието за вземане на решения за закупуване и включване на тези приложения е все по-децентрализирано; от отделни служители, които просто искат да участват в безплатен пробен период на софтуер, до упълномощени членове на екипа. Решенията на трети страни се въвеждат в организацията по много пътища, което само увеличава предизвикателството пред сигурността и затруднява оценката на риска.

С появата на инструменти за повишаване на производителността, задвижвани от изкуствен интелект, можем да очакваме разрастването на SaaS – и свързания с него риск от трети страни – да се увеличи. Освен това сред служителите нараства търсенето на иновативни продукти от потребителски клас. Макар че организациите може да предпочетат да консолидират отношенията си с доставчиците, търсенето от страна на служителите на продукти от най-висок клас може да противодейства на това усилие, продължавайки инерцията в присъединяването на доставчици.

Път напред за по-добра оценка на риска от трети страни

Един от най-големите митове за оценката на риска от трети страни е, че тя е еднократна дейност. Много организации погрешно я разглеждат като упражнение за поставяне на отметка, което се извършва само по време на първоначалния процес на включване на доставчика. Този подход пренебрегва динамичния характер на риска, като не успява да отчете промените с течение на времето в бизнес практиките на третата страна, позицията по отношение на сигурността или регулаторната среда.

За да се повиши ефективността, като същевременно се намали рискът, и за да се подобри оценката на риска от трети страни, организациите трябва да предприемат следните стъпки:

  • Класифицирайте доставчиците въз основа на нивото на риска, който те представляват. Фокусирайте се върху по-интензивни оценки на доставчиците с по-висок риск, като същевременно прилагате рационализирани процеси за тези с по-нисък риск.
  • Преминете от периодични прегледи към непрекъснато наблюдение на рисковете от трети страни, като използвате данни в реално време. Това помага за бързото идентифициране и реагиране на възникващи рискове.
  • Разработете стандартизирани процедури и шаблони за оценка на риска, за да осигурите последователност, да намалите излишъците и да ускорите цикъла на оценка. Създайте система, която автоматично да ви напомня, когато даден доставчик трябва да бъде оценен за риск.
  • Уверете се, че третите страни спазват международните закони и разпоредби за защита на личните данни, които могат да се различават значително в отделните региони.
  • Оценявайте готовността на третите страни да реагират на инциденти със сигурността или оперативни смущения.
  • Вземете предвид рисковете от четвърти страни, породени от подизпълнителите или партньорите на доставчиците от трети страни на организацията, които могат значително да повлияят на рисковия пейзаж.
  • Оценете устойчивостта на веригата за доставки на третата страна срещу прекъсвания и тяхното въздействие върху операциите на организацията.
  • Разширявайте програмите за оценка на риска, за да съответстват на растежа на бизнеса и нарастващия брой взаимоотношения с трети страни.
  • Внедрете модерни технологии като изкуствен интелект и машинно обучение за автоматизирано събиране и анализ на данни и използвайте изкуствен интелект, за да подпомогнете разработването на правилните въпроси, които да задавате на доставчиците си. Възползвайте се от най-съвременните технологии и процеси за автоматизация, за да се преборите с мащаба на предизвикателството и бързо да осигурите сигурност в голям мащаб.

Заключение

Тъй като организациите продължават да включват нови доставчици, рисковете по веригата на доставки и други рискове, свързани с трети страни, ще продължат да се покачват. Чрез непрекъснато оценяване и актуализиране на програмата за оценка на риска от трети страни на вашата организация можете значително да подобрите позицията си по отношение на сигурността и да се надяваме, че ще се уверите, че компанията ви няма да пострада при  следващия инцидент, предизвикващ заглавия.

Автор: Ей Джей Сандър, съосновател и CIO на  Responsive

Източник: DARKReading

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
Бъдете социални
Още по темата
15/04/2024

За проблемите с работната с...

  За проблемите с работната сила...
13/04/2024

Latrodectus продължава там,...

Брокерите за първоначален достъп използват новия...
10/04/2024

Защо е толкова важно да укр...

Доставчиците на управлявани услуги (MSP) са...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!