Непрекъснатото оценяване и актуализиране на оценката на риска от трети страни може да подобри позицията ви по отношение на сигурността и да гарантира, че компанията ви няма да преживее следващия инцидент, който ще се превърне във водещ.
През декември бе отбелязана третата годишнина от едно от най-значимите нарушения на сигурността на данните в индустрията – SolarWinds. Макар че огромните разходи и неотдавнашните съдебни дела от тази изключително вредна атака по веригата за доставки през 2020 г. поставиха в центъра на вниманието важността на оценката на риска от трети страни, лошите продължиха да използват софтуер на трети страни.
Според проучването на Forrester Research за сигурността през 2022 г. веригите за доставки са основната причина за нарушения. Например броят на организациите, засегнати от хакването на веригата за доставки MOVEit, е близо 3000 – и този брой нараства. Време е да преразгледате настоящата си програма за оценка на риска от трети страни и да приемете нови най-добри практики, за да намалите риска.
Рисковете, свързани с трети страни, никога не са били по-големи. Анализаторската фирма Gartner наскоро разкри, че въпреки увеличените инвестиции в управлението на риска за киберсигурността на трети страни през последните две години 45% от организациите са преживели прекъсвания на бизнеса, свързани с трети страни. Как стигнахме дотук? Според Gartner 60% от организациите работят с повече от 1000 трети страни. Средно организациите използват над 370 приложения тип „софтуер като услуга“ (SaaS); средностатистическият отдел вече използва 87 приложения SaaS. С всяко ново приложение векторът на атака се увеличава. Мащабът на проблема е огромен.
В миналото закупуването на корпоративен софтуер беше дълъг, протяжен процес с много надзор. Макар и понякога досадни, дългите цикли на продажби на предприятията даваха възможност за правилна проверка, така че организациите не включваха твърде много системи на трети страни. С разпространението на SaaS за организациите – и за отделните лица – е по-лесно да добавят нови софтуерни абонаменти, отколкото когато и да било преди, понякога с малко надзор или оценка на риска.
Обемът и скоростта на абонаментите за SaaS е една от най-големите причини, поради които организациите вече имат толкова много доставчици от трети страни. Правомощието за вземане на решения за закупуване и включване на тези приложения е все по-децентрализирано; от отделни служители, които просто искат да участват в безплатен пробен период на софтуер, до упълномощени членове на екипа. Решенията на трети страни се въвеждат в организацията по много пътища, което само увеличава предизвикателството пред сигурността и затруднява оценката на риска.
С появата на инструменти за повишаване на производителността, задвижвани от изкуствен интелект, можем да очакваме разрастването на SaaS – и свързания с него риск от трети страни – да се увеличи. Освен това сред служителите нараства търсенето на иновативни продукти от потребителски клас. Макар че организациите може да предпочетат да консолидират отношенията си с доставчиците, търсенето от страна на служителите на продукти от най-висок клас може да противодейства на това усилие, продължавайки инерцията в присъединяването на доставчици.
Един от най-големите митове за оценката на риска от трети страни е, че тя е еднократна дейност. Много организации погрешно я разглеждат като упражнение за поставяне на отметка, което се извършва само по време на първоначалния процес на включване на доставчика. Този подход пренебрегва динамичния характер на риска, като не успява да отчете промените с течение на времето в бизнес практиките на третата страна, позицията по отношение на сигурността или регулаторната среда.
За да се повиши ефективността, като същевременно се намали рискът, и за да се подобри оценката на риска от трети страни, организациите трябва да предприемат следните стъпки:
Тъй като организациите продължават да включват нови доставчици, рисковете по веригата на доставки и други рискове, свързани с трети страни, ще продължат да се покачват. Чрез непрекъснато оценяване и актуализиране на програмата за оценка на риска от трети страни на вашата организация можете значително да подобрите позицията си по отношение на сигурността и да се надяваме, че ще се уверите, че компанията ви няма да пострада при следващия инцидент, предизвикващ заглавия.
Автор: Ей Джей Сандър, съосновател и CIO на Responsive
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.