איך ניתן להפחית את ה-Third Party Risk בארגון שלך?

Securityscorecard_logo.png
vendors ssc.png

בעולם אבטחת המידע "סיכון צד ג'" הוא נושא שעולה לעתים קרובות. ככל שיותר ארגונים פונים לספקים מבוססי SaaS ומעבירים את פעילותם לסביבה מונחת ענן, הסיכון של צד ג הופך לאחד הנושאים הקריטיים ביותר עבור ארגון בכל רמה שהיא.

אז מה טומן בחובו "סיכון של צד שלישי" ? מדוע זה כל כך חשוב לצוותים האחראים על אבטחת מידע ופרטיות הנתונים שהם מנהלים, תקבלו גם כמה טיפים וטריקים שצוותים יכולים להשתמש בהם כדי להפחית את הסיכון הזה.

מהו סיכון צד שלישי Third Party Risk? ספק צד שלישי מוגדר לפי ה - (Federal Deposit Insurance Corporation (FDIC ישות משפטית אשר מקיימת קשר עסקי כלשהוא עם הארגון שבו אותה ישות יכולה לגשת, לשתף או להשתמש בנכסי הנתונים המוגנים ע"י הארגון. לתאגידים כיום עשרות, לפעמים מאות, שותפי ספקים במחלקות שונות בעסק. כל דבר החל מספק שירותי הדוא"ל שלך (כמו Microsoft or Google) ועד ה- CRM שלך (Salesforce וכו ') לכלי התקשורת הפנימי שלך (Slack or Zoom, למשל) ועד הלקוחות והספקים של העסק שלך כולם נחשבים כספק צד שלישי.

מה צוותי אבטחת מידע יכולים לעשות כדי להפחית את הסיכון הזה? ככל שיותר חברות לוקחות את עסקיהן באופן מקוון ומאמצות את כלכלת ה - open data, פותחות גישה לנתונים פנימיים וללקוחות למספר ספקים בלתי מוגבל לכאורה, הסיכון של צד ג' הופך להיות נושא גדול יותר - ואתגר גדול יותר עבור צוותי אבטחת המידע. הצבת אסטרטגיית ניהול סיכונים יזומה מוקדמת לספקים צד ג' יכולה להבטיח כי הן הלקוחות והגישה לנתונים הפנימיים של הארגון שלך בטוחים ומאובטחים מפני איומים פוטנציאליים.

 

על ידי יישום תהליך מתמשך לבדיקת ספקים צד ג' צוות אבטחת המידע יכול ביעילות ל:

  1. לשפר עם אותם ספקי צד ג' את פערי אבטחת המידע שלהם כדי למנוע פגיעויות והתקפות זדוניות על אותו מידע נגיש לאותו ספק.

  2. לשלוט כיצרן או ספק מידע במצב האבטחה של שותפיך וספקייך ולהביא למצב כי ניהול סיכונים של צד שלישי הוא מוקד מרכזי של הארגון כולו.

  3. ודא שנהלי הגישה למידע שלך מעודכנים לפי רמת האבטחה של הספקים שלך .

  4. איסוף נתונים ותובנות מכל תהליכי העבודה של ספקים חיצוניים ומנף מידע זה כדי לקבל החלטות טובות יותר ומושכלות יותר לגבי תהליכי האבטחה שלך.

  5. הקם את הארגון שלך כמוביל מחשבת אבטחה הן מול הספקים שלך, כמו גם לקוחות פוטנציאליים ומתחרים בשוק שלך.

כיום ישנם כלים אשר נותנים לך ואו לספק שלך ציון בצורה של ScoreCard אשר נותן לך סיכום דיווח באמצעות מידע חיצוני בלבד ונותן לך ציון האבטחה שלך ב 17 קטגוריות שונות וכולל גם המלצות לשיפור בזמן אמת וגם בראיה לאחור.

קטגוריות בדיקה:

Application Security  

Detecting common website application vulnerabilities

Cubit Score

Proprietary algorithms checking for implementation of common security best practices

DNS Health

Detecting DNS insecure configurations and vulnerabilities

Endpoint Security

Measuring security level of employee workstations

Hacker Chatter

Monitoring hacker sites for chatter about your company

IP Reputation

Detecting suspicious activity, such as malware or spam, within your company network

Network Security

Detecting insecure network settings

Information Leak

Potentially confidential company information that may have been inadvertently leaked

Patching Cadence

Out of date company assets which may contain vulnerabilities or risks

Social Engineering

Measuring company awareness to a social engineering or phishing attack

לדגמה של SecurityScorecard פנה אלינו