Тазгодишната тема на NCSAM „Притежавайте ИТ. Защитете ИТ. Пази го." е мощен призив за действие за собственост и отчетност. Мнозина обаче, които се вслушват в този призив, няма да се замислят как той се разпростира и върху обширната и нарастваща мрежа от взаимоотношения с трети страни. Защо? За повечето организации трети страни усложняват управлението на риска за киберсигурността.
Вижте ал
- 10 опасни уязвимости на приложения, за които да внимавате (безплатен PDF)
октомври! Месец, белязан от есенна зеленина, тиквени подправки и национален месец на осведоменост за киберсигурността (NCSAM) – съвместно усилие между правителството и индустрията за повишаване на осведомеността относно важността на кибер защита. Тазгодишната тема на NCSAM „Притежавайте ИТ. Защитете ИТ. Protect IT." е мощен призив за действие за собственост и отчетност. Мнозина обаче, които се вслушват в този призив, няма да се замислят как той се разпростира и върху обширната и нарастваща мрежа от взаимоотношения с трети страни. Защо? За повечето организации трети страни усложняват управлението на риска за киберсигурността.
Рискът от трета страна изглежда като небалансирано уравнение. Компаниите имат ограничен или никакъв контрол върху начина, по който трети страни защитават тяхната технологична инфраструктура, техните приложения или техните данни; същите тези компании обаче са изцяло отговорни за инциденти в киберсигурността, които възникват в резултат на тези взаимоотношения. В резултат на това компаниите са финансово застрашени от регулаторни глоби, наказания или загуба на приходи и рискуват собствената си репутация, когато събитията доведат до негативна публичност или смущения в работата.
Докато търсите зрялост и мащабиране на усилията на трети страни за управление на риска, не ограничавайте осведомеността и обучението по сигурността до вътрешния персонал. Когато обмисляте рискови програми на трети страни, уверете се, че:
- Създайте и поддържайте централно хранилище за взаимоотношения с трети страни. Не можете да управлявате това, което не можете да измерите, и няма да можете да оцените задълбочено риска от всяка връзка, ако не знаете колко трети страни имате или кои са тези трети страни. Повече от половината от всички организации не поддържат активен каталог на трети страни.1
- Мислете отвъд остарялата номенклатура, която ограничава обхвата ви и създава слепи петна. Третите страни се наричат с много имена: доставчик, доставчик, доставчик на ИТ услуги, филиал, сътрудник, консултант и др. Не ограничавайте оценката на киберсигурността само до доставчиците на софтуер. С дигиталната трансформация и IoT почти всяка една връзка с трета страна включва съхраняване, обработка или предаване на чувствителни данни. Мислете за всяка връзка като за връзка по веригата на стойността, включително вашия техник за ремонт на ОВК.
- Вземете предпазни мерки за киберсигурност в края на връзката. За много организации липсва една критична стъпка от техния процес на киберсигурност на трети страни. Много често те пренебрегват или забравят да прекратят достъпа на трети страни до критични системи, когато договорът е завършен. Процесът на изтегляне е от съществено значение за смекчаване на рисковете надолу по веригата. Създайте процес, чрез който собственикът на връзката с трета страна уведомява правилните канали, преди да обяви прекратяване на договора, по този начин сигурността може да наблюдава за нередовен достъп - в случай че третата страна иска да вземе сувенири за ваша сметка - и се уверете, че достъпът е прекратен в края на договора Период.
Тази публикация е написана от анализатор Алла Валенте и първоначално се появи тук.
Сигурност
- 8 навика на много сигурни дистанционни работници
- Как да намерите и премахнете шпионски софтуер от телефона си
- Най-добрите VPN услуги: Как се сравняват топ 5?
- Как да разберете дали сте замесени в нарушение на сигурността на данните -- и какво да направите след това