Пять вопросов о сторонних поставщиках и кибербезопасности

От консультантов по маркетингу и партнеров по цепочке поставок до бухгалтеров и поставщиков ИТ-услуг - организации сегодня зависят от всех видов третьих сторон практически в каждой мыслимой бизнес-функции.

Согласно недавнему исследованию Ponemon Institute, непредвиденным последствием зависимостей сторонних организаций является то, что 61% организаций в США испытали утечку данных, вызванную третьей стороной или поставщиком. Пятьдесят семь процентов предприятий не могут определить, могут ли политики безопасности и защиты их поставщиков адекватно предотвратить нарушение, и менее половины оценивают методы обеспечения безопасности и конфиденциальности поставщиков перед заключением бизнес-соглашения, которое требует обмена конфиденциальной или конфиденциальной информацией. .

Поэтому неудивительно, что согласно тому же исследованию только 16 процентов респондентов оценили свои компании как «высокоэффективные» в снижении рисков третьих лиц. Фактически, те, кто уделяет первоочередное внимание управлению рисками аутсорсинга, составляют меньшинство.

Лучшее время для снижения риска для третьих лиц - в самом начале отношений - до заключения соглашения. Вот когда вам нужно задать важные вопросы, чтобы определить, на что вы способны, и как лучше всего избежать компромисса. Поставщики, применяющие строгие методы обеспечения безопасности, обычно готовы говорить о них, в то время как те, кто избегает таких обсуждений, могут что-то скрывать. Имея это в виду, вот пять вопросов - один для внутреннего и четыре для серьезных кандидатов, - которые вы должны задать при рассмотрении вопроса о третьей стороне:

Какие данные и системы будут доступны или доступны третьей стороне? Многие третьи стороны не будут иметь доступа к конфиденциальным данным или системам, поэтому в случае взлома угроза для вас минимальна. Например, поставщик ландшафтного дизайна не имеет доступа к данным или системам и, скорее всего, не имеет доступа к внутреннему пространству какого-либо объекта. Возможно, единственная компьютеризированная сеть, к которой он может получить доступ, - это ирригационная система, которая, скорее всего, будет изолирована от внутренних корпоративных систем. Следовательно, можно ожидать, что любое потенциальное нарушение правил этого гипотетического поставщика ландшафта практически не повлияет на него.

Поставщик кадров, финансовая система или поставщик, напротив, будут совсем другими. Например, если вы наняли консультанта для разработки клиентской аналитики в поддержку маркетинговой или бизнес-стратегии, эта организация может иметь доступ к данным компании, включая номера кредитных карт клиентов и домашние адреса, или корпоративные финансовые данные. Консультанты этого типа следует тщательно проверять.

Какие журналы и мониторинг выполняет третья сторона? Ведение журнала и мониторинг - это основные способы, с помощью которых организация регистрирует и реагирует на действия в своей среде. Но журналы системной и сетевой активности подробны. И в сегодняшних современных вычислительных средах, которые состоят из множества разнородных систем и сетей с высокой пропускной способностью, объем журналов событий быстро становится непосильным для человека. Чтобы правильно отслеживать события безопасности, необходимо развернуть инструменты для хранения и сортировки этих событий. Зная персонал поставщика и выбор инструментов, вы поймете, насколько серьезно он относится к безопасности. В конце концов, люди + инструменты =деньги =ресурсы =приоритеты. Ищите партнеров, которые уделяют приоритетное внимание безопасности и инвестируют в нее.

Каким образом третья сторона управляет физическим и техническим контролем доступа? Контроль доступа - это один из способов уменьшить уязвимость и, следовательно, риск. Они принимают две основные формы:физическую и техническую. В нашем сверхсвязанном мире легко забыть о важности физического контроля. Вам необходимо указать физические местоположения, в которых третья сторона хранит, обрабатывает и передает данные, а также уровень физической безопасности в этих местах. Если ваши данные должны храниться на мобильных устройствах, важно понимать меры безопасности, связанные с этими устройствами, поскольку они не всегда могут находиться в статическом физическом месте.

Технические средства контроля доступа также важны для оценки систем и сетей. Спросите, сколько человек будет иметь доступ к вашим данным и с какой целью. Узнайте, как третья сторона использует многофакторную аутентификацию, как часто проверяются пользователи в группе администраторов, как часто проверяются системные разрешения и как удаляется доступ уходящих сотрудников. Кроме того, узнайте, как используются методы и инструменты сегментации сети. Например, какие средства контроля используются для изоляции производственных систем от других сред, таких как Интернет? Как сторонняя сторона сегментирует свою внутреннюю сеть?

Часто хороший контроль физического доступа может компенсировать слабый технический контроль, и наоборот. Но лучше всего ограничить физический и технический доступ к данным и системам для тех лиц, которые необходимы для предоставления услуги. Слабый контроль доступа открывает поверхность для атаки и увеличивает риск.

Какие подходы сторонние организации используют для установки исправлений в системы? Хотя неизвестные или нераскрытые уязвимости серьезны и привлекают много внимания, они редки. Организации больше подвержены риску известных, чем неизвестных уязвимостей. В результате у третьих сторон должны быть надежные программы для исправления известных уязвимостей путем быстрого применения исправлений безопасности, которые обновляют недостатки и удаляют лежащее в основе уязвимое программное обеспечение.

Основные поставщики программного обеспечения регулярно выпускают обновления. При проверке третьих лиц вы должны быть уверены, что системы, которые обрабатывают, хранят и передают ваши данные, будут получать регулярные и своевременные обновления, и что существуют ускоренные процессы для немедленных и критических уязвимостей.

Пройдет ли сторонняя организация независимый аудит или тестирование? Какие сертификаты безопасности он получил? Аудиты обеспечивают подотчетность организаций. Третьи стороны должны проводить самоаудит, заполняя и сохраняя актуальные стандартизированные анкеты безопасности, такие как SIG Lite или CSA CAIQ. Помимо самооценки, независимый аудит дает вам уверенность в том, что третья сторона соблюдает ее политику и процедуры. Независимые аудиты могут включать тесты на проникновение или SOC 2. Некоторые отрасли имеют свои собственные сертификаты, такие как HITRUST в здравоохранении, PCI для платежных систем и FedRAMP в федеральном правительстве США. Во всех случаях важны независимые аудиты, которые демонстрируют приверженность поддержанию утвержденной официальной программы информационной безопасности.

В совокупности обсуждения этих ключевых областей дадут вам представление о состоянии безопасности поставщика. Если ответы поставщика прозрачны и указывают на стратегический приоритет и проактивную осмотрительность, вы можете двигаться вперед более уверенно. Если позиция поставщика в области безопасности является незрелой, вы должны либо принять риск, либо рассмотреть другие меры по его контролю.

Не позволяйте безопасности данных быть второстепенным. Сделайте его неотъемлемой частью обсуждения продуктов и услуг. В сегодняшней среде масштабных и сложных атак кибербезопасность является дело дела. Вы должны проявить должную осмотрительность, чтобы понять свой риск.

Джереми Хаас - директор по безопасности, а Райан Бергквист - аналитик по кибербезопасности, Решения LookingGlass Cyber ​​ .