Günümüzün siber güvenlik ortamı sürekli genişleyen üçüncü taraf saldırı yüzeyiyle başa çıkmak için çevik ve veriye dayalı bir risk yönetimi stratejisi gerektirir.
Bir işletme, verileri ve ağ erişimini paylaşarak hizmetleri dış kaynak kullandığında, siber riski, çalışanları, süreçleri, teknolojisi ve söz konusu satıcının üçüncü taraflarındaki tedarikçilerinden devralır. Tipik bir işletme ile çalışır ortalama yaklaşık 5.900 üçüncü tarafBu, şirketlerin kendi üslerini ne kadar iyi kapsadıklarına bakılmaksızın büyük miktarda riskle karşı karşıya oldukları anlamına gelir.
Örneğin, 81 bireysel üçüncü taraf olayı, 2021 boyunca kamuya açıklanmış 200’den fazla ihlale ve binlerce dalgalanma etkisi ihlaline yol açtı. bildiri Kara Uçurtma tarafından.
Üçüncü taraf riskini yönetmeye yönelik mevcut dışarıdan içeriye yaklaşım yetersizdir. Bunun yerine, endüstrinin dışarıdan içeriye değerlendirmelerin ötesinde görüşmeler başlatarak yeni bir üçüncü taraf risk yönetimi yaklaşımına doğru ilerlemesi gerekiyor. Özellikle işletmeler, tüm satıcılar için sıfır güven ilkeleri oluşturmalı, içten dışa değerlendirmelerle dış ve iç varlıklardaki riski değerlendirmeli ve siber riski gerçek zamanlı olarak ölçmelidir.
“Asla güvenme, her zaman doğrula” sıfır güven ilkesi, dahili ortamları yönetmek için yaygın olarak benimsenmiştir ve kuruluşlar bu kavramı üçüncü taraf risk yönetimine genişletmelidir.
Bununla mücadele etmek için işletmelerin satıcıları işlerinin alt kümeleri olarak görmeleri gerekir.
yaklaşan tehdit
Bir işletmenin satıcılarıyla paylaştığı veri ve iş açısından kritik bilgi miktarı şaşırtıcıdır. Örneğin, bir şirket fikri mülkiyeti üretici ortaklarla paylaşabilir, sigortacılarla paylaşmak için bulut sunucularında kişisel sağlık bilgilerini (PHI) saklayabilir ve pazarlama ajanslarının müşteri verilerine ve kişisel olarak tanımlanabilir bilgilere (PII) erişmesine izin verebilir.
Bu, buzdağının sadece görünen kısmı ve çoğu işletme buzdağının gerçekte ne kadar büyük olduğunu bilmiyor. Ponemon Enstitüsü tarafından yapılan bir ankette, Ankete katılan şirketlerin yüzde 51’i üçüncü tarafların gizli bilgilere erişmelerine izin vermeden önce siber risk durumlarını değerlendirmeyin. Dahası, ankete katılan şirketlerin %63’ü, satıcıların hangi verilere ve sistem yapılandırmalarına erişebileceğine, bunlara neden erişebildiğine, kimlerin izinlere sahip olduğuna ve verilerin nasıl depolanıp paylaşıldığına dair görünürlüklerinin olmadığını söyledi.
Gerçek zamanlı olarak bilgi paylaşan bu devasa işletme ağı, yönetilmesi giderek zorlaşan geniş bir saldırı yüzeyi ile sonuçlanıyor. Bu zorluğun üstesinden gelmek için işletmeler, üçüncü taraf risk yönetimi stratejilerinde ankete dayalı işe alım anketleri ve güvenlik derecelendirme hizmetleri gibi siber güvenlik girişimlerini kullanır.
Bu araçların belirli kullanım durumları olmakla birlikte, ciddi sınırlamaları da vardır.
Siber güvenlik derecelendirme hizmetleri, üçüncü taraf risk değerlendirmelerine hızlı ve ekonomik bir yaklaşımdır. Finansal hizmetlerdeki kredi notları gibi bir satıcının siber riskini bir puan olarak temsil eden basitlikleri, sınırlamalara rağmen onları popüler bir seçim haline getiriyor.