בעולם אבטחת המידע "סיכון צד ג'" הוא נושא שעולה לעתים קרובות. ככל שיותר ארגונים פונים לספקים מבוססי SaaS ומעבירים את פעילותם לסביבה מונחת ענן, הסיכון של צד ג הופך לאחד הנושאים הקריטיים ביותר עבור ארגון בכל רמה שהיא.
אז מה טומן בחובו "סיכון של צד שלישי" ? מדוע זה כל כך חשוב לצוותים האחראים על אבטחת מידע ופרטיות הנתונים שהם מנהלים, תקבלו גם כמה טיפים וטריקים שצוותים יכולים להשתמש בהם כדי להפחית את הסיכון הזה.
מהו סיכון צד שלישי Third Party Risk? ספק צד שלישי מוגדר לפי ה - (Federal Deposit Insurance Corporation (FDIC ישות משפטית אשר מקיימת קשר עסקי כלשהוא עם הארגון שבו אותה ישות יכולה לגשת, לשתף או להשתמש בנכסי הנתונים המוגנים ע"י הארגון. לתאגידים כיום עשרות, לפעמים מאות, שותפי ספקים במחלקות שונות בעסק. כל דבר החל מספק שירותי הדוא"ל שלך (כמו Microsoft or Google) ועד ה- CRM שלך (Salesforce וכו ') לכלי התקשורת הפנימי שלך (Slack or Zoom, למשל) ועד הלקוחות והספקים של העסק שלך כולם נחשבים כספק צד שלישי.
מה צוותי אבטחת מידע יכולים לעשות כדי להפחית את הסיכון הזה? ככל שיותר חברות לוקחות את עסקיהן באופן מקוון ומאמצות את כלכלת ה - open data, פותחות גישה לנתונים פנימיים וללקוחות למספר ספקים בלתי מוגבל לכאורה, הסיכון של צד ג' הופך להיות נושא גדול יותר - ואתגר גדול יותר עבור צוותי אבטחת המידע. הצבת אסטרטגיית ניהול סיכונים יזומה מוקדמת לספקים צד ג' יכולה להבטיח כי הן הלקוחות והגישה לנתונים הפנימיים של הארגון שלך בטוחים ומאובטחים מפני איומים פוטנציאליים.
על ידי יישום תהליך מתמשך לבדיקת ספקים צד ג' צוות אבטחת המידע יכול ביעילות ל:
לשפר עם אותם ספקי צד ג' את פערי אבטחת המידע שלהם כדי למנוע פגיעויות והתקפות זדוניות על אותו מידע נגיש לאותו ספק.
לשלוט כיצרן או ספק מידע במצב האבטחה של שותפיך וספקייך ולהביא למצב כי ניהול סיכונים של צד שלישי הוא מוקד מרכזי של הארגון כולו.
ודא שנהלי הגישה למידע שלך מעודכנים לפי רמת האבטחה של הספקים שלך .
איסוף נתונים ותובנות מכל תהליכי העבודה של ספקים חיצוניים ומנף מידע זה כדי לקבל החלטות טובות יותר ומושכלות יותר לגבי תהליכי האבטחה שלך.
הקם את הארגון שלך כמוביל מחשבת אבטחה הן מול הספקים שלך, כמו גם לקוחות פוטנציאליים ומתחרים בשוק שלך.
כיום ישנם כלים אשר נותנים לך ואו לספק שלך ציון בצורה של ScoreCard אשר נותן לך סיכום דיווח באמצעות מידע חיצוני בלבד ונותן לך ציון האבטחה שלך ב 17 קטגוריות שונות וכולל גם המלצות לשיפור בזמן אמת וגם בראיה לאחור.
קטגוריות בדיקה:
Application Security
Detecting common website application vulnerabilities
Cubit Score
Proprietary algorithms checking for implementation of common security best practices
DNS Health
Detecting DNS insecure configurations and vulnerabilities
Endpoint Security
Measuring security level of employee workstations
Hacker Chatter
Monitoring hacker sites for chatter about your company
IP Reputation
Detecting suspicious activity, such as malware or spam, within your company network
Network Security
Detecting insecure network settings
Information Leak
Potentially confidential company information that may have been inadvertently leaked
Patching Cadence
Out of date company assets which may contain vulnerabilities or risks
Social Engineering
Measuring company awareness to a social engineering or phishing attack
Comments