ریسک شخص ثالث یک چالش مهم است زیرا سازمان ها به طور فزاینده ای به فروشندگان خارجی، ارائه دهندگان SaaS و پلتفرم های ابری برای کارایی عملیاتی وابسته هستند. این وابستگی آسیب پذیری هایی را معرفی می کند و هر شخص ثالثی را که به سیستم های شما دسترسی دارد به یک نقطه ورود بالقوه تهدید سایبری تبدیل می کند.
حمله SolarWinds در سال 2020 را به خاطر دارید؟ مهاجمان SolarWinds، یک ارائه دهنده ابزار مدیریت سیستم، را با تزریق کد مخرب در به روز رسانی نرم افزار Orion خود، به خطر انداختند. این منجر به یک حادثه زنجیره تامین شد که بیش از 18000 سازمان، از جمله سازمان های دولتی و شرکت های Fortune 500 مانند مایکروسافت و مسترکارت را تحت تاثیر قرار داد. مهاجمان ماه ها دسترسی داشتند و بیش از 18 میلیون دلار برای SolarWinds هزینه بررسی و اصلاح داشت.
خطرات شخص ثالث شامل خطرات امنیت سایبری، انطباق، عملیاتی، مالی و شهرت است. عدم موفقیت فروشنده می تواند عملیات را مختل کند، باعث خسارات مالی شود و به شهرت آسیب برساند.
بسیاری از سازمان ها بینشی در مورد کنترل های امنیتی فروشنده ندارند و ارزیابی ها منسوخ می شوند. با افزایش تعداد فروشندگان، خطر نیز افزایش می یابد و ردیابی موثر را دشوار می کند.
بهترین شیوه ها برای مدیریت خطرات شخص ثالث:
- یک چارچوب TPRM مطابق با NIST، ISO 27001، HIPAA و GDPR ایجاد کنید.
- قبل از سوار کردن فروشندگان، بررسی های امنیتی کامل انجام دهید.
- انتظارات امنیتی و الزامات حفاظت از داده ها را در قراردادها اعمال کنید.
- فروشندگان را بر اساس دسترسی به داده ها و اهمیت عملیاتی طبقه بندی کنید.
- از ابزارهای خودکار برای نظارت بر امنیت در زمان واقعی استفاده کنید.
- فروشندگان را در طرح های پاسخ به امنیت سایبری بگنجانید.
مدیریت ریسک شخص ثالث شامل تیم های فناوری اطلاعات، امنیت، حقوقی، تدارکات و انطباق است. رهبری باید امنیت را در تدارکات در اولویت قرار دهد.
با حملات زنجیره تامین و تهدیدات مبتنی بر هوش مصنوعی، فروشندگان می توانند به حلقه های ضعیف تبدیل شوند. سازمان ها ممکن است مدل های اعتماد صفر را اتخاذ کنند و به ردیابی ریسک در زمان واقعی با استفاده از هوش مصنوعی تغییر دهند.
سرمایه گذاری در روابط امن با فروشندگان و حاکمیت قوی بسیار مهم است. فروشندگان را ارزیابی کنید، کنترل ها را تقویت کنید و مدیریت ریسک شخص ثالث را در اولویت قرار دهید.
بیشتر بدانید: WorkItDaily