Ir daudzi veidi, kā palielināt uzņēmuma drošības stāvokli. Tas ietver tīklu padarīšanu drošāku un personāla apmācību, lai viņi neiekristu sociālajā inženierijā. Tomēr viens no riska veidiem, kas bieži tiek ignorēts, ir trešo pušu riski.
Ja uzņēmums tiek uzlauzts, uzbrucējs bieži var nodarīt kaitējumu jebkuram ar to saistītam uzņēmumam. Tātad, ja kādai no jūsu trešajām pusēm ir viegli uzbrukt, jūsu uzņēmums var tikt netieši apdraudēts.
Trešās puses riska pārvaldība ir paredzēta, lai samazinātu šo problēmu. Tātad, kas ir trešās puses riska pārvaldība un kā tā būtu jāievieš? Noskaidrosim tālāk.
Kas ir trešā puse?
Trešā puse ir jebkura organizācija, ar kuru jūsu uzņēmums sadarbojas. Tas ietver jūsu piegādātājus, pārdevējus, jūsu biznesa partnerus un pakalpojumu sniedzējus, kurus izmantojat. Šie uzņēmumi var nodrošināt tikai nelielu daļu no jūsu uzņēmuma, taču tas neliedz jums paļauties uz tiem.
Daudzām trešajām pusēm ir nepieciešama arī piekļuve jūsu uzņēmuma tīklam, lai pildītu savu lomu. Tas nozīmē, ka, ja tie tiek uzlauzti, tas tiek uzlauzts arī jūsu tīklā.
Kas ir trešās puses riska pārvaldība?
Trešās puses riska pārvaldība ir prakse identificēt un samazināt riskus, kas rodas, strādājot ar trešajām personām. Tas ietver apskati, ar ko jūs pašlaik strādājat, noskaidrojiet, ar kādiem riskiem viņi saskaras, un veiciet drošības pasākumus, lai aizsargātu jūsu uzņēmumu no tiem.
Lai gan nav iespējams izvairīties no darba ar trešajām pusēm, trešās puses riska pārvaldības mērķis ir to darīt pēc iespējas drošāk. Atkarībā no jūsu uzņēmuma tas var ietvert dažādu trešo pušu izmantošanu vai izolāciju no tām, kas jums ir.
Kāpēc trešās puses riska pārvaldība ir svarīga?
Ir svarīgi nenovērtēt par zemu risku, ko rada trešās puses. Šeit ir daži iemesli, kāpēc:
Uzņēmumi arvien vairāk ir atkarīgi no trešajām pusēm
Tā kā ārpakalpojumu izmantošana ir kļuvusi vienkāršāka, daudzi uzņēmumi tagad paļaujas uz trešajām pusēm visās jomās, sākot no datu uzglabāšanas līdz algu aprēķināšanai. Lielākā daļa uzņēmumu nespētu pareizi darboties, ja kāda svarīga trešā puse cietīs pietiekami smagu uzbrukumu.
Trešās puses drošība ir ļoti atšķirīga
Trešo pušu drošības prakse ir ļoti atšķirīga. Lai saprastu, kuras puses rada risku jūsu uzņēmumam, bieži vien ir nepieciešama rūpīga izmeklēšana. Trešās puses riska pārvaldība nodrošina, ka jūs saprotat katras puses drošības nostāju un vajadzības gadījumā tās nomainiet.
Trešās puses bieži piekļūst jūsu tīklam
Trešajām pusēm bieži ir nepieciešama piekļuve jūsu tīklam. Tāpēc ir ierasts, ka trešajām pusēm tiek piešķirti savi lietotāja akreditācijas dati. Ja tie tiek nozagti akreditācijas dati, hakeris var piekļūt jūsu tīklam.
Jūs esat atbildīgs par trešo pušu uzbrukumiem
Trešās puses bieži glabā konfidenciālu informāciju; tādēļ jūsu uzņēmums būs atbildīgs, ja trešā puse tiks uzlauzta un šī informācija tiks nozagta. Ja jūsu klienta informācija noplūst, jūs esat atbildīgs, pat ja tā bija trešās puses vaina. Tas ne tikai pakļauj jūsu uzņēmumam reputāciju, bet arī var izraisīt kriminālvajāšanu.
Kā ieviest trešās puses riska pārvaldību
Trešās puses riska pārvaldība ir plaša darbība, un konkrētās darbības ir atkarīgas no uzņēmuma lieluma un trešo pušu veida, ar kurām tas sadarbojas. Tomēr lielākā daļa uzņēmumu gūs labumu no šādām darbībām:
Inventāra visas trešās puses
Lai saprastu risku, kas tiek radīts jūsu uzņēmumam, jums ir nepieciešams visu trešo pušu saraksts, ar kurām pašlaik strādājat. Šajā uzskaitē jāiekļauj visas trešās puses neatkarīgi no lieluma. Jums arī jādokumentē, kuras jūsu tīkla daļas un dati ir pieejami katrai no tām.
Klasificējiet trešās puses pēc riska
Trešās puses ir ļoti atšķirīgas riska ziņā. Tāpēc uzņēmumam katra trešā puse ir jāiedala kategorijās atbilstoši tās riska līmenim. Tas nozīmē, ka ir jānoskaidro, kas var notikt, ja tie tiek uzlauzti, un tā iespējamību. Tas ir svarīgi, jo tas ļauj vispirms koncentrēties uz augsta riska trešajām pusēm.
Apsveriet visus riskus
Trešās puses riska pārvaldība attiecas ne tikai uz kiberdrošības risku. Tie var kaitēt jūsu uzņēmumam daudzos veidos, kas nav saistīti ar uzlaušanu. Ja viņi kāda iemesla dēļ pārtrauc nodrošināt saskaņoto pakalpojumu, jūsu uzņēmums var nonākt nepatikšanās. Un, ja viņu reputācijai tiek nodarīts kaitējums, tad arī jūsu reputācijai tiek nodarīts kaitējums asociācijas dēļ. Tāpēc riska novērtējumā jāiekļauj visi iespējamie riski, ne tikai drošība.
Saņemiet papildu informāciju no trešajām pusēm
Trešo pušu riska pārvaldībai ir nepieciešams daudz informācijas par trešajām personām, ko parasti iegūst, nosūtot anketas. Tā ir ierasta prakse, un jūs varat iegādāties šim nolūkam paredzētas standartizētas anketas. Protams, jūs arī varat izveidojiet savas anketas, taču jums ir jāsaprot, kādi jautājumi jāuzdod pirms došanās šajā maršrutā.
Samaziniet riskus
Kad esat veicis visu trešo pušu un to risku uzskaiti, varat mēģināt samazināt riskus. Tas var ietvert tīkla pielāgošanu, piemēram, piekļuves ierobežošanu vai pieprasīšanu trešajām pusēm ieviest papildu drošības politikas. Dažreiz tas var ietvert arī trešo pušu maiņu, ar kurām strādājat.
Trešās puses uzraudzības iestatīšana
Trešās puses riska pārvaldība ir nepārtraukts process, kam nepieciešama regulāra uzraudzība. Varat manuāli uzraudzīt trešās puses, veicot regulārus novērtējumus. Vai arī varat izmantot programmatūru, kas automātiski uzrauga trešās puses. Trešās puses var mainīt savu uzvedību, un draudi, ar kuriem tās saskaras, pastāvīgi mainās.
Atkārtojiet to jaunajām trešajām pusēm
Iepriekš minētās darbības ir jāatkārto ikreiz, kad sākat jaunas trešās puses attiecības. Visas papildu trešās puses ir rūpīgi jāizpēta un jāizvēlas atbilstoši to radītajam riskam. Katram no tiem ir jānodrošina tikai tāds tīkla un datu piekļuves līmenis, kāds nepieciešams to mērķa sasniegšanai.
Izveidojiet negadījumu reaģēšanas plānu
Negadījumu reaģēšanas plānošana ir procedūru izveides process, ko varat veikt drošības incidenta gadījumā. Trešās puses riska pārvaldība ne vienmēr novērš trešo pušu incidentus, taču to var izmantot, lai labāk paredzētu tos, kas visticamāk notiks. Pēc tam ir jāveic incidentu reaģēšanas plānošana, lai sagatavotos šiem notikumiem.
Trešās puses riska pārvaldība ir svarīga jebkuram uzņēmumam
Uzņēmumi tagad paļaujas uz trešajām pusēm, lai sniegtu plašu pakalpojumu klāstu. Tāpat nav nekas neparasts, ka viņiem tiek piešķirta piekļuve drošiem tīkliem un viņi ir atbildīgi par privātās klientu informācijas glabāšanu. Šajā scenārijā uzbrukumam šādai partijai var būt ievērojamas sekas.
Trešās puses riska pārvaldība kļūst arvien svarīgāka uzņēmējdarbības nodrošināšanas sastāvdaļa. Visiem uzņēmumiem ir skaidri jāsaprot, ar ko viņi sadarbojas, ar kādiem riskiem tie saistīti un kā tie var šos riskus mazināt.
