أهمية إدارة مخاطر الطرف الثالث
مع مشاركة المزيد من المؤسسات للبيانات مع موردي الطرف الثالث ، لا ينبغي أن يكون مفاجئًا أن أكثر من 50٪ من الحوادث الأمنية في العامين الماضيين قد نشأت من جهة خارجية تتمتع بامتيازات الوصول ، وفقًا لتقرير CyberRisk Alliance .
لسوء الحظ ، بينما تتفق معظم فرق الأمان على أن رؤية سلسلة التوريد تمثل أولوية ، يشير التقرير نفسه إلى أن 41٪ فقط من المؤسسات لديها رؤية لمورديها الأكثر أهمية وأن 23٪ فقط لديهم رؤية في نظامهم البيئي الكامل التابع لجهات خارجية.
أسباب نقص الاستثمار في إدارة مخاطر الطرف الثالث (TPRM) هي نفسها التي نسمعها باستمرار - ضيق الوقت ونقص المال والموارد ، وهي حاجة تجارية للعمل مع البائع. لذا ، كيف يمكننا تسهيل التغلب على العوائق التي تحول دون إدارة المخاطر الإلكترونية للأطراف الثالثة؟ أتمتة.
فوائد الأتمتة
تعمل الأتمتة على تمكين المؤسسات من فعل المزيد بموارد أقل. من منظور الأمان ، إليك بعض المزايا التي توفرها الأتمتة ، كما توضح Graphus :
- قال 76٪ من المديرين التنفيذيين لتكنولوجيا المعلومات في استطلاع للأمن السيبراني إن الأتمتة تزيد من كفاءة موظفي الأمن.
- يمكن أن توفر أتمتة الأمان أكثر من 80٪ من تكلفة الأمان اليدوي.
- أشارت 42٪ من الشركات إلى الأتمتة الأمنية كعامل رئيسي في نجاحها في تحسين وضع الأمن السيبراني لديها.فيما يتعلق بـ TPRM
يمكن للأتمتة تحويل برنامجك من خلال:
الخطوة 1 - تقييم البائعين لديك من خلال إدارة التعرض للتهديدات المستمرة (CTEM)
تشمل تقييمات التعرض المستمر للتهديدات تقييمات شاملة تتضمن ما يلي:
- الاكتشاف الآلي للأصول
- تقييمات البنية التحتية الخارجية / الشبكة
- تقييم أمان تطبيقات الويب
- تحليل مستنير لذكاء التهديدات
- نتائج الويب المظلمة
- تصنيف أمني أكثر دقة
هذا تحليل أكثر شمولاً للأطراف الثالثة مقارنة بإرسال الاستبيانات فقط. يمكن أن تستغرق عملية الاستبيان اليدوي ما بين 8-40 ساعة لكل بائع ، بشرط أن يستجيب البائع بسرعة وبدقة. لكن هذا النهج لا يسمح بالقدرة على رؤية نقاط الضعف أو التحقق من فعالية الضوابط المطلوبة في الاستبيان.
يمكن أن يؤدي دمج إمكانية تقييم التعرض للتهديدات الآلية ودمجها مع الاستبيانات إلى تقليل الوقت اللازم لمراجعة البائعين ، ووجدنا أن المجموعة يمكن أن تقلل من الوقت لتقييم البائعين الجدد وإشراكهم بنسبة 33٪.
الخطوة 2 - استخدام تبادل الاستبيان
يجب على المنظمات التي تدير العديد من الاستبيانات ، أو البائعين الذين يستجيبون للعديد من الاستبيانات ، التفكير في استخدام تبادل الاستبيانات. ببساطة ، إنه مستودع مستضاف لاستبيانات قياسية أو مخصصة يمكن مشاركتها مع الأطراف المعنية الأخرى عند الموافقة.
إذا حددت نظامًا أساسيًا يقوم بتنفيذ الأتمتة الموضحة أعلاه ، فسيحصل كلا الطرفين على نهج تم التحقق منه وآلي لأحدث الاستبيانات التي يتم التحقق من صحتها تلقائيًا عن طريق التقييمات المستمرة. مرة أخرى ، يمكن أن يوفر هذا وقت فريقك عن طريق طلب الوصول إلى الاستبيانات الموجودة أو زيادة وقتهم في الرد على استبيان جديد يمكن إعادة استخدامه عند الطلب.
الخطوة 3 - الجمع المستمر بين نتائج التعرض للتهديد مع تبادل الاستبيان
تقييمات الأمان وحدها لا تعمل. استخدام الاستبيانات وحدها لتقييم الأطراف الثالثة لا يعمل. توفر لك إدارة التعرض للتهديدات ، التي تتضمن تقييمات أمنية دقيقة من التقييمات المباشرة ، جنبًا إلى جنب مع الاستبيانات التي تم التحقق منها - حيث يستفسر الاستبيان عن التقييم وتحديث التصنيف الأمني - حلاً فعالاً لإدارة مخاطر الطرف الثالث المستمرة. توفر الأنظمة الأساسية التي تستخدم التقييمات الإيجابية والسلبية ، ولا تعتمد فقط على بيانات OSINT التاريخية ، الرؤية السطحية الأكثر دقة للهجوم - نظرًا لأنها تابعة لجهة خارجية في ذلك الوقت.
يمكن الاستفادة من هذه المعلومات للتحقق التلقائي من صحة عناصر التحكم المطبقة في الاستبيان لمتطلبات إطار الأمان والامتثال وتحديد أي تباين بين إجابة العميل ونتائج تقييم التكنولوجيا. وهذا يمنح المؤسسات أسلوبًا حقيقيًا في "الثقة ولكن التحقق" تجاه مراجعات الجهات الخارجية. نظرًا لأنه يمكن القيام بذلك بسرعة ، يمكن إخطارك عندما تصبح الجهات الخارجية غير متوافقة مع ضوابط فنية محددة.
يجب على المؤسسات التي تتطلع إلى زيادة كفاءة برنامج إدارة المخاطر الإلكترونية التابع لجهات خارجية أن تنظر في إضافة أتمتة إلى عملياتها. في بيئات الاقتصاد الكلي الأكثر صعوبة ، يمكن للشركات أن تلجأ إلى الأتمتة لتقليل الكدح الذي يؤديه فريقهم ، مع الاستمرار في تحقيق التقدم والنتائج ، في مقابل تمكن أعضاء الفريق من التركيز على المبادرات الأخرى.
ملاحظة: قام فيكتور جامرا ، CISSP ، وهو CISO سابق ، بتأليف وتقديم هذه المقالة. وهو أيضًا المؤسس والرئيس التنفيذي لشركة FortifyData ، وهي شركة رائدة في مجال إدارة التعرض للتهديدات المستمرة (CTEM). تُمكِّن FortifyData الشركات من إدارة المخاطر الإلكترونية على المستوى التنظيمي من خلال دمج تقييمات سطح الهجوم الآلية ، وتصنيف الأصول ، وإدارة الثغرات الأمنية القائمة على المخاطر ، وتقييمات الأمان ، وإدارة مخاطر الطرف الثالث في نظام أساسي شامل لإدارة المخاطر السيبرانية. لمعرفة المزيد ، يرجى زيارة www.fortifydata.com .
يمكن أن يؤدي دمج إمكانية تقييم التعرض للتهديدات الآلية ودمجها مع الاستبيانات إلى تقليل الوقت اللازم لمراجعة البائعين ، ووجدنا أن المجموعة يمكن أن تقلل من الوقت لتقييم البائعين الجدد وإشراكهم بنسبة 33٪.
الخطوة 2 - استخدام تبادل الاستبيان
يجب على المنظمات التي تدير العديد من الاستبيانات ، أو البائعين الذين يستجيبون للعديد من الاستبيانات ، التفكير في استخدام تبادل الاستبيانات. ببساطة ، إنه مستودع مستضاف لاستبيانات قياسية أو مخصصة يمكن مشاركتها مع الأطراف المعنية الأخرى عند الموافقة.
إذا حددت نظامًا أساسيًا يقوم بتنفيذ الأتمتة الموضحة أعلاه ، فسيحصل كلا الطرفين على نهج تم التحقق منه وآلي لأحدث الاستبيانات التي يتم التحقق من صحتها تلقائيًا عن طريق التقييمات المستمرة. مرة أخرى ، يمكن أن يوفر هذا وقت فريقك عن طريق طلب الوصول إلى الاستبيانات الموجودة أو زيادة وقتهم في الرد على استبيان جديد يمكن إعادة استخدامه عند الطلب.
الخطوة 3 - الجمع المستمر بين نتائج التعرض للتهديد مع تبادل الاستبيان
تقييمات الأمان وحدها لا تعمل. استخدام الاستبيانات وحدها لتقييم الأطراف الثالثة لا يعمل. توفر لك إدارة التعرض للتهديدات ، التي تتضمن تقييمات أمنية دقيقة من التقييمات المباشرة ، جنبًا إلى جنب مع الاستبيانات التي تم التحقق منها - حيث يستفسر الاستبيان عن التقييم وتحديث التصنيف الأمني - حلاً فعالاً لإدارة مخاطر الطرف الثالث المستمرة. توفر الأنظمة الأساسية التي تستخدم التقييمات الإيجابية والسلبية ، ولا تعتمد فقط على بيانات OSINT التاريخية ، الرؤية السطحية الأكثر دقة للهجوم - نظرًا لأنها تابعة لجهة خارجية في ذلك الوقت.
يمكن الاستفادة من هذه المعلومات للتحقق التلقائي من صحة عناصر التحكم المطبقة في الاستبيان لمتطلبات إطار الأمان والامتثال وتحديد أي تباين بين إجابة العميل ونتائج تقييم التكنولوجيا. وهذا يمنح المؤسسات أسلوبًا حقيقيًا في "الثقة ولكن التحقق" تجاه مراجعات الجهات الخارجية. نظرًا لأنه يمكن القيام بذلك بسرعة ، يمكن إخطارك عندما تصبح الجهات الخارجية غير متوافقة مع ضوابط فنية محددة.
يجب على المؤسسات التي تتطلع إلى زيادة كفاءة برنامج إدارة المخاطر الإلكترونية التابع لجهات خارجية أن تنظر في إضافة أتمتة إلى عملياتها. في بيئات الاقتصاد الكلي الأكثر صعوبة ، يمكن للشركات أن تلجأ إلى الأتمتة لتقليل الكدح الذي يؤديه فريقهم ، مع الاستمرار في تحقيق التقدم والنتائج ، في مقابل تمكن أعضاء الفريق من التركيز على المبادرات الأخرى.
ملاحظة: قام فيكتور جامرا ، CISSP ، وهو CISO سابق ، بتأليف وتقديم هذه المقالة. وهو أيضًا المؤسس والرئيس التنفيذي لشركة FortifyData ، وهي شركة رائدة في مجال إدارة التعرض للتهديدات المستمرة (CTEM). تُمكِّن FortifyData الشركات من إدارة المخاطر الإلكترونية على المستوى التنظيمي من خلال دمج تقييمات سطح الهجوم الآلية ، وتصنيف الأصول ، وإدارة الثغرات الأمنية القائمة على المخاطر ، وتقييمات الأمان ، وإدارة مخاطر الطرف الثالث في نظام أساسي شامل لإدارة المخاطر السيبرانية. لمعرفة المزيد ، يرجى زيارة www.fortifydata.com .