Şirketlerin sadece% 42’si kendi güvenlik ekipleri aracılığıyla ihlaller keşfediyor. CISO’lar genellikle üçüncü taraf güvenlik uygulamalarına ve önemli veri boru hatlarına “kör”. Bu şeffaflık eksikliği ve verilerini güvende tutmak için sağlayıcılarına güvenmek, güvenlik ve erişilebilirlik arasında devam eden bir değiş tokuş davet ediyor. Her iki şekilde de çalışır. Servis sağlayıcıları ayrıca kuruluşların paylaşamayacak kadar gizli görebileceği güvenlik uygulamalarını yükseltmek için gerçek zamanlı bilgilere erişim istiyorlar. Peki cisos ve servis sağlayıcıları veri paylaşım satırını nereden çiziyor?
100 Yürütme Risk Komitesi üyesinin Gartner anketinde,% 84’ü üçüncü taraf risk olaylarının operasyonlarda bozulmaya neden olduğunu söyledi. Finansal kayıp, artan düzenleyici inceleme ve itibar hasarı ek sonuçlardır. Üçüncü taraf bir siber ihlalin maliyeti, üçüncü taraf risk yönetimini CISOS’un öncelik listelerinde önemli ölçüde artıran bir iç güvenlik ihlalini iyileştirmekten% 40 daha fazladır.
Gizlilik, dürüstlük ve kullanılabilirlik üç odak noktasıdır. Veri erişimi kim var, geçerli mi ve yetkili kullanıcılar buna nasıl erişebilir? CISO liderleri bu üç şeyi dahili olarak ve satıcı topluluklarında yönetmek zorundadır.
Siber güvenlik firmaları potansiyel ortakların güvenlik duruşunu doğrudan katılım olmadan değerlendirebilirler, ancak kuruluşlar genellikle hangi satıcıların hassas bilgilere izin okuduğunu veya yazdıklarını belirlemek için mücadele ederler. Manuel prosedürler ve parçalanmış veriler sıklıkla verimli satıcı değerlendirmelerini engelleyerek onları karmaşık ve zaman yoğunlaştırır. Özünde, tamamen “dış içten” izlerken bağlamı anlamak zordur.
Genişleyen saldırı yüzeyine, temizlenecek kör noktalara ve riskleri nasıl yöneteceğine daha yakından bakalım.
Genişleyen saldırı yüzeyi
Kötü niyetli aktörler, üçüncü tarafın sistemlerinde veya bağlantılarındaki zayıflıklardan yararlanabilir, genellikle birincil hedefe doğrudan saldırmaktan daha az çaba sarf ederek. Tedarik zinciri saldırıları, üçüncü taraf satıcıları hedefleyen, 134 kuruluşu doğrudan etkiledi ve dolaylı olarak 657’yi daha fazla etkiledi ve 203 milyondan fazla kişiyi maruz bıraktı.
Tedarik zinciri saldırıları, değer zincirinin başka bir unsurundaki güvenlik açıkları yoluyla meydana geldiğinden, tehlikeye atılan üçüncü taraf zaten güvenilir erişim veya bağlantılara sahip olabilir. Saldırganlar, hassas sistemlere veya verilere yetkisiz erişim elde etmek için bunlardan yararlanarak birçok güvenlik önlemini atlayabilir.
Bulut ortamları ve IoT gibi birden fazla erişim noktasına ve paylaşılan kaynaklara sahip dinamik ortamlar, Üçüncü Taraf Risk Yönetimi (TPRM) zorluğuna katkıda bulunur. İşletmelerin, özellikle çalışanlar yeterince güvence altına alınmayan kişisel cihazlar veya ağlar kullanabileceğinden, hassas verileri ele almaları durumunda uzak çalışanlara da dikkat etmeleri gerekir.
Üçüncü taraf risk kör noktası
TPRM genellikle ihmal edilir veya yetersiz kaynaklıdır. Yaygın nedenler arasında üçüncü taraf güvenlik uygulamalarına görünürlük eksikliği, bağımsız doğrulamanın aksine kendi kendine uyarlamalara aşırı güven ve TPRM’ye adanmış sınırlı personel bulunmaktadır.
Katılımcıların% 62’sinden fazlası, kuruluşlarını üçüncü taraf ihlallerinden daha iyi korumak için en büyük engel olarak kaynak eksikliği olduğunu bildirdi. Neredeyse beşte ikisi (%37), üçüncü taraf güvenliğe adanmış mevcut personelini ikiye katlamaları gerektiğini söyledi.
Kuruluşlar sadece bir miktar hizmet sağlayıcısına güvenmekle kalmıyor, aynı zamanda bu sağlayıcılar da müşteriler kazanıyor ve saldırı yüzeyini giderek daha karmaşık hale getiriyor. Tüm taraflar aynı risk seviyesine sahip olmadığından, farklı güvenlik önlemleri de olacaktır. Satıcının veri işleme, aktarım, depolama ve bertaraf güvenliği önlemleri dahil olmak üzere ilişki yaşam döngüsü boyunca veri güvenliğini değerlendirememek güvenlik açıkları yaratabilir.
Gölge verileri kritik bir üçüncü taraf risk kör noktasıdır. Bu yönetilmeyen veriler, genellikle üçüncü taraflarla bilinmeyen yerlerde bulunur ve 2024’te ihlallerin% 35’inin kaynağıydı. Bu ihlaller daha pahalıdır (ortalama 5,27 milyon dolar), tespit edilmesi daha uzun sürer (% 26.2 daha uzun) ve içermek için daha uzun sürer (% 20.2 daha uzun, toplam 291 gün). Kuruluşlar gölge verilerine görünürlükten yoksun çünkü şirket içi doğru üçüncü taraf riskinin elde edilmesi giderek daha zordur.
Etkili TPRM için pratik bir çerçeve
Risk yönetimi artık “sahip olmak güzel” değil. Ankete katılan 10 kişiden dokuzu, kuruluşlarının doğrudan TPRM programlarına yatırım yaptığını söylüyor. Bununla birlikte, katılımcıların sadece% 31’i programlarını yüksek koordineli olarak tanımladığından, güçlü bir program koordinasyonu eksikliği açıktır. % 51’i biraz koordinasyon bildirirken, bu iyileştirme için önemli bir yer olduğunu göstermektedir.
Risk yönetimi yaşam döngüsü boyunca uygun koordinasyon olmadan, kaynakları boşa harcayabilir ve yeni kör noktalar yaratabilirler. İzlenecek temel ilkeler şunları içerir:
- Tanımlayın ve sınıflandırın: Kuruluşlar tüm üçüncü taraf ilişkilerinin kapsamlı bir envanterine ihtiyaç duyar ve bunları risk seviyesine (veri erişimi, hizmetlerin kritikliği vb.) Göre sınıflandırmalıdır. Bu, ilgili herhangi bir tarafta bir değişiklik (yeni bir tedarikçi veya yazılım güncellemesi gibi) her zaman güncellenmelidir.
- Durum tespit süreci: Üçüncü taraf durum tespitinin temel unsurları arasında güvenlik anketleri, yerinde denetimler (yüksek riskli satıcılar için), penetrasyon testi ve güvenlik açığı taraması bulunmaktadır. CISOS, üçüncü taraf riskini yönetmek için satıcı değerlendirmelerinin oluşturulmasına, özelleştirilmesine, analiz edilmesine ve depolanmasına yardımcı olmak için Paylaşılan Değerlendirmeler Standart Bilgi Toplama (SIG) anketinden yararlanabilir.
- Sürekli İzleme: En önemli ve zahmetli kısmı-üçüncü taraf güvenlik duruşunun sürekli izlenmesidir. Bu işlem içinde iş akışlarını otomatikleştirebilen ve kolaylaştırabilen siber güvenlik yazılımı yardımcı olur.
- Sözleşme yükümlülükleri: Üçüncü taraf sözleşmelerde şeffaf, kapsamlı güvenlik ve veri koruma maddeleri ile en başından beri yapın. Ancak, çok rahat olmayın. Bunların kontrol edilmesi ve fazla mesai yapılması gerekir.
- Olay Yanıt Planlaması: Kilit üçüncü taraflarla ortak bir olay müdahale planı, beklenmedik bir olay meydana gelirse (ve ne zaman) bir beklenmedik durum planı ile koruyacaktır.
- İletişim ve İşbirliği: Birbirinizle ne kadar güncel olursa, o kadar iyidir. Güvenlik konularında üçüncü taraflarla açık iletişim ve işbirliği hedefleyin.
Bir kuruluşun tedarik zincirindeki üçüncü tarafların ölçeği ve kullanımları ile CISOS, veri yaşam döngüsünü ve tüm eyaletlerinde nasıl korunacağını yeniden düşünmelidir. Hırsızlık ve manipülasyondan verileri güvence altına almayı ve üçüncü taraf ağlarındaki tüm erişim noktalarını değerlendirmeyi düşünmelidirler. Kuruluşlar, hassas verileri tespit etmek ve doğru erişim kontrollerinin ve şifrelemelerin mevcut olmasını sağlamak için veri keşfini ve sınıflandırmasını kullanabilir. Üçüncü taraf güvenlik ekipleriyle çalışarak ve TPRM’yi merkezileştirerek, gölge verilerinde daha iyi görünürlük kazanabilir, kötü niyetli sürüklenmeleri daha hızlı bulabilir ve veri sızıntısını önlemek için proaktif önlemlerin mevcut olmasını sağlayabilirler.
Yazar hakkında
Norman Menz, Siber Güvenlik SaaS Platform Flare CEO’su. Şirkete 2021’de katıldı. Kariyerinin başlarında Norman bir dizi bilgi güvenliği geliştirdi ve Risk programları geliştirdi, ancak dikkatini kuruluşlara en büyük bilgi güvenliği riskine odaklamaya karar verdi; üçüncü taraf ilişkilerden kaynaklanan veri kaybıdır. Norman, üçüncü taraf ve dış bilgi güvenliği riski üzerinde bir düşünce lideridir ve üçüncü taraflarla ilişkili riski anlama ve azaltmanın önemi konusunda endüstri etkinliklerinde düzenli olarak konuşur. Sertifikalı bir üçüncü taraf risk profesyonel (CTPRP) ve ortak değerlendirmenin risk değerlendirme bilgi organına katkıda bulunur.
Norman üniversitesini işletme yönetimi alanında aldı ve Seton Hall Üniversitesi korsanı olmadan önce teknolojide girişimci faaliyetler sürdürüyor.
Norman’a LinkedIn’de ve şirket web sitemizde https://flare.io/ ulaşılabilir.