از آنجایی که هیچ سازمانی چارچوب زنجیره تامین یکسانی ندارد، بنابریان هیچ فرمول یکسانی وجود ندارد که بتوان از آن پیروی کرد. درعوض، شرکت ها باید ریسک ناشی از اشخاص ثالث خود را ارزیابی کنند و به طور مستمر تهدیدات امنیتی بالقوه را زیر نظر داشته باشند، برای پاسخ به حوادث برنامه ریزی کنند، قراردادهای شخص ثالث و بیمه سایبری را بررسی و مورد مذاکره قرار دهند.
به گزارش ریسک نیوز، کسب و کارهای موفق تقریباً هرگز نمی توانند به تنهایی خدمات عالی ارائه دهند. پشت سر هر شرکت ده ها و در برخی موارد صدها شرکت دیگر وجود دارند که به تسهیل عملیات کمک می کنند. در نتیجه، هنگامی که یک چرخ دنده در سیستم قربانی یک حمله امنیت سایبری می شود، این می تواند تأثیر مخربی بر سایر کسب و کارهایی که با آن ها کار می کند داشته باشد.
تأمین کنندگان، تولیدکنندگان، ارائه دهندگان خدمات، فروشندگان نرم افزار، توزیع کنندگان، فروشندگان و نمایندگان تنها نمونه هایی از طیف گسترده ای از شرکای تجاری هستند که می توانند به ریسک شخص ثالث کمک کنند.
تیم های امنیتی اغلب اشخاص ثالث را به عنوان نگرانی اصلی نادیده می گیرند، اما باید همه کسانی را که به اطلاعات حساس آن ها دسترسی فیزیکی یا دیجیتالی دارند، کسانی که از محل آن ها بازدید می کنند یا کسانی که از طرف آن ها کار خارج از محل انجام می دهند را در نظر داشته باشند.
خطرات مرتبط با اشخاص ثالث را می توان به شش دسته تقسیم کرد که عبارتند از:
امنیت سایبری
جایی که مهاجمان از طریق زنجیره تامین به کسب و کار نفوذ می کنند تا اطلاعات حساس را هدف قرار دهند.
انطباق
که مجازات های قانونی را که سازمان ها در صورت عدم رعایت قوانین و مقررات مانند GDPR با آن مواجه می شوند، پوشش می دهد.
ریسک مالی
که پیامدهای مالی ناشی از آسیب پذیری های سطح سیستم را پوشش می دهد که بر توانایی شرکت برای ارائه خدمات تأثیر می گذارد. ریسک مالی، به صورت باج از طرف مهاجم یا از دست دادن درآمد به دلیل از کار افتادن سیستم برای مدت طولانی است.
ریسک عملیات
در همین حال، برخی از ریسک های شخص ثالث بر عملیات یا شهرت تجاری تأثیر می گذارند که می توان آن ها را به عنوان دسته های ریسک چهارم و پنجم شناسایی کرد. به عنوان مثال، سیستم های یک فروشنده ممکن است به دلیل یک حمله سایبری از کار بیفتند و این پتانسیل را دارد که بر شهرت همه کسب و کارها در زنجیره تامین آن ها تأثیر بگذارد.
ریسک سرمایه گذاری
ششمین ریسکی که اشخاص ثالث برای سازمان ها ایجاد می کنند زمانی است که استراتژی های آن ها با یکدیگر همسو نمی شوند، که منجر به سرمایه گذاری های شکست خورده و ریسک های امنیتی بیشتر ناشی از، از دست دادن رشد کسب و کار می شود.
در حالی که بسیاری از سازمان ها برای محافظت از داده های خود، حفاظ های فنی مانند فایروال یا راهکارهای امنیتی ایمیلی را اجرا می کنند اما این فناوری ها برای مدیریت ریسک شخص ثالث کافی نیستند.
بر اساس گزارش هاروارد بیزینس ریویو، آن ها باید در عوض آموزش آگاهی امنیتی را برای مبارزه با خطای انسانی که مسئول بیش از 80 درصد حملات سایبری است، اجرا کنند.
برای اطمینان از ایمن و محرمانه ماندن اطلاعاتی که سازمان ها به اشتراک می گذارند، همه شرکای تجاری باید از همان سطح آگاهی امنیتی برخوردار باشند. آگاهی از امنیت کلیدی برای مسئولیت پذیرتر و ایمن تر شدن در دنیای دیجیتال است.
آموزش در سطح سازمان جزء حیاتی یک طرح امنیت اطلاعات جهانی است زیرا به شرکت ها اجازه می دهد تا انطباق را حفظ کنند، عملیاتی بمانند، هزینه های مرتبط با حوادث امنیتی را کاهش دهند، مسئولیت های امنیتی را روشن سازند، اعتبار خود را حفظ کنند و ریسک را کاهش دهند.
آموزش آگاهی از امنیت باید برای کارکنان مستقیم و دائمی که در یک سازمان اصلی کار می کنند و همچنین افرادی که برای اشخاص ثالث کار می کنند، یکسان باشد تا اطمینان حاصل شود که همه آن ها از رفتارهای آنلاین امن در هنگام مدیریت اطلاعات حساس پیروی می کنند. این می تواند شامل فریلنسرها، مشاوران، کارگران موقت، کارکنان موقت یا ارائه دهندگان خدمات ویژه باشد که برای شرکت ها در محل یا خارج از محل کار می کنند.
شرکت ها ممکن است بخواهند نکات امنیتی داده ها را به عنوان یک ارزش افزوده به مشتریان خود ارائه دهند. یک مثال خوب برای این امر می تواند بانکی باشد که پیشنهاداتی برای کمک به محافظت از مشتریان در برابر کلاهبرداری و سرقت ارائه می دهد. این امر همچنین به کاهش تعداد حوادثی که بانک باید رسیدگی کند کمک می کند. در بسیاری از موقعیت ها، اساتید و دانشجویان به سیستم ها یا تحقیقات دانشگاه دسترسی دارند که باید محافظت شوند و بنابراین اساتید، کارکنان و دانشجویان همگی ملزم به گذراندن آموزش های آگاهی از امنیت هستند.
علاوه بر این، ارائه آموزش های آگاهی امنیتی به تمام افرادی که برای یک سازمان به طور مستقیم و غیرمستقیم کار می کنند، اطمینان از رعایت مقررات را آسانتر می کند. برای مثال سازمان هایی که به مصرف کنندگان اتحادیه اروپا خدمات ارائه می کنند باید با استانداردهای مقررات حفاظت از داده های عمومی مطابقت داشته باشند، در حالی که آن هایی که در کالیفرنیا، ایالات متحده آمریکا کار می کنند، باید از قانون حقوق حفظ حریم خصوصی مصرف کننده پیروی کنند. اگر شخص ثالثی از این مقررات پیروی نکند، ممکن است بر وضعیت رعایت امنیت سایبری شرکت تأثیر منفی بگذارد.
سازمان امنیتی Terranova Fortra سازمان ها را تشویق می کند تا در آموزش امنیت سایبری سرمایه گذاری کنند که جذاب و متناسب با افراد و نقش آن ها باشد. موفقترین برنامه های آگاهی امنیتی مربوط به افرادی است که آموزش را می گذرانند و به عملکرد آن ها به صورتی گسترده تر به تجارت مرتبط باقی می ماند. همچنین آموزش باید جذاب، تعاملی و سرگرم کننده باشد و در بخش هایی ارائه شود که خیلی طولانی نیستند و همچنین متناسب با ظرفیت یادگیری و سطح انگیزه آن ها باشد.
از آنجایی که هیچ سازمانی چارچوب زنجیره تامین یکسانی ندارد، بنابریان هیچ فرمول یکسانی وجود ندارد که بتوان از آن پیروی کرد. درعوض، شرکت ها باید ریسک ناشی از اشخاص ثالث خود را ارزیابی کنند و به طور مستمر تهدیدات امنیتی بالقوه را زیر نظر داشته باشند، برای پاسخ به حوادث برنامه ریزی کنند، قراردادهای شخص ثالث و بیمه سایبری را بررسی و مورد مذاکره قرار دهند.
مترجم: مسعود اسکندری
منبع
https://www.technologyrecord.com/article/what-is-the-domino-effect-of-third-party-risk
دیدگاه شما چیست؟