De nos jours, les violations de données des fournisseurs, les expositions aux PII/PHI et les perturbations de la chaîne d'approvisionnement font constamment la une des journaux. Il n'est donc pas étonnant que les équipes chargées des risques et de la sécurité accordent plus que jamais une attention particulière aux tiers. Il n'est donc pas étonnant que les équipes chargées des risques et de la sécurité s'intéressent plus que jamais aux tiers. Cependant, assumer la responsabilité de l'évaluation des risques liés aux tiers peut s'avérer décourageant pour des équipes déjà surchargées par la gestion des politiques, des contrôles, de l'infrastructure et de la formation en matière de sécurité interne.
Mais regardons les choses en face : les relations avec les tiers sont là pour rester, et les écosystèmes tiers se développent rapidement pour la plupart des organisations. Ne pas se concentrer sur ces risques n'est pas vraiment une option, alors quelle est la réponse ? Bien que je ne puisse pas prescrire une panacée pour TPRM dans un seul article de blog, je peux partager une stratégie de hiérarchisation des risques liés aux tiers cyber basée sur mon expérience de travail avec les clients.
Le vol d'informations d'identification, qui sont souvent exposées et mises en vente sur le dark web, figure en tête de liste. Vous devez vous concentrer non seulement sur les informations d'identification confiées à des fournisseurs tiers pour un accès direct à vos systèmes, mais aussi sur les informations d'identification utilisées par des tiers pour accéder aux données de votre organisation - y compris les données des clients ou des patients - quel que soit l'endroit où ces données sont hébergées.
Avec la prolifération du stockage dans le cloud comme les buckets AWS S3, les informations d'identification et autres données sensibles sont désormais potentiellement exposées dans plus d'endroits que la plupart des gens ne le réalisent. Par exemple, l'exposition en 2017 des informations d'identification du ministère de la défense des États-Unis par Booz Allen Hamilton n'est qu'un exemple frappant de la mauvaise protection des informations d'identification dans un environnement de services en nuage.
Les incidents de sécurité, les attaques validées et les violations de données touchant vos tiers sont un autre domaine qui requiert une attention particulière. Comment les découvrir et prendre des mesures avant qu'ils n'affectent votre organisation ? La violation de SolarWinds en est l'exemple parfait : la chaîne d'approvisionnement du logiciel a été entièrement compromise avant que le logiciel ne soit distribué à des clients peu méfiants.
Assurez-vous que votre organisation effectue une surveillance des risques à l'adressecyber .
des "bavardages" concernant des incidents et des violations impliquant vos tiers sur le dark web ou d'autres forums, en particulier lorsque des données sensibles ont déjà été consultées par des attaquants et qu'elles sont disponibles à la vente ou sur le point de l'être.
Les 5 risques les plus importants à suivre pour les tiers sur le site Cyber - et pourquoi.
Rejoignez Dave Shackleford, fondateur de Voodoo Security, pour un webinaire à la demande dans lequel il présente un processus que les entreprises devraient utiliser pour hiérarchiser les risques liés aux tiers.
Une autre catégorie importante de risques liés aux tiers cyber comprend les mauvaises configurations ou les vulnérabilités de l'infrastructure web ou applicative. Bien que l'évaluation des programmes de gestion des vulnérabilités des tiers puisse être une entreprise lourde, il est néanmoins essentiel de procéder à des évaluations des pratiques de correction, de gestion des configurations et d'analyse des vulnérabilités des principaux fournisseurs. Il est également utile de déterminer si les tiers essentiels recherchent activement des preuves de commandement et de contrôle ou d'exfiltration de données.
Enfin, il y a les menaces cyber qui menacent directement la réputation de votre marque. Les consommateurs et les organismes de réglementation jugent de plus en plus les organisations en fonction de l'entreprise qu'elles entretiennent, de sorte que tout incident touchant un fournisseur de votre chaîne d'approvisionnement peut jeter une lumière négative sur votre organisation. Prenons l'exemple du typosquattage: un attaquant enregistre des noms de domaine qui ressemblent à des sites web légitimes et les utilise pour héberger du contenu frauduleux et/ou malveillant avec de fausses associations de marques.
Il est clair que nous devons nous concentrer davantage sur le risque lié aux tiers cyber , mais l'une des questions les plus courantes est "Par où commencer ?". Les questions décrites ici sont d'excellents points de départ pour développer un programme de surveillance et d'évaluation des risques des tiers, mais elles ne font qu'effleurer la surface. Pour en savoir plus, regardez mon webinaire à la demande, Les 5 risques les plus importants à surveiller pour les tiers ( Cyber ) - et pourquoi.
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024
La gestion des risques liés aux tiers (TPRM) est passée du statut d'exercice annuel de liste de contrôle à celui de...
10/07/2024
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024