В суете повседневной деятельности третьи стороны часто становятся незамеченными или невольными соучастниками преступной деятельности.
Недавнее исследование с участием 600 представителей в сфере ИТ и безопасности, принимающих решения показали , что хотя 60% организаций имеют официальную политику управления рисками, связанных с третьими сторонами, 44% из них испытали существенное нарушение, вызванное поставщиком. Это само по себе вызывает тревогу, выявляя серьезное несоответствие между политикой в отношении третьих сторон, которую поддерживают организации, и эффективностью этой политики. Но более того, только половина фирм прекратила свои отношения с виновным партнером, а 69% не изменили политику управления рисками, которая только что стала причиной проблем.
Институт Ponemon обнаружил, что в среднем компании передают конфиденциальную и конфиденциальную информацию примерно 583 третьим сторонам. Эта цифра кажется ошеломляющей, но более того: только 34% компаний ведут полный учет своих третьих сторон. Поскольку компании все чаще передают аспекты своего бизнеса третьим сторонам, их профиль риска становится все более сложным.
Использование поставщиками новых технологий, таких как Интернет вещей (IoT), мобильные технологии и облачные решения, добавляет вопрос: где мои данные и как их защитить, когда они находятся в чужих руках? В суете повседневной деятельности третьи стороны часто становятся незамеченными или невольными соучастниками преступной деятельности.
Опасности, связанные с третьими сторонами
Третьи стороны пользуются повышенным спросом, поскольку они позволяют компаниям быстро масштабировать бизнес и снижать расходы. В стремлении достичь бизнес целей, многие компании заключают контракты с третьими сторонами без учета данных, операционных и финансовых рисков.
Большинство компаний считают, что их сторонние партнеры имеют адекватную защиту и могут обеспечить достаточные меры взаимодействия и смягчения последствий в случае нарушения. Однако, хотя большинство респондентов чувствовали себя уверенными в том, что вендор сохранит свои данные в безопасности, напомним, что почти половина (44%) фирм столкнулась со значительным, изменяющим нарушением бизнес данных, вызванным вендором. Воздействие на стороннем уровне может экспоненциально увеличиваться при рассмотрении четвертой, пятой и шестой сторон (или n-й стороны), с которыми поставщики (и их поставщики) ведут бизнес.
Обеспечение политики безопасности
В только что приведенном исследовании большинство компаний признали, что, хотя они используют многоэтапный процесс для оценки поставщиков, безопасность не всегда является частью критериев для оценки. Лучший способ защитить компанию от вредоносного нарушения - это, во-первых, избежать его, то есть выполнить все необходимые проверки. Все же только 51% компаний в процессе оценки требуют подписанного контракта, который обязывает третье лицо придерживаться правил безопасности и конфиденциальности. И менее половины проверяют реальную политику безопасности своих партнеров-третьих лиц.
Материалы по теме: Сторонние нарушения являются угрозой и многие компании не готовы
Очевидно, что необходимо обеспечить должную осмотрительность, внедрив в масштабах всей компании политики, которые конкретно учитывают безопасность, когда речь идет о привлечении третьих лиц.
Политика как необходимость
Мониторинг сторонних подключений на оперативном уровне становится все труднее из-за Интернета. Что еще более важно, стало трудно создавать политику, которая эффективно минимизирует связанный с этим риск.
При оценке третьих сторон большинство ИТ-подразделений и групп безопасности используют многоэтапный подход. Но в отчете говорится, что формализованные политики в отношении данных и поддержка высшего руководства для сторонних рисков отсутствуют. Более половины (60%) организаций разработали сторонние политики управления рисками, но их полнота и глубина значительно различались. Большинство фирм (90%) пересматривают свою политику как минимум ежегодно.
Хотя большинство компаний-респондентов (81%) считают свои политики безопасности в отношении третьих сторон эффективными, эта цифра противоречит зарегистрированным нарушениям, приписываемым сторонним поставщикам. Хотя они считают свою политику эффективной, только четверть фирм полностью согласны с тем, что их компания выделяет достаточные ресурсы для управления отношениями со сторонними организациями. Однако большинство из них ведет актуальную инвентаризацию всех третьих сторон, которым они передают данные.
Сдерживая слово
Компании должны следовать своей политике, хотя приведенная выше статистика показывает, что это часто не так. Но бизнес построен на доверии. Когда клиент соглашается вести с вами бизнес, возникает молчаливое обещание доверия, которое необходимо соблюдать. Если это доверие нарушено, то и ваш бизнес также оказывается нарушенным.
Принятие мер является частью этого обещания, которое должно соблюдаться, чтобы оставаться успешной компанией. Последствия включают немедленное прекращение отношений с третьей стороной, судебные разбирательства, включая судебные иски и финансовое возмещение для покрытия издержек нарушения, а именно технических, юридических и расходов на PR, а также дополнительные убытки. Эти действия показывают, что ваша компания серьезно относится к безопасности.
Собери все вместе
Вряд ли компания могла бы функционировать сегодня без привлечения третьих лиц. Таким образом, ответ на сторонний риск не может быть оторван от посторонней помощи. Также нельзя допустить, чтобы третьи лица были не уверены в себе, когда они несут ответственность за событие нарушения безопасности. Политики должны быть созданы и поддержаны. Клиенты доверяют вам безопасность своих данных, поэтому вы не можете применять предполагаемое доверие к третьим сторонам. Используйте приведенные выше рекомендации для поддержания доверия клиентов, снижения рисков и повышения общей безопасности.
Подготовлено порталом Allinsurance.kz