Uncategorized

効果的なサイバーリスク管理によるサードパーティのリスクの軽減

  1. HOME >
  2. Uncategorized >

効果的なサイバーリスク管理によるサードパーティのリスクの軽減

サードパーティの関与は、規模、地理的位置、または業界の種類に関係なく、ほぼすべてのセクターにわたるあらゆる種類の製品およびサービスに参加し、多くの組織にとって着実に事業運営の不可欠な部分になっています。しかし、システムは非常に相互接続されており、サードパーティは機密情報を保持したり、パートナーのシステムにアクセスしたりすることが多いため、サイバーセキュリティチェーンの弱点となる可能性もあります。

サードパーティのサイバーリスク管理

サードパーティおよびデジタルサプライチェーン攻撃が増加しており、いくつかの理由から、サードパーティパートナーが脅威アクターの魅力的な標的になっています。

  • サードパーティはよりソフトなターゲットを提示し、脅威アクターがそのネットワークからプライマリターゲットに移動する機会を作り出す可能性があります。たとえば、2013年、ハッカーはTargetのHVACベンダーのパスワード侵害した 1億1,000万人ものTargetの顧客の支払いと個人情報を侵害しました
  • サードパーティは、多くの潜在的なターゲットに対する攻撃を広く分散させるための手段を提供する可能性があります。最近のSolarWindsサプライチェーンハックはその代表的な例です。ロシア出身の疑いのあるハッカーは、巧妙な攻撃を使用してマルウェアをSolarWindsのソフトウェアシステムに挿入し、SolarWindsのIT管理ソフトウェアの更新に便乗して、いくつかの主要な連邦機関を含むかなりの数の大規模な組織にマルウェアを広めました。
  • サードパーティは、脅威の攻撃者が必要とする機密データを保持している場合、実際に主要なターゲットになる可能性があります。2020年初頭、ゼネラルエレクトリック(GE)は、攻撃者がGEのHRドキュメント管理ベンダーであるCanon Business Process Servicesのシステムに侵入したときに、20万人の現従業員と元従業員の機密個人情報の侵害見舞われました。

これらの例が示すように、リスクは高く、企業とそのサードパーティに損害を与える可能性は非常に高いです。組織は、サードパーティのパートナーがサイバーセキュアであると単に想定することはできません。ベンダーエコシステムに関与するすべての関係者は、サイバーセキュリティに焦点を当てた顧客/サードパーティのパートナーシップに基づいて構築された信頼のレベルである保証を必要としています。サードパーティのサイバーリスク管理(TCPRM)の堅牢なプログラムは、そこに到達するための最良の方法です。

ベンダーエコシステムの保護

ビジネスパートナーシップの他の側面と同様に、サイバーセキュリティに関しては、関係するすべての側が交渉の終わりを延期する必要があります。顧客組織は、サードパーティと共有するデータに対する責任を保持していること、およびサードパーティはそのデータにアクセス、保持、および使用できるため、事実上顧客のビジネスの延長であることを理解する必要があります。

サードパーティは、顧客が重要なデータとシステムへのアクセスを委託していること、およびデータとそれらのシステムの両方を保護する責任を共有していることを認識する必要があります。データは、誰がデータを処理しているかに関係なく、同様に機密性および/または価値があり、途中のすべてのステップで保護する必要があります。

組織およびサードパーティは、固有のリスクを特定し、サードパーティが関与するサイバーインシデントの可能性を計算し、対処することが最も重要な残存リスクを強調することにより、サイバーリスク管理をサードパーティに適用するTPCRMツールを採用する必要があります。自動化を広範に利用する適切なTPCRMツールは、構造化データと動的データの両方を使用してこれを継続的に実行できるため、組織はサードパーティパートナーの中で最大のリスクを列挙し、リスクエクスポージャーに基づいてリソースに優先順位を付けることができます。

TPCRMプログラムはまた、パートナー組織に可視性を提供し、評価が最新であり、顧客組織とサードパーティの両方が要求に応じてすぐに利用できるようにします。さらに、TPCRMプログラムは、組織間のコラボレーションのためのフレームワークを提供し、サードパーティのサイバーリスク管理の最新の開発に合わせてサイバーセキュリティの取り組みを最新の状態に保つことを可能にします。

TPCRMプログラムは、組織がリスクを理解して対処できるようにするだけでなく、ITおよびセキュリティスタッフの日常業務を取り除き、データ収集者ではなくリスク管理者としての生産性を最大化できるようにします。また、優先順位の高いリスクベースの緩和戦略を作成するために必要な情報と洞察を提供しながら、冗長な作業を減らし、企業の成長に合わせて拡張できるようになります。

生き残る信頼

違反が発生します。サイバーセキュリティコミュニティの誰もが、脅威の攻撃者が執拗であり、そのツールと手法が着実に高度化しており、完全にハッキングされない防御システムはないことをよく知っています。しかし、自動化されたリスク管理ツール、リアルタイムの脅威情報、包括的な防御戦略は、攻撃の成功を防ぎ、被害を軽減し、発生した場合の回復を加速するのに大いに役立ちます。

顧客組織とサードパーティパートナーは、攻撃が成功したときに相互の信頼を維持できますが、その信頼が攻撃前、攻撃中、攻撃後の双方の誠実で共有された協調的なデューデリジェンスに基づいている場合に限ります。堅牢なTPCRMプログラムは、組織がそのレベルの信頼を構築し、維持するのに役立ちます。

-Uncategorized