Участь сторонніх умов у порушеннях даних подвоїлася в цьому році з 15 відсотків до майже 30 відсотків. У відповідь багато організацій посилили свою увагу на сторонньому управлінні ризиками, ретельно перевіряючи практику безпеки своїх постачальників. Однак критичним розривом залишається те, що багато організацій не помічають: четверта сторона ризику.
Мовчазна загроза четвертої сторонніх постачальників
Більшість організацій зосереджуються лише на постачальниках безпосередньо на їх орбіті, нехтуючи, щоб копати на крок глибше на те, на кого покладаються ці постачальники, щоб надати свої послуги.
Ризики четвертої сторони особливо складні, оскільки їх важче побачити. Ви можете навіть не знати, що вони існують, якщо ваш продавець їх не розкриє. Незважаючи на це, регулятори та клієнти притягуватимуть вашу організацію, якщо четверта вразливість призводить до порушення даних або оперативного порушення.
Реальність полягає в тому, що ваші найважливіші постачальники часто становлять найважливіший ризик, оскільки вони глибоко вбудовані у ваші операції і зазвичай покладаються на різні підпроцесори для надання послуг. Незалежно від того, як ваш постачальник не отримає доступу до вашого середовища-будь то за допомогою апаратного, програмного забезпечення, локальних, застарілих технологій чи хмари-може представити ризик. Щоб керувати цими ризиками, почніть з дотримання даних:
- Які дані збираються і чому? Зрозумійте конкретні дані, які ваші постачальники та їх підпроцесори збирають від вашого імені, мета його збору та того, чи необхідно це для надання послуг.
- Куди проходять дані? Зображення потоків даних, щоб побачити, де ваші дані подорожують по четвертим сторонам, та визначити юрисдикції зі слабшими законами про конфіденційність чи безпеку.
- Хто отримає доступ до даних? Визначте всі суб'єкти, включаючи підпроцесори, з прямим або непрямим доступом до ваших даних та оцініть їх контроль.
- Як довго зберігаються дані? Визначте практику утримання та вилучення в усьому ланцюзі поставок вашого постачальника, щоб запобігти затягуванню даних у невідомих або незабезпечених місцях.
- Як захищені дані протягом усього життєвого циклу? Оцініть шифрування, контроль доступу та стандарти безпеки, які ваші третьої та четвертої сторони використовують для захисту ваших даних.
Хоча багато організацій вжили заходів для зміцнення стороннього управління ризиками, зосереджуючись лише на відносинах прямого постачальника, недостатньо. Ризики четвертої сторони часто ховаються на очах у ваших існуючих практиках безпеки ланцюгів поставок, створюючи сліпі місця, які можуть підірвати вашу загальну поставу.
Організації повинні виконувати прохідні зобов'язання
Однією з найефективніших стратегій управління четвертим ризиком є виконання зобов’язань пропуску в договорах постачальників. Це означає, що вимагати від ваших постачальників утримувати як своїх постачальників, так і постачальників своїх постачальників до тих же стандартів дотримання безпеки та конфіденційності.
Припустимо, ваша організація вимагає від ваших прямих постачальників реалізувати конкретні стандарти шифрування, проходити регулярні аудиту безпеки, обмежити зберігання даних до визначеного періоду та повідомляти про випадки безпеки протягом визначених часових рамків. У такому випадку ці вимоги повинні застосовуватися до будь -яких субпідрядників, які залучають ваші постачальники. Хоча підтримка четвертої старанності здається непростим для будь-якої організації з обмеженими ресурсами, тягар повинен бути призначений третім сторонам у контрактах постачальників.
Що має бути в кожному договорі постачальника?
Управління доступом до постачальників починається з договорів, корінням у цих принципах: дотримуйтесь даних, застосовуйте підзвітність та мінімізуйте залишковий ризик. Структурувати свої угоди про постачальника до:
- Розкрийте підпроцесори: Вимагати від ваших постачальників розкрити будь-які підпроцестори, які вони використовують з доступом до ваших даних або систем (оскільки вони юридично зобов’язані в рамках GDPR), гарантуючи, що ви можете відстежувати ризик, де б ваші дані протікали.
- Забезпечити швидке повідомлення про інциденти: Постачальники повинні швидко повідомити вас, якщо будь -які випадки безпеки, пов’язані з їх субпідрядниками, можуть вплинути на ваші системи чи дані.
- Зберігайте права аудиту: Зберігайте право на аудит постачальника та відповідності субпідрядників, включаючи можливість підтвердження названих ідентичностей, а не спільних облікових записів.
- Управління оф -бортом: Переконайтесь, що закінчується весь доступ до розірвання контракту або бездіяльності для запобігання затяжних ризиків.
- Мандат проходження зобов'язань: Постачальники повинні вимагати від субпідрядників, щоб відповідати однаковим стандартам безпеки та відповідності.
Формалізація цих вимог створює ланцюг підзвітності, який значно знижує ризик того, що інцидент безпеки ковзає непомітно через неспроможність субпідрядника. Обіцянки рукостискання або перебільшене страхове покриття нічого не означають, якщо вони не підлягають виконанню.
Забезпечте повний ланцюг поставок
Щоб залишатися вперед, організації повинні вийти за рамки управління прямими постачальниками та застосовувати примусовий контроль, який каскадує повний ланцюг субпідрядників. Включивши прохідні зобов'язання, посилюючи нагляд та застосовуючи шарувати, підхід, заснований на ризику, бізнес може закрити сліпі місця та побудувати екосистему постачальника, яка є стійкою за допомогою дизайну, і готова до будь-яких загроз надходити далі.