saket modi
مساهم
شارك على Twitter
saket modi هو المؤسس المشارك والرئيس التنفيذي لشركة Safe Security ، وهي شركة منصة القياس الكمي للأمن السيبراني ومخاطر الأعمال الرقمية.
يتطلب مشهد الأمن السيبراني اليوم استراتيجية إدارة المخاطر التي تعتمد على البيانات والتي تعتمد على البيانات للتعامل مع سطح هجوم الطرف الثالث المتسع باستمرار.
عند مشاركة البيانات والوصول إلى الشبكة ، يرث المخاطر الإلكترونية من بائعيها عبر أفرادهم وعملياتهم وتكنولوجيهم وأطراف البائع الثالثة. تعمل المؤسسة النموذجية بمتوسط ما يقرب من 5900 أطراف ثالثة ، مما يعني أن الشركات تواجه قدرًا هائلاً من المخاطر ، بغض النظر عن مدى غلافها الخاص. أكثر من 200 من الانتهاكات التي تم الكشف عنها علنًا وآلاف الانتهاكات ذات التأثيرات المتأثرة خلال عام 2021 ، وفقًا لتقرير Kite Black Kite.
، فإن النهج الخارجي الحالي لإدارة مخاطر الطرف الثالث غير كافٍ. بدلاً من ذلك ، تحتاج الصناعة إلى التحرك نحو نهج جديد لإدارة المخاطر من طرف ثالث من خلال بدء محادثات تتجاوز التقييمات الخارجية. على وجه التحديد ، يجب على الشركات إنشاء مبادئ ثقة صفرية لجميع البائعين ، وتقييم المخاطر عبر الأصول الخارجية والداخلية مع التقييمات الداخلية للخروج وقياس المخاطر السيبرانية في الوقت الفعلي.
مبدأ الثقة الصفري من Never Trust ، تم اعتماد التحقق دائمًا على نطاق واسع لإدارة البيئات الداخلية ، ويجب على المؤسسات توسيع هذه الفكرة إلى إدارة مخاطر الطرف الثالث.
لمكافحة هذا ، تحتاج المؤسسات إلى اعتبار البائعين مجموعات فرعية من أعمالهم.
التهديد الذي يلوح في الأفق
الأسهم مع بائعيها مذهلة. على سبيل المثال ، قد تشارك الشركة الملكية الفكرية مع شركاء التصنيع ، وتخزين معلومات الصحة الشخصية (PHI) على الخوادم السحابية لمشاركتها مع شركات التأمين والسماح لوكالات التسويق بالوصول إلى بيانات العميل والمعلومات الشخصية (PII).
هذا هو مجرد غيض من جبل الجليد ، وغالبا ما لا تعرف معظم الشركات مدى حجم الجبل الجليدي. في دراسة استقصائية أجراها معهد بونيمون ، قال 51 ٪ من الشركات التي شملها الاستطلاع إنها لا تقيم وضع المخاطر الإلكترونية للأطراف الثالثة قبل السماح لهم بالوصول إلى المعلومات السرية. ما هو أكثر من ذلك ، قال 63 ٪ من الشركات التي شملها الاستطلاع أنها لا تتمتع برؤية في ما يمكن للبائعين لتكوينات البيانات والنظام الوصول إليها ، ولماذا يمكنهم الوصول إليها ، ومن لديه أذونات وكيف يتم تخزين البيانات ومشاركتها.
هذه الشبكة الضخمة من الشركات التي تشارك المعلومات في الوقت الفعلي تؤدي إلى سطح هجوم واسع يصعب إدارته. للتغلب على هذا التحدي ، تستخدم الشركات مبادرات للأمن السيبراني مثل استبيانات الاستبيان على متن الطائرة وخدمات تصنيف الأمن في استراتيجيات إدارة المخاطر الخاصة بها. Br>
خدمات تصنيف الأمن السيبراني هي نهج سريع واقتصادي لتقييم مخاطر الطرف الثالث. إن بساطتهم - التي تمثل مخاطر البائع السيبرانية كنتيجة ، مثل التصنيفات الائتمانية في الخدمات المالية - تجعلها خيارًا شائعًا ، على الرغم من القيود.
مساهم
شارك على Twitter
saket modi هو المؤسس المشارك والرئيس التنفيذي لشركة Safe Security ، وهي شركة منصة القياس الكمي للأمن السيبراني ومخاطر الأعمال الرقمية.
يتطلب مشهد الأمن السيبراني اليوم استراتيجية إدارة المخاطر التي تعتمد على البيانات والتي تعتمد على البيانات للتعامل مع سطح هجوم الطرف الثالث المتسع باستمرار.
عند مشاركة البيانات والوصول إلى الشبكة ، يرث المخاطر الإلكترونية من بائعيها عبر أفرادهم وعملياتهم وتكنولوجيهم وأطراف البائع الثالثة. تعمل المؤسسة النموذجية بمتوسط ما يقرب من 5900 أطراف ثالثة ، مما يعني أن الشركات تواجه قدرًا هائلاً من المخاطر ، بغض النظر عن مدى غلافها الخاص. أكثر من 200 من الانتهاكات التي تم الكشف عنها علنًا وآلاف الانتهاكات ذات التأثيرات المتأثرة خلال عام 2021 ، وفقًا لتقرير Kite Black Kite.
، فإن النهج الخارجي الحالي لإدارة مخاطر الطرف الثالث غير كافٍ. بدلاً من ذلك ، تحتاج الصناعة إلى التحرك نحو نهج جديد لإدارة المخاطر من طرف ثالث من خلال بدء محادثات تتجاوز التقييمات الخارجية. على وجه التحديد ، يجب على الشركات إنشاء مبادئ ثقة صفرية لجميع البائعين ، وتقييم المخاطر عبر الأصول الخارجية والداخلية مع التقييمات الداخلية للخروج وقياس المخاطر السيبرانية في الوقت الفعلي.
مبدأ الثقة الصفري من Never Trust ، تم اعتماد التحقق دائمًا على نطاق واسع لإدارة البيئات الداخلية ، ويجب على المؤسسات توسيع هذه الفكرة إلى إدارة مخاطر الطرف الثالث.
لمكافحة هذا ، تحتاج المؤسسات إلى اعتبار البائعين مجموعات فرعية من أعمالهم.
التهديد الذي يلوح في الأفق
الأسهم مع بائعيها مذهلة. على سبيل المثال ، قد تشارك الشركة الملكية الفكرية مع شركاء التصنيع ، وتخزين معلومات الصحة الشخصية (PHI) على الخوادم السحابية لمشاركتها مع شركات التأمين والسماح لوكالات التسويق بالوصول إلى بيانات العميل والمعلومات الشخصية (PII).
هذا هو مجرد غيض من جبل الجليد ، وغالبا ما لا تعرف معظم الشركات مدى حجم الجبل الجليدي. في دراسة استقصائية أجراها معهد بونيمون ، قال 51 ٪ من الشركات التي شملها الاستطلاع إنها لا تقيم وضع المخاطر الإلكترونية للأطراف الثالثة قبل السماح لهم بالوصول إلى المعلومات السرية. ما هو أكثر من ذلك ، قال 63 ٪ من الشركات التي شملها الاستطلاع أنها لا تتمتع برؤية في ما يمكن للبائعين لتكوينات البيانات والنظام الوصول إليها ، ولماذا يمكنهم الوصول إليها ، ومن لديه أذونات وكيف يتم تخزين البيانات ومشاركتها.
هذه الشبكة الضخمة من الشركات التي تشارك المعلومات في الوقت الفعلي تؤدي إلى سطح هجوم واسع يصعب إدارته. للتغلب على هذا التحدي ، تستخدم الشركات مبادرات للأمن السيبراني مثل استبيانات الاستبيان على متن الطائرة وخدمات تصنيف الأمن في استراتيجيات إدارة المخاطر الخاصة بها. Br>
خدمات تصنيف الأمن السيبراني هي نهج سريع واقتصادي لتقييم مخاطر الطرف الثالث. إن بساطتهم - التي تمثل مخاطر البائع السيبرانية كنتيجة ، مثل التصنيفات الائتمانية في الخدمات المالية - تجعلها خيارًا شائعًا ، على الرغم من القيود.
اخلاء مسؤولية! هذا المقال لا يعبر بالضرورة عن رأي جامعة الرازي