Kuinka parantaa tietoturvaa kolmansien osapuolien kanssa?

3 tekijää oikeiden teknologiatoimittajien valinnassa Kun lisää toimintoja ulkoistetaan, toimittajien hallinnasta on tullut kriittinen osa erinomaisen IT-osaston ylläpitämistä. Tässä on tavanomainen viisaus tehdä se oikein.

Turvallisuustutkijat kertoivat helmikuussa, että Walmart-myyjä Limogés Jewelry paljasti yli 1, 3 miljoonan asiakkaan luottamuksellisia tietoja, kuten nimiä, osoitteita, postinumeroita, puhelinnumeroita, sähköpostiosoitteita ja salasanoja. Mikä pahempaa, tiedot sisälsivät myös lukuisia tietueita muista jälleenmyyjistä, kuten Amazon, Overstock, Sears, Kmart, Target ja muut.

Lisätietoja kyberturvallisuudesta

  • Kyberturvallisuus vuonna 2020: Kahdeksan pelottavaa ennustetta
  • Vuosikymmenen 10 tärkeintä kyberhyökkäystä
  • Kuinka tulla kyberturvallisuusprosessiksi: Huijarilehti
  • Kuuluisa mies Frank Abagnale: Rikos on tänään 4000 kertaa helpompaa

Valotus koski tietokantaa, joka oli tallennettu yleisesti saatavilla olevaan Amazon S3 -pilvekauhaan, joka jätettiin käytettäväksi tämän vuoden 13. tammikuuta jälkeen. Lisäksi paljastettiin myös sisäiset postituslistat, maksutiedot, tarjouskoodit, tilaustiedot ja salatut luottokorttitiedot. Osa levykkeistä meni jo vuonna 2000.

Walmart on sittemmin suojannut tietokannan, mutta ei ole varmuutta siitä, että sen sisältämiä tietoja ei ole varastettu ja käytetty. Yrityksen, jonka tutkijat havaitsivat rikkomuksen, viestintäjohtaja Kromtech kirjoitti:

Tämä numero korostaa avainkäsitettä tietoturvan suhteen. Riippumatta siitä, kuinka kattavat, yksityiskohtaiset tai menestyvät omat tietoturvakäytännöksesi voivat olla, kun luovutat tietoja kolmannen osapuolen tytäryhtiölle, valvonnasta tulee merkityksetön. Tämä asettaa yrityksesi maine ja menestys kirjaimellisesti jonkun muun käsiin.

Kuinka vähentää kolmansien osapuolien riskiä

Kolmannen osapuolen riskin vähentäminen riippuu toimittajan asianmukaisesta valinnasta. Pyydä kaikkia potentiaalisia myyjiä varmistamaan, että heillä on samat arvot kuin organisaatiollasi tietosuoja- ja riskienhallintakysymyksissä.

Tietoturvayrityksen Tripwiren tuotehallinnasta ja strategiasta vastaava johtaja Tim Erlin katsoo, että asiakastietojen suojaaminen altistumiselta ei vaadi uusimpia tietoturvatyökaluja. "Sen varmistaminen, että järjestelmät ovat turvallisia käyttöönoton yhteydessä, ja niiden seuranta muutosten varalta on osa perusasioiden tekemistä oikein", hän sanoi. "Nämä tietoturvaperusteet koskevat yhtä paljon pilveä kuin datakeskusta."

Hän tunnusti kuitenkin, että teknisiä tarkastuksia on vaikea asettaa kolmansille osapuolille, ja korosti sopimusten merkitystä. "On elintärkeää, että arkaluonteisia tietoja käsittelevät toimittajat ja kolmannet osapuolet eivät vain suostu suojaamaan tietoja, vaan myös pystyvät osoittamaan, että tekevät niin", hän sanoi.

Erlin suosittelee sopimuksia, joissa ei yksilöidä tietosuojaa, vaan myös standardia tämän työn mittaamiselle. Markkinoilla on saatavana useita turvastandardeja, kuten Internet Security Center tai NIST 800-53 -standardi.

Mikäli mahdollista, sopimuksiin sisältyy myös korvaus organisaatiollesi, jos myyjälle aiheutuu rikkomuksia.

Standardit ovat keskeinen tekijä vaatimustenmukaisuuden varmistamisessa. Jos organisaatiota säännellään PCI-, HIPAA-, SOX- tai muilla standardeilla, niitä olisi myös valvottava ja valvottava muiden valmistajien keskuudessa, joiden kanssa jaat tietoja.

Se on myös syytä tutkia hankkimalla SOC (Service Organisation Control) -raporttiraportteja toimittajien vaatimustenmukaisuuden varmistamiseksi. Näitä on saatavana nimellä SOC1 ja SOC2. SOC1-raportti on perusvaihtoehto ja analysoi ja kirjaa taloudellisen raportoinnin sisäiset valvontatoimet. Kattavampi SOC2-raportti sisältää yksityiskohdat organisaation turvallisuudesta, saatavuudesta, käsittelyn eheydestä, luottamuksellisuudesta ja yksityisyydestä. SOC2-raportit voivat parhaiten auttaa varmistamaan, että kolmansien osapuolien toimittajat pelaavat sääntöjen mukaisesti.

SOC-raportteja on kahta tyyppiä: Tyyppi 1 ja Tyyppi 2. Tyyppi 1 on yhden silmäyksen raportti, joka näyttää organisaation valvonnan tilan tietynä päivänä. Tyypin 2 raportti kattaa ajanjakson (kuten vuoden tai vähemmän) sen määrittämiseksi, miten valvonta on toiminut kyseisessä ajassa. Tyypin 2 raportti on tapa saada paras varmuus siitä, että valvonta toimii odotetusti.

Jos päätät alkaa vaatia SOC-raportteja, varmista, että ne kattavat kaikki alueet, joille ulkopuolinen toimittaja voi tallentaa tai käsitellä tietoja, joko sisäisesti tai ulkoisesti toimitiloihinsa. Paikallisten tietokeskusten tulisi toimittaa tietoja fyysisten ja ympäristövalvonnan raportista sekä turvallisuuteen liittyvistä kokoonpanoista.

Jos et halua tai pysty hankkimaan SOC-raportteja, sinulla on silti mahdollista suorittaa omat säännölliset tarkastuksesi kolmansien osapuolien toimittajille. Varmista myös, että yrityksen dokumentaatiossa hahmotellaan, mihin tietoon tallennetaan, ja jaa vähimmäismäärä tietoja, joita kolmansien osapuolien toimittajat tarvitsevat yhdenmukaistaaksesi yrityksesi kanssa (ihanteellinen tapa on säilyttää järjestelmissäsi olevat tiedot ja antaa heille pääsy niihin), sen sijaan, että annat sen pois, jos voit välttää sen). Vahva jatkuva viestintä myyjien kanssa on myös avaintekijä pysyessä ajan tasalla heidän käytäntöjensä ja toimiensa kanssa, jotta vältetään "aseta se ja unohda" -mielellisyys, joka voi johtaa laiminlyöntiin.

Viimeisenä, mutta ei vähäisimpänä, puhun kokemuksesta, kun sanon, että fyysinen henkilökohtainen tapaaminen ja datakeskuksen tai palvelinhuonekierros kolmannen osapuolen myyjän kanssa voi tehdä ihmeitä luottamuksen ja luotettavuuden luomisessa. Se rakentaa henkilökohtaisia ​​suhteita ja voi auttaa tarkistamaan, että tietoturvavaatimukset vastaavat yrityksesi normeja.

Kyberturvallisuuden sisäpiirilehti

Vahvista organisaatiosi tietoturvamekanismeja pitämällä ajan tasalla viimeisimmät tietoturvatiedotteet, ratkaisut ja parhaat käytännöt. Toimitetaan tiistaisin ja torstaisin

Rekisteröidy tänään

© Copyright 2021 | mobilegn.com