Start Empfohlen Wie Unternehmen ihre Drittanbietersicherheit verbessern können

Wie Unternehmen ihre Drittanbietersicherheit verbessern können [Q&A]

3
0


Risikozifferblatt

In den letzten Jahren erfolgten viele der bekanntesten Cyberangriffe über die Lieferkette, an denen Drittanbieter und Partner beteiligt waren.

In der Vergangenheit war es für Unternehmen schwierig, die Risiken von Drittanbietern einzuschätzen, was oft zeitaufwändige manuelle Prozesse erforderte, um dies zu tun.

Wir sprachen mit Kelly White, CEO und Gründerin von RiskRecon um mehr über die aktuellen Herausforderungen der Branche zu erfahren und wie Technologie zur Verbesserung der Sicherheitslage beitragen kann.

BN: Warum ist die Cybersicherheit von Drittanbietern zu einer so großen Herausforderung für Sicherheitsteams geworden?

KW: Das Cyber-Risiko Dritter ist eine schnell wachsende Herausforderung für Unternehmen jeder Größe. Suchen Sie nicht weiter als die jüngsten katastrophalen Sicherheitsvorfälle wie den SolarWinds SUNBURST-Hack, die zeigen, welche Auswirkungen ein Cybersicherheitsvorfall von Drittanbietern haben kann.

Dies ist eine Herausforderung für Sicherheitsteams, da Unternehmen in komplexen digitalen Ökosystemen operieren, die Kunden, Anbieter und Partner miteinander verbinden, über die Daten ausgetauscht und Transaktionen verarbeitet werden. Da das digitale Geschäftsökosystem weiter wächst, war die Herausforderung für Sicherheitsteams, die wachsende Risikooberfläche ihres Unternehmens zu managen, nie größer als je zuvor.

Selbst die erfahrensten Sicherheitsteams haben Schwierigkeiten, das Cyberrisiko von Drittanbietern zu managen, und bestätigen, dass es ein grundlegendes Problem bei der Verwaltung des Cyberrisikos gibt, das von Dritten ausgesetzt ist.

BN: Was sind einige der aktuellen Herausforderungen und Trends, mit denen Sicherheitsführer in Bezug auf das Cyber-Risiko Dritter konfrontiert sind?

KW: Traditionell sind die meisten Risikomanagementprogramme von Drittanbietern auf den manuellen Prozess der Fragebögen angewiesen. Dies nimmt sowohl für das Sicherheitsteam als auch für den Anbieter viel Zeit in Anspruch – wofür niemand Zeit hat. Darüber hinaus sind herkömmliche jährlich oder halbjährlich durchgeführte Risikobewertungen nicht für das sich schnell verändernde digitale Ökosystem von heute ausgelegt, sodass Sicherheitsteams Schwierigkeiten haben, die erforderliche kontinuierliche Transparenz über das Cyber-Risiko von Drittanbietern ihres Unternehmens zu erhalten. Ohne kontinuierliche Überwachung durch Dritte erhalten Sicherheitsteams nur Zugriff auf einen einzigen Zeitpunkt, was letztendlich die Risikominderung beeinträchtigt und eine genaue Bewertung des Risikos durch Dritte einschränkt.

Darüber hinaus haben Sicherheitsverantwortliche die Aufgabe, ihr Unternehmen in der heutigen dynamischen Cyber-Risikolandschaft zu schützen, die tiefe Lieferkettenschichten umfasst. Es sind nicht nur Dritte, um die Sie sich Sorgen machen müssen, Cyber-Risiken können von Ebenen der Lieferkette ausgehen, die über die unmittelbaren Dritten des Unternehmens hinausgehen. Diese Art von Vorfällen kann große Auswirkungen haben. Laut der jährlichen Studie Wellen über die Risikooberfläche vom Cyentia Institute und RiskRecon, einem Mastercard-Unternehmen, verursacht eine Datenschutzverletzung, die mehrere Parteien betrifft, das 26-fache des finanziellen Schadens der schlimmsten Einzelverletzung.

BN: Wenn Sicherheitsexperten Schwierigkeiten haben, die Risiken ihrer Organisation und ihres erweiterten Ökosystems transparent zu machen, über welche Investitionen und Technologien sollten sie dann nachdenken?

KW: Sicherheits- und Risikoexperten müssen in Lösungen investieren, die ihnen einen umfassenden Überblick über ihr Cyber-Risiko von Drittanbietern bieten, basierend auf kontinuierlich aktualisierten Daten, die ihre aktuelle Umgebung und ihr erweitertes Ökosystem widerspiegeln.

Für Sicherheits- und Risikoteams, die zum ersten Mal nach einer Risikomanagementlösung (TPRM) eines Drittanbieters suchen oder ihren aktuellen Anbieter neu bewerten, suchen Sie nach einer Lösung, die den Prozess automatisiert und einen vollständigen Einblick in Ihre gesamte digitale Lieferkette bietet. Teams können mehr Zeit für strategischere Aktivitäten aufwenden. Indem Sie ein genaues und zeitnahes Bild in Ihrer gesamten digitalen Lieferkette bereitstellen, können Sie wissen, wer das größte Risiko für Ihr Unternehmen darstellt, und verhindern, dass ein Verstoß unentdeckt bleibt. Stellen Sie außerdem sicher, dass sie Ihnen die entsprechenden Ressourcen zur Verfügung stellen können, um die Risiken, die Ihr Unternehmen bedrohen, schnell zu verstehen und darauf zu reagieren.

BN: Welche Tipps können Sicherheitsverantwortliche, abgesehen von Investitionen in Technologie, befolgen, um ihre Sicherheitslage bei Drittanbietern zu verbessern?

KW: Das Wichtigste ist zu verstehen, dass das Risikomanagement von Drittanbietern kein einmaliges oder jährliches Projekt sein sollte. Sicherheitsteams müssen dies priorisieren und ein fortlaufendes Programm mit fortlaufender Überwachung implementieren, um Risiken und Bedrohungen durch Dritte effektiv zu mindern.

Hier sind einige Möglichkeiten für Sicherheitsteams, ihr Risikomanagementprogramm von Drittanbietern zu stärken, um ihr Unternehmen in der zunehmend vernetzten digitalen Landschaft von heute besser zu schützen:

  • Sicherheitsfragen aktualisieren – Stellen Sie sicher, dass Sie die richtigen Fragen stellen. Es ist wichtig, Fragen zu erstellen und zu stellen, die es Ihnen ermöglichen, zu verstehen, wie ein Anbieter mit den Daten des Unternehmens umgeht. Aber hör hier nicht auf. Stellen Sie Fragen, die Ihnen einen Einblick in die Technologien geben, die sie intern und extern von Dritten, Vierten und darüber hinaus verwenden.
  • Risiken priorisieren – Ein gut strukturiertes kontinuierliches Überwachungsprogramm von Drittanbietern bietet Sicherheitsteams die Möglichkeit, Prioritäten zu setzen. Eine einfache Möglichkeit hierfür besteht darin, den Anbietern eine Risikoeinstufung zuzuweisen. Auf diese Weise haben Sie ein klares Verständnis der Sicherheitslage Ihres Anbieters, können Schwachstellen nach Priorität ordnen und Probleme entsprechend angehen.
  • Ergreifen Sie Maßnahmen – Erstellen Sie basierend auf Ihrer Einschätzung Ihrer Anbieter einen maßgeschneiderten Risikoaktionsplan, mit dem Sie mit Ihren Anbietern in Kontakt treten können, um Probleme sofort zu beheben.

BN: Ransomware scheint heutzutage überall zu sein. Wie können Cybersicherheitsbewertungen und ein effektives Risikomanagement von Drittanbietern dazu beitragen, Unternehmen davor zu schützen, ihr nächstes Opfer zu werden?

KW: Wir haben in letzter Zeit einen starken Anstieg der Ransomware-Cyberangriffe erlebt und dieser Trend wird sich nur fortsetzen, wenn die digitale Geschäftslandschaft immer komplexer wird. Cyberkriminelle wissen, dass dies eine äußerst erfolgreiche Angriffsform ist, die ihnen Zugang zu kritischen, hochwertigen Daten verschafft, und sie entwickeln ihre Taktiken ständig weiter, um diesen Erfolg aufrechtzuerhalten. Sicherheitsteams sollten nicht auf der Hut sein, da diese Angriffe immer bekannter und raffinierter werden.

Ein robustes Risikomanagementprogramm von Drittanbietern, das sich jederzeit mit der aktuellen Umgebung und dem erweiterten Ökosystem Ihres Unternehmens befasst, trägt dazu bei, dass Ihr Unternehmen nicht zur nächsten Schlagzeile für Ransomware wird. Die kontinuierliche Erkennung von Schwachstellen ermöglicht es Sicherheits- und Risikoexperten, selbstbewusst und schnell auf Risiken zu reagieren, bevor diese ausgenutzt werden können.

Bildnachweis: Olivier Le Moal / Shutterstock



Vorheriger ArtikelZwei Drittel der britischen Wirtschaftsführer erwarten mehr Cybersicherheitsbedrohungen
Nächster ArtikelGefährdete Einzelhändler durch schlechtes TLS/SSL-Management

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein