Một trong những nguồn lực lớn dành cho các doanh nghiệp hiện nay là hệ sinh thái rộng lớn của các dịch vụ và giải pháp giá trị gia tăng. Đặc biệt là trong các giải pháp công nghệ, không có kết thúc cho các dịch vụ mà các tổ chức có thể tận dụng.
Ngoài ra, nếu một doanh nghiệp cần một giải pháp hoặc dịch vụ cụ thể mà họ không xử lý nội bộ, rất có thể sẽ có một nhà cung cấp bên thứ ba có thể giải quyết vấn đề đó cho họ.
Ngày nay, việc truy cập vào các nguồn tài nguyên bên thứ ba có lợi cho các doanh nghiệp ngày nay. Tuy nhiên, có thể có những thách thức về bảo mật đối với các công ty sử dụng các nhà cung cấp bên thứ ba và dịch vụ của họ bất chấp những lợi ích. Hãy cùng xem xét việc điều hướng quản lý rủi ro của nhà cung cấp với tư cách là các chuyên gia CNTT và xem cách các doanh nghiệp có thể thực hiện điều này trong một thế giới an ninh mạng rất phức tạp.
Các nhà cung cấp bên thứ ba có thể đưa ra các rủi ro về an ninh mạng như thế nào?
Như đã đề cập, các nhà cung cấp bên thứ ba có thể mang lại nhiều lợi ích cho các tổ chức hoạt động kinh doanh ngày nay. Chúng cho phép các công ty tránh xây dựng công nghệ và các giải pháp khác trong nhà và sử dụng chúng như một dịch vụ. Các dịch vụ này rất quan trọng đối với các tổ chức nhỏ có thể không có nguồn lực hoặc chuyên môn kỹ thuật để xây dựng cơ sở hạ tầng và các giải pháp phần mềm cần thiết.
Tuy nhiên, khi các công ty tương tác với các giải pháp công nghệ tích hợp với các hệ thống nhạy cảm và quan trọng trong kinh doanh của họ, họ phải xem xét các rủi ro an ninh mạng tiềm ẩn liên quan.
Như câu tục ngữ là “mắt xích yếu nhất trong chuỗi”, nếu các thực hành an ninh mạng và tư thế của nhà cung cấp bên thứ ba kém, nếu các giải pháp của họ tích hợp với hệ thống của bạn, thì các rủi ro an ninh mạng sẽ ảnh hưởng đến hệ thống của bạn. Hậu quả trong thế giới thực của việc vi phạm dữ liệu liên quan đến nhà cung cấp là gì?
Hãy lưu ý những điều sau đây. Vào năm 2013, Target Corporation, được biết đến là một trong những nhà bán lẻ khổng lồ ở Mỹ, đã trở thành nạn nhân của một vụ vi phạm dữ liệu do một công ty bên thứ ba sở hữu thông tin đăng nhập mạng của Target bị tấn công.
Kẻ tấn công lần đầu tiên tấn công mạng của Fazio Mechanical Services, nhà cung cấp dịch vụ điện lạnh và HVAC cho Target. Kết quả là, những kẻ tấn công đã xâm nhập 40 triệu tài khoản và Target đồng ý bồi thường thiệt hại 10 triệu USD cho những khách hàng bị đánh cắp dữ liệu.
Quản lý Rủi ro Nhà cung cấp (VRM) là gì?
Để đáp ứng những thách thức về an ninh mạng khi làm việc với các nhà cung cấp bên thứ ba, các tổ chức phải tập trung vào quản lý rủi ro của nhà cung cấp (VRM). VRM là gì? Quản lý rủi ro nhà cung cấp (VRM) cho phép các tổ chức tập trung vào việc phát hiện và giảm thiểu rủi ro liên quan đến nhà cung cấp bên thứ ba.
Với VRM, các doanh nghiệp có thể nhìn thấy các nhà cung cấp mà họ đã thiết lập mối quan hệ và các biện pháp kiểm soát bảo mật mà họ đã triển khai để đảm bảo hệ thống và quy trình của họ an toàn và bảo mật.
Với những rủi ro đáng kể và các quy định tuân thủ đã phát triển đối với các doanh nghiệp ngày nay, VRM là một kỷ luật cần phải được quan tâm đúng mức và được các chuyên gia CNTT cũng như thành viên hội đồng quản trị ủng hộ.
Điều hướng Quản lý rủi ro của nhà cung cấp với tư cách là Chuyên gia CNTT
Về cơ bản, trách nhiệm phát hiện, hiểu và giảm thiểu việc quản lý rủi ro của nhà cung cấp liên quan đến an ninh mạng tổng thể thuộc về bộ phận CNTT và SecOps. Ngoài ra, CNTT thường chịu trách nhiệm hình thành chiến lược VRM cho doanh nghiệp và đảm bảo an ninh mạng tổng thể của tổ chức không bị hy sinh khi làm việc với các giải pháp của bên thứ ba.
Để triển khai VRM thành công, các tổ chức cần có một khuôn khổ để quản lý rủi ro của nhà cung cấp. Dưới đây là bảy bước chúng tôi khuyên bạn nên thực hiện để đảm bảo tổ chức của bạn an toàn trước rủi ro của nhà cung cấp:
- Xác định tất cả các nhà cung cấp cung cấp dịch vụ cho tổ chức của bạn
- Xác định mức độ rủi ro có thể chấp nhận được cho tổ chức của bạn
- Xác định các rủi ro quan trọng nhất
- Phân loại các nhà cung cấp cung cấp dịch vụ cho doanh nghiệp của bạn
- Tiến hành đánh giá rủi ro nhà cung cấp thường xuyên
- Có hợp đồng hợp lệ với nhà cung cấp và chủ động theo dõi các điều khoản
- Theo dõi rủi ro của nhà cung cấp theo thời gian
1 – Xác định tất cả các nhà cung cấp cung cấp dịch vụ cho tổ chức của bạn
Trước khi bạn có thể hiểu một cách hiệu quả rủi ro đối với doanh nghiệp của mình, bạn cần biết tất cả các nhà cung cấp được tổ chức của bạn sử dụng. Một bản kiểm kê kỹ lưỡng có thể bao gồm mọi thứ từ dịch vụ chăm sóc bãi cỏ đến dịch vụ thẻ tín dụng.
Tuy nhiên, có sự hiểu biết kỹ lưỡng và tồn kho của tất cả các nhà cung cấp giúp đảm bảo rủi ro được tính toán một cách thích hợp.
2 – Xác định mức độ rủi ro có thể chấp nhận được cho tổ chức của bạn
Các loại hình kinh doanh khác nhau có thể có các kỳ vọng khác nhau và các lĩnh vực rủi ro khác nhau. Ví dụ, những gì được xác định là quan trọng đối với một tổ chức chăm sóc sức khỏe có thể khác với một tổ chức tài chính. Dù là trường hợp nào, việc xác định các mức rủi ro có thể chấp nhận được sẽ giúp đảm bảo các biện pháp giảm thiểu thích hợp được áp dụng và rủi ro có thể chấp nhận được đối với các bên liên quan trong kinh doanh.
3 – Xác định các rủi ro quan trọng nhất
Rủi ro do một số nhà cung cấp nhất định gây ra rất có thể sẽ lớn hơn những nhà cung cấp khác. Ví dụ: một công ty chăm sóc cỏ không có quyền truy cập vào cơ sở hạ tầng kỹ thuật của bạn có thể sẽ ít rủi ro hơn so với nhà cung cấp bên thứ ba có quyền truy cập cấp độ mạng vào một số hệ thống quan trọng của doanh nghiệp. Do đó, xếp hạng mức độ rủi ro của bạn liên quan đến các nhà cung cấp cụ thể là rất quan trọng để hiểu được rủi ro tổng thể của bạn.
4 – Phân loại các nhà cung cấp cung cấp dịch vụ cho doanh nghiệp của bạn
Sau khi các nhà cung cấp được xác định là người cung cấp dịch vụ cho doanh nghiệp của bạn, những nhà cung cấp này sẽ được phân loại theo những dịch vụ họ cung cấp và rủi ro mà họ gây ra cho doanh nghiệp của bạn.
5 – Tiến hành đánh giá rủi ro nhà cung cấp thường xuyên
Ngay cả khi một doanh nghiệp có một chút rủi ro tại một thời điểm, điều này có thể thay đổi sau đó. Giống như doanh nghiệp của bạn, trạng thái của cơ sở hạ tầng, dịch vụ, phần mềm và tư thế an ninh mạng của nhà cung cấp liên tục thay đổi. Do đó, hãy thực hiện đánh giá nhà cung cấp thường xuyên để nhanh chóng xác định sự thay đổi đột ngột trong rủi ro đối với tổ chức của bạn.
6 – Có hợp đồng hợp lệ với nhà cung cấp và chủ động theo dõi các điều khoản
Đảm bảo bạn có hợp đồng hợp lệ với tất cả các nhà cung cấp. Một thỏa thuận hợp đồng thiết lập một cách hợp pháp các kỳ vọng trên tất cả các khía cạnh, bao gồm đánh giá an ninh và rủi ro. Theo dõi các hợp đồng và điều khoản theo thời gian. Nó cho phép xác định bất kỳ sai lệch nào so với các điều khoản hợp đồng như được thể hiện.
7 – Theo dõi rủi ro của nhà cung cấp theo thời gian
Theo dõi các rủi ro do nhà cung cấp gây ra theo thời gian. Như đã thảo luận ở trên, việc tiến hành đánh giá rủi ro nhà cung cấp thường xuyên và theo dõi rủi ro theo thời gian giúp nhận biết rủi ro có thể tiếp tục phát triển với một nhà cung cấp cụ thể. Nó có thể báo hiệu sự cần thiết phải tìm kiếm một nhà cung cấp khác.
Theo dõi bảo mật thông tin xác thực cho các nhà cung cấp bên thứ ba
Một lĩnh vực cần quan tâm khi làm việc với nhà cung cấp hoặc nếu bạn là nhà cung cấp bên thứ ba được tổ chức sử dụng là thông tin xác thực. Làm cách nào để bạn đảm bảo rằng thông tin đăng nhập được các nhà cung cấp bên thứ ba sử dụng là an toàn? Làm thế nào để bạn chứng minh rằng bạn đang quan tâm đến bảo mật mật khẩu trong môi trường của mình nếu một doanh nghiệp yêu cầu bằng chứng về bảo mật thông tin xác thực của bạn?
Chính sách mật khẩu Specops là một giải pháp cho phép các doanh nghiệp tăng cường bảo mật mật khẩu và tư thế an ninh mạng tổng thể bằng cách:
- Bảo vệ bằng mật khẩu bị vi phạm
- Triển khai các chính sách mật khẩu mạnh
- Cho phép sử dụng nhiều từ điển mật khẩu
- Tin nhắn khách hàng rõ ràng và trực quan
- Phản hồi động trong thời gian thực cho khách hàng
- Hết hạn mật khẩu dựa trên độ dài
- Chặn các thành phần mật khẩu phổ biến như tên người dùng trong mật khẩu
- Dễ dàng triển khai cụm mật khẩu
- Biểu thức chính quy
Specops Breached Password Protection hiện bao gồm Dữ liệu Tấn công Trực tiếp như một phần của mô-đun Bảo vệ Mật khẩu Bị Vi phạm Specops. Nó cho phép Specops Password Policy với Breached Password Protection để bảo vệ tổ chức của bạn khỏi các mật khẩu bị vi phạm từ hàng tỷ mật khẩu bị vi phạm trong cơ sở dữ liệu Specops cũng như từ dữ liệu tấn công trực tiếp.
 |
| Bảo vệ mật khẩu của nhà cung cấp với Specops Breached Password Protection |
Nếu thông tin đăng nhập của nhà cung cấp bên thứ ba được sử dụng trong môi trường của bạn bị vi phạm, bạn sẽ có thể khắc phục rủi ro càng sớm càng tốt. Ngoài ra, kết hợp với Specops Password Auditor, bạn có thể nhanh chóng và dễ dàng tạo ra các báo cáo về các tiêu chuẩn mật khẩu mà bạn có trong tổ chức của mình.
 |
| Tạo báo cáo kiểm toán bằng Specops Password Auditor |
Kết thúc nó
Quản lý Rủi ro Nhà cung cấp (VRM) là một phần thiết yếu của quy trình an ninh mạng tổng thể của các tổ chức ngày nay. Nó cho phép quản lý các rủi ro liên quan đến các nhà cung cấp bên thứ ba và cách những nhà cung cấp này tương tác với tổ chức của bạn. Các doanh nghiệp phải thực hiện một khuôn khổ để đánh giá rủi ro của nhà cung cấp và đảm bảo những rủi ro này được theo dõi, ghi lại và giám sát khi cần thiết.
Specops Chính sách mật khẩu và Trình kiểm tra mật khẩu Specops cho phép các doanh nghiệp tăng cường bảo mật mật khẩu trong môi trường của họ. Nó giúp giảm thiểu mọi rủi ro liên quan đến mật khẩu của nhà cung cấp và dễ dàng theo dõi mật khẩu để biết liệu chúng có bị vi phạm hay không. Ngoài ra, Password Auditor có thể tạo báo cáo nếu bạn cung cấp dịch vụ của bên thứ ba cho các tổ chức yêu cầu bạn cung cấp thông tin liên quan đến cài đặt và chính sách mật khẩu của bạn.
