サイバーセキュリティリスクをより適切に管理するには、ゼロトラストの原則をサードパーティに拡張します– TBEN

現在のサイバーセキュリティの状況 拡大し続けるサードパーティの攻撃対象領域に対処するには、俊敏なデータ駆動型のリスク管理戦略が必要です。

企業がデータとネットワークアクセスを共有することによってサービスをアウトソーシングする場合、そのベンダーは、従業員、プロセス、テクノロジー、およびそのベンダーのサードパーティを通じてサイバーリスクを継承します。 典型的なビジネスは、平均して約5,900のサードパーティと連携しています。つまり、ビジネスは、自社の拠点をどれだけうまくヘッジしても、膨大なリスクに直面します。

たとえば、Black Kiteのレポートによると、82件の個別のサードパーティインシデントにより、2021年を通じて200件を超える公開違反と数千件の波及効果違反が発生しました。

サードパーティのリスク管理に対する現在のアウトサイドインアプローチは不十分です。 代わりに、業界は、外部からの評価を超えて会話を開始することにより、サードパーティのリスク管理への新しいアプローチに移行する必要があります。 具体的には、企業はすべてのベンダーに対してゼロトラストの原則を確立し、外部および内部の資産のリスクを裏返しの評価で評価し、サイバーリスクをリアルタイムで測定する必要があります。

「決して信頼せず、常に検証する」ゼロトラストの原則は、内部環境を管理するために広く採用されており、組織はこの概念をサードパーティのリスク管理に拡張する必要があります。

これに対抗するために、企業はサプライヤーを自社のビジネスのサブセットと見なす必要があります。

差し迫った脅威

企業がサプライヤと共有する重要なデータと情報の量は驚異的です。 たとえば、企業は製造パートナーと知的財産を共有し、個人の健康情報(PHI)をクラウドサーバーに保存して保険会社と共有し、マーケティング代理店が顧客データと個人情報(PII)にアクセスできるようにすることができます。

これは氷山の一角に過ぎず、ほとんどの企業は氷山の実際のサイズを知らないことがよくあります。 Ponemon Instituteが実施した調査では、調査対象の企業の51%が、機密情報へのアクセスを許可する前に、サードパーティのサイバーリスクの姿勢を評価しなかったと述べています。 さらに、調査対象の企業の63%は、ベンダーがアクセスできるデータとシステム構成、アクセスできる理由、アクセス許可を持つユーザー、データの保存方法と共有方法についての可視性が不足していると述べています。

リアルタイムの情報を共有するこの広大な企業ネットワークは、管理がますます困難になっている広大な攻撃対象領域をもたらします。 この課題を克服するために、企業はサードパーティのリスク管理戦略でアンケートベースのオンボーディング調査やセキュリティ評価サービスなどのサイバーセキュリティイニシアチブを使用しています。

これらのツールには明確なユースケースがありますが、重大な制限もあります。

サイバーセキュリティ評価サービスは、サードパーティのリスク評価に対する迅速で費用効果の高いアプローチです。 プロバイダーのサイバーリスクを金融サービスのクレジットスコアのようにスコアとして表すという単純さは、制限があるにもかかわらず、人気のある選択肢となっています。

Leave a Comment

%d bloggers like this: