Der er mange måder at øge sikkerheden i en virksomhed på. Dette inkluderer at gøre netværk mere sikre og uddanne personale til ikke at falde for social engineering. En type risiko, der ofte overses, er tredjepartsrisici.
Hvis en virksomhed bliver hacket, kan angriberen ofte påføre enhver virksomhed, der er forbundet til den, skade. Så hvis en af dine tredjeparter er let at angribe, kan din virksomhed være i fare indirekte.
Tredjeparts risikostyring er designet til at reducere dette problem. Så hvad er tredjeparts risikostyring, og hvordan skal det implementeres? Lad os finde ud af det nedenfor.
Hvad er en tredjepart?
En tredjepart er enhver enhed, som din virksomhed arbejder med. Det inkluderer dine leverandører, dine leverandører, dine forretningspartnere og de tjenesteudbydere, du bruger. Disse virksomheder leverer muligvis kun en lille del af din virksomhed, men det forhindrer dig ikke i at stole på dem.
Mange tredjeparter kræver også adgang til din virksomheds netværk for at kunne udføre deres rolle. Det betyder, at hvis de bliver hacket, så er dit netværk det også.
Hvad er tredjepartsrisikostyring?
Tredjeparts risikostyring er praksis med at identificere og reducere de risici, der opstår ved at arbejde med tredjeparter. Det indebærer at se på, hvem du i øjeblikket arbejder med, finde ud af, hvilke risici de står over for, og opstille sikkerhedsforanstaltninger for at beskytte din virksomhed mod dem.
Selvom det ikke er muligt at undgå at arbejde med tredjeparter, er formålet med tredjeparts risikostyring at gøre det så sikkert som muligt. Afhængigt af din virksomhed kan dette indebære brug af forskellige tredjeparter eller isolering fra dem, du har.
Hvorfor er tredjepartsrisikostyring vigtig?
Det er vigtigt ikke at undervurdere risikoen fra tredjeparter. Her er et par grunde til:
Virksomheder er i stigende grad afhængige af tredjeparter
På grund af den øgede lethed ved outsourcing er mange virksomheder nu afhængige af tredjeparter til alt fra datalagring til løn. De fleste virksomheder ville ikke være i stand til at fungere ordentligt, hvis en vigtig tredjepart blev udsat for et alvorligt nok angreb.
Tredjeparts sikkerhed varierer meget
Tredjeparters sikkerhedspraksis varierer meget. At forstå, hvilke parter der udgør en risiko for din virksomhed, kræver ofte omhyggelig undersøgelse. Tredjeparts risikostyring sikrer, at du forstår hver parts sikkerhedsposition og erstatter dem, hvor det er nødvendigt.
Tredjeparter får ofte adgang til dit netværk
Tredjeparter kræver ofte adgang til dit netværk. Det er derfor almindeligt, at tredjeparter får deres egne brugeroplysninger. Hvis de legitimationsoplysninger er stjålet, kan hackeren få adgang til dit netværk.
Du er ansvarlig for angreb fra tredjepart
Tredjeparter opbevarer ofte fortrolige oplysninger; derfor vil din virksomhed være ansvarlig, hvis tredjeparten bliver hacket, og den information bliver stjålet. Lækker din kundes oplysninger, er du ansvarlig, selvom det var tredjepartens skyld. Dette åbner ikke kun din virksomhed op for omdømmeskader, men kan også gøre dig modtagelig for retsforfølgelse.
Sådan implementeres tredjeparts risikostyring
Tredjeparts risikostyring er en bred aktivitet, og de specifikke skridt, der tages, afhænger af størrelsen af en virksomhed og typen af tredjeparter, den arbejder med. De fleste virksomheder vil dog drage fordel af følgende trin:
Inventar Alle tredjeparter
For at forstå risikoen for din virksomhed, skal du have en fortegnelse over alle tredjeparter, som du i øjeblikket arbejder med. Denne beholdning bør omfatte alle tredjeparter uanset størrelse. Du bør også dokumentere, hvilke dele af dit netværk og data, der er tilgængelige for hver enkelt.
Kategoriser tredjeparter efter risiko
Tredjeparter varierer meget med hensyn til risiko. Derfor bør en virksomhed kategorisere hver tredje part efter deres risikoniveau. Dette indebærer at se på, hvad der kan ske, hvis de bliver hacket, og sandsynligheden for, at det sker. Dette er vigtigt, fordi det giver dig mulighed for først at fokusere på de højrisiko tredjeparter.
Overvej alle risici
Tredjeparts risikostyring handler ikke kun om cybersikkerhedsrisiko. De kan skade din virksomhed på mange måder, der ikke involverer, at de bliver hacket. Hvis de af en eller anden grund holder op med at levere den aftalte service, kan din virksomhed komme i problemer. Og hvis deres omdømme er skadet, så er dit omdømme også ved tilknytning. Derfor bør risikovurderingen omfatte alle potentielle risici, ikke kun sikkerhed.
Få yderligere oplysninger fra tredjeparter
Tredjeparts risikostyring kræver en masse oplysninger om tredjeparter, normalt indhentet ved at sende spørgeskemaer. Det er almindelig praksis, og du kan købe standardiserede spørgeskemaer designet til dette formål. Det kan du selvfølgelig også lave dine egne spørgeskemaer, men du skal forstå, hvilke spørgsmål du skal stille, før du går denne rute.
Minimer risiciene
Når du har lavet en opgørelse over alle tredjeparter og deres risici, kan du forsøge at reducere risiciene. Dette kan involvere justering af dit netværk, såsom at begrænse adgangen eller anmode om, at tredjeparter implementerer yderligere sikkerhedspolitikker. Nogle gange kan det også involvere at ændre de tredjeparter, du arbejder med.
Konfigurer tredjepartsovervågning
Tredjeparts risikostyring er en kontinuerlig proces, der kræver regelmæssig overvågning. Du kan manuelt overvåge tredjeparter ved at udføre regelmæssige vurderinger. Eller du kan bruge software, der overvåger tredjeparter automatisk. Tredjeparter kan ændre deres adfærd, og de trusler, de står over for, ændrer sig konstant.
Gentag for nye tredjeparter
Du bør gentage ovenstående trin, hver gang du indleder et nyt tredjepartsforhold. Alle yderligere tredjeparter bør undersøges omhyggeligt og udvælges i henhold til den risiko, de udgør. Du bør kun give hver af dem det niveau af netværk og dataadgang, der er nødvendigt for at udføre deres formål.
Hav en hændelsesplan
Hændelsesberedskabsplanlægning er processen med at skabe procedurer, som du kan udføre i tilfælde af en sikkerhedshændelse. Tredjeparts risikostyring forhindrer ikke nødvendigvis tredjepartshændelser, men den kan bruges til bedre at forudsige dem, der med størst sandsynlighed vil opstå. Hændelsesplanlægning bør derefter udføres for at forberede disse begivenheder.
Tredjeparts risikostyring er vigtig for enhver virksomhed
Virksomheder er nu afhængige af tredjeparter for en bred vifte af tjenester. Det er heller ikke ualmindeligt, at de får adgang til sikre netværk og er ansvarlige for at opbevare private kundeoplysninger. I dette scenarie kan et angreb på en sådan part have betydelige konsekvenser.
Tredjeparts risikostyring er en stadig vigtigere del af sikringen af en virksomhed. Alle virksomheder bør klart forstå, hvem de arbejder med, hvilke risici de involverer, og hvordan de kan afbøde disse risici.
