Zazwyczaj organizacje korzystają z bezpłatnych usług i narzędzi, gdy nie mają wystarczających zasobów finansowych, kupują narzędzia zabezpieczające, zatrudniają specjalistów lub zlecają niektóre zadania o krok wyżej.
Na przykład mogą korzystać z usług w chmurze lub oprogramowania udostępnianego przez większe firmy w celu zmniejszenia kosztów lub skorzystania z usług zewnętrznych dostawców.
Outsourcing ekonomiczny jest rzeczywiście skutecznym rozwiązaniem poprawiającym produktywność i eliminującym ograniczenia zasobów organizacyjnych. Mimo to stwarza wiele zagrożeń bezpieczeństwa, ponieważ musisz udostępniać swoje dane osobom lub firmom, o których nie wiesz, jak działają. Na przykład firmy te mogą nie korzystać z solidnych, zintegrowanych i aktualnych rozwiązań. Aby hakerzy mogli łatwo uzyskać dostęp do tych informacji i je niewłaściwie wykorzystać lub sfałszować. Z tego powodu zewnętrzni dostawcy odgrywają rolę w dużej liczbie włamań do informacji, bezpośrednio lub pośrednio.
Statystyki pokazują, że prawie 80 procent organizacji na świecie doświadczyło co najmniej jednego włamania informacji spowodowanego lukami w systemach stron trzecich.
Chociaż szkody spowodowane włamaniami do bezpieczeństwa są wysokie, organizacje nadal nie podejmują ryzyka związanego z korzystaniem z usług od zewnętrznych dostawców. Tylko 32 procent z nich na bieżąco ocenia te ryzyka i prowadzi badania na temat docelowych firm przed outsourcingiem.
Na przykład, jeśli chcesz korzystać z usług chmury korporacyjnej, zastanów się, czy dostawca usług uniemożliwia zaawansowanej strukturze anycast lub strukturze GSLB przeciwdziałanie atakom na usługę DNS, atakom UDP, TCP i ICMP w warstwach 3 i 4 sieci oraz zaawansowanym Ataki warstwy 7. W niektórych systemach wraz ze wzrostem żądań obciążenie systemu może wzrosnąć tak bardzo, że aplikacja nie będzie w stanie odpowiedzieć, a niektóre rekomendacje będą napotykać błędy.
W takim przypadku można odpowiedzieć na żądane obciążenie pracą, zwiększając zasoby aplikacji lub podnosząc podobne przykłady programów i równoważąc obciążenie pomiędzy tymi przykładami. Takie przypadki należy wziąć pod uwagę podczas korzystania z usług super-edgy.
Jak oceniamy wydajność organizacji zewnętrznych?
Przed rozpoczęciem współpracy z nową firmą należy najpierw ocenić narzędzia, usługi i mechanizmy bezpieczeństwa, z których korzysta, oraz porównać skuteczność oferowanych przez nią rozwiązań bezpieczeństwa z podejściami do bezpieczeństwa stosowanymi lub zamierzonymi w Twojej organizacji.
1. Znajomość pożądanego produktu i klasyfikacji zagrożeń
W pierwszym kroku musisz określić usługi świadczone przez firmę oraz wrażliwość danych, które zamierzasz udostępnić. Ponadto powinieneś sprawdzić zakres dostępu i kontroli, jaką firma posiada nad danymi oraz ocenić, czy te dostępy są akceptowane w Twojej organizacji. Ogólnie rzecz biorąc, zlecając zadania lub otrzymując usługi od firm zewnętrznych, najlepiej zwrócić uwagę na następujące istotne punkty:
Zagrożenia dla cyberbezpieczeństwa: oceń zasady procedur cyberbezpieczeństwa strony trzeciej oraz sposób, w jaki radzą sobie one z zagrożeniami bezpieczeństwa, a następnie ponownie rozważ tę współpracę, jeśli zauważysz jakiekolwiek luki.
Ryzyka związane ze standardami prawnymi: Ryzyka te są przede wszystkim związane z naruszeniami przepisów prawa, regulacji i standardów regulujących wewnętrzne i zewnętrzne polityki i procedury. Na przykład zgodnie z prawem HIPAA naruszenie lub wyciek informacji przez osobę trzecią może mieć dla Ciebie (konsumenta) poważne konsekwencje, ponieważ nie uwzględniłeś standardów i środków wymaganych do ochrony danych klientów.
Ryzyko kredytowe: Włamania do informacji dokonywane przez firmy zewnętrzne znacząco szkodzą reputacji Twojej organizacji. Poglądy ludzi na temat Twojej organizacji mogą się zmienić, co może skutkować niezadowoleniem klientów i skargami.
Ryzyko ekonomiczne: Firmy zewnętrzne często przedstawiają swoje obowiązki i zobowiązania w umowie prawnej z organizacją. Dlatego, aby uniknąć płacenia im wysokich kwot, warto przed zawarciem umowy dokładnie zapoznać się z klauzulami dotyczącymi kwestii finansowych.
2. Stosowanie modeli i narzędzi oceny bezpieczeństwa
Na tym etapie, korzystając ze wspólnych wzorców i narzędzi, należy przygotować różne cyfrowe kwestionariusze i oceny oraz ocenić bezpieczeństwo strony trzeciej. W tym celu lepiej jest wykorzystać kwestionariusze do zbierania informacji metodą standardową oraz kwestionariusz oceny bezpieczeństwa.
3. Zadawanie pytań związanych z bezpieczeństwem i ocena ryzyka oraz żądanie dokumentacji
Nie ma znaczenia, czy wyślesz ankietę do firmy, czy komunikujesz się z menadżerami telefonicznie. W każdym razie trzeba w pełni zrozumieć i podsumować możliwości firmy w zakresie bezpieczeństwa oraz ich wady. Oceniając sytuację firm zewnętrznych, zaleca się uzyskanie od nich niezbędnych dokumentów i zatwierdzeń oraz wykorzystanie ich w takich kwestiach, jak certyfikaty przemysłowe, takie jak SOC2, inicjatywy dotyczące ciągłości działania i odzyskiwania po awarii, polityki bezpieczeństwa informacji, sposoby szyfrowania w -wymiana i dane rezydenta, zasady i praktyki zatrudniania pracowników oraz wyniki zewnętrznych firm partnerskich.
Jeśli nie ocenimy wyników firm zewnętrznych, czy mogą wystąpić niekorzystne konsekwencje?
Brak przeglądu i oceny rozwiązań w zakresie wydajności i bezpieczeństwa firm zewnętrznych może stwarzać wiele zagrożeń dla bezpieczeństwa, zwłaszcza jeśli udostępniasz im dużą ilość informacji o użytkownikach lub transakcjach, a wyciek danych może zagrozić ich tożsamości lub wiarygodności. Niektóre zagrożenia bezpieczeństwa, które otrzymywały agencje, korzystają z usług firm zewnętrznych. Wśród tych zagrożeń są:
Strona trzecia firmy mogą kierować ataki phishingowe, a dane organizacyjne mogą być narażone na poważne ryzyko.
Jeśli celem ataku złośliwego oprogramowania jest firma zewnętrzna, zanieczyszczenie prawdopodobnie rozprzestrzeni się na systemy firm partnerskich.
Czasami firmy zewnętrzne mogą utracić dostęp do określonych systemów, co negatywnie wpłynie na Twoją działalność biznesową i spowoduje utratę krytycznych i wrażliwych danych.
Prawdopodobne jest również, że osoba atakująca lub złośliwe oprogramowanie ukradnie dane organizacyjne.
Pobierz bezpłatne motywy WordPress PremiumPobierz najlepsze motywy WordPress do pobrania za darmoPobierz zerowe motywy WordPressPobierz motywy WordPresskurs udemy do pobrania za darmopobierz oprogramowanie CoolpadaPobierz najlepsze motywy WordPress do pobrania za darmobezpłatny kurs online