home Teknologi Manufaktur Peralatan Manufaktur
Manufaktur industri
Industri Internet of Things | bahan industri | Pemeliharaan dan Perbaikan Peralatan | Pemrograman industri |
home  MfgRobots >> Manufaktur industri >  >> Manufacturing Technology >> Teknologi Industri

Lima Pertanyaan untuk Ditanyakan Tentang Vendor Pihak Ketiga dan Keamanan Siber

Dari konsultan pemasaran dan mitra rantai pasokan hingga akuntan dan penyedia layanan TI, organisasi saat ini bergantung pada semua jenis pihak ketiga untuk hampir setiap fungsi bisnis yang memungkinkan.

Menurut penelitian Ponemon Institute baru-baru ini, konsekuensi yang tidak diinginkan dari ketergantungan pihak ketiga adalah bahwa 61% organisasi di A.S. telah mengalami pelanggaran data yang disebabkan oleh pihak ketiga atau vendor. Lima puluh tujuh persen bisnis tidak dapat menentukan apakah kebijakan dan pertahanan keamanan vendor mereka dapat secara memadai mencegah pelanggaran, dan kurang dari setengahnya mengevaluasi praktik keamanan dan privasi vendor sebelum memulai perjanjian bisnis yang mewajibkan pembagian informasi sensitif atau rahasia .

Oleh karena itu, tidak mengherankan bahwa menurut penelitian yang sama hanya 16 persen responden yang menilai perusahaan mereka “sangat efektif” dalam mengurangi risiko pihak ketiga. Faktanya, mereka yang memprioritaskan pengelolaan risiko outsourcing mereka adalah minoritas.

Waktu terbaik untuk mulai mengurangi risiko pihak ketiga adalah di awal hubungan — sebelum membuat kesepakatan. Saat itulah Anda perlu mengajukan pertanyaan kritis untuk mengidentifikasi kemungkinan paparan yang Anda hadapi, dan cara terbaik untuk menghindari kompromi. Vendor dengan praktik keamanan yang kuat biasanya bersedia membicarakannya, sementara vendor yang menghindari diskusi semacam itu mungkin memiliki sesuatu yang mereka sembunyikan. Dengan mengingat hal itu, berikut adalah lima pertanyaan — satu pertanyaan internal dan empat pertanyaan untuk kandidat serius — yang harus Anda tanyakan saat mempertimbangkan pihak ketiga:

Data dan sistem apa yang akan dimiliki atau diakses oleh pihak ketiga? Banyak pihak ketiga tidak akan memiliki akses ke data atau sistem sensitif, jadi jika mereka mengalami pelanggaran, ancaman terhadap Anda minimal. Vendor lanskap, misalnya, memiliki sedikit akses ke data atau sistem, dan kemungkinan tidak ada akses ke interior fasilitas apa pun. Mungkin satu-satunya jaringan komputerisasi yang dapat diaksesnya adalah sistem irigasi, yang kemungkinan besar akan diisolasi dari sistem internal perusahaan. Oleh karena itu, potensi pelanggaran apa pun terhadap vendor lanskap hipotetis ini diperkirakan akan berdampak kecil atau tidak berdampak sama sekali.

Sebaliknya, penyedia SDM, sistem keuangan, atau vendor akan sangat berbeda. Misalnya, jika Anda menyewa konsultan untuk mengembangkan analisis pelanggan untuk mendukung strategi pemasaran atau bisnis, entitas tersebut mungkin memiliki akses ke data perusahaan yang mencakup nomor kartu kredit pelanggan dan alamat rumah, atau keuangan perusahaan. Jenis konsultan ini harus diperiksa dengan cermat.

Jenis pencatatan dan pemantauan apa yang dilakukan pihak ketiga? Pencatatan dan pemantauan adalah cara utama organisasi mencatat dan merespons aktivitas di dalam lingkungannya. Tetapi log aktivitas sistem dan jaringan bertele-tele. Dan di lingkungan komputasi modern saat ini, yang terdiri dari beberapa sistem yang beragam dan jaringan bandwidth tinggi, volume peristiwa log dengan cepat menjadi sangat besar untuk dikelola oleh manusia. Untuk memantau peristiwa keamanan dengan benar, alat harus digunakan untuk menyimpan dan melakukan triase peristiwa ini. Dengan mengetahui personel vendor dan pilihan alat, Anda akan memahami betapa seriusnya keamanan. Bagaimanapun, orang + alat =uang =sumber daya =prioritas. Cari mitra yang memprioritaskan dan berinvestasi dalam keamanan.

Bagaimana cara pihak ketiga mengelola kontrol akses fisik dan teknis? Kontrol akses adalah salah satu cara untuk mengurangi kerentanan, dan karena itu risiko. Mereka mengambil dua bentuk utama:fisik dan teknis. Di dunia kita yang sangat terhubung, mudah untuk melupakan pentingnya kontrol fisik. Anda perlu mengidentifikasi lokasi fisik tempat pihak ketiga menyimpan, memproses, dan mengirimkan data, serta tingkat keamanan fisik di lokasi tersebut. Jika data Anda akan disimpan di perangkat seluler, penting untuk memahami kontrol keamanan yang terkait dengan perangkat tersebut, karena perangkat tersebut mungkin tidak selalu berada di lokasi fisik yang statis.

Kontrol akses teknis juga penting untuk penilaian sistem dan jaringan. Tanyakan berapa banyak individu yang akan memiliki akses ke data Anda, dan untuk tujuan apa. Pahami bagaimana pihak ketiga menggunakan autentikasi multifaktor, seberapa sering pengguna di grup administrator ditinjau, seberapa sering izin sistem ditinjau, dan bagaimana akses karyawan yang keluar dihapus. Selain itu, pelajari bagaimana praktik dan alat segmentasi jaringan digunakan. Misalnya, kontrol apa yang ada untuk mengisolasi sistem produksi dari lingkungan lain seperti internet? Bagaimana pihak ketiga menyegmentasikan jaringan internalnya?

Sering kali kontrol akses fisik yang baik dapat mengimbangi kontrol teknis yang lemah, dan sebaliknya. Namun praktik terbaik adalah membatasi akses fisik dan teknis ke data dan sistem hanya untuk individu yang diperlukan untuk menyediakan layanan. Kontrol akses yang lemah membuka permukaan serangan dan meningkatkan risiko Anda.

Pendekatan apa yang dilakukan pihak ketiga untuk menambal sistem? Sementara kerentanan yang tidak diketahui atau tidak diungkapkan sangat dramatis dan mendapat banyak perhatian, mereka jarang terjadi. Organisasi lebih berisiko untuk diketahui daripada kerentanan yang tidak diketahui. Akibatnya, pihak ketiga harus memiliki program yang kuat untuk memperbaiki kerentanan yang diketahui, dengan menerapkan patch keamanan dengan cepat yang memperbarui kelemahan dan menghapus perangkat lunak rentan yang mendasarinya.

Vendor perangkat lunak utama merilis pembaruan secara teratur. Dalam peninjauan Anda terhadap pihak ketiga, Anda perlu diyakinkan bahwa sistem yang memproses, menyimpan, dan mengirimkan data Anda akan menerima pembaruan rutin dan tepat waktu, dan bahwa proses yang dipercepat ada untuk kerentanan langsung dan kritis.

Apakah pihak ketiga menjalani audit atau pengujian independen? Sertifikasi keamanan apa yang diperolehnya? Audit membuat organisasi tetap akuntabel. Pihak ketiga harus mengaudit sendiri dengan melengkapi dan menyimpan kuesioner keamanan standar saat ini seperti SIG Lite atau CSA CAIQ. Selain penilaian mandiri, audit independen memberi Anda ketenangan pikiran bahwa pihak ketiga mengikuti kebijakan dan prosedurnya. Audit independen mungkin termasuk tes penetrasi atau SOC 2. Beberapa industri memiliki sertifikasi mereka sendiri seperti HITRUST dalam perawatan kesehatan, PCI untuk pemroses pembayaran, dan FedRAMP di pemerintah federal AS. Dalam semua kasus, audit independen itu penting, dan menunjukkan komitmen untuk mempertahankan program keamanan informasi formal yang tervalidasi.

Secara kolektif, diskusi seputar area utama ini akan memberi Anda gambaran tentang postur keamanan vendor. Jika jawaban vendor transparan dan menunjukkan prioritas strategis dan ketekunan proaktif, Anda dapat bergerak maju dengan lebih percaya diri. Jika postur keamanan vendor belum matang, Anda harus menerima risikonya, atau mempertimbangkan mitigasi lain untuk mengendalikannya.

Jangan biarkan keamanan data menjadi renungan. Jadikan itu sebagai bagian integral dari diskusi produk dan layanan. Dalam lingkungan serangan yang banyak dan rumit saat ini, keamanan siber adalah masalah bisnis. Anda harus melakukan uji tuntas untuk memahami risiko Anda.

Jeremy Haas adalah kepala petugas keamanan, dan Ryan Bergquist adalah analis keamanan siber, dengan Solusi Dunia Maya LookingGlass .


Teknologi Industri

  • Proses manufaktur
  • pencetakan 3D
  • Sistem Kontrol Otomatisasi
  • Teknologi Industri
    1. Pertanyaan untuk Ditanyakan Sebelum Melanjutkan
    2. Tiga pertanyaan yang harus ditanyakan oleh operator jaringan tentang keamanan IoT
    3. Lima Langkah Cisco untuk Keamanan Siber Pihak Ketiga yang Efektif
    4. Lima Pertanyaan untuk Menguji Strategi Bisnis Pasca-Pandemi Anda
    5. Lima Pertanyaan untuk Ditanyakan Saat Memilih Mitra Outsourcing
    6. 3 Pertanyaan Penting untuk Ditanyakan Sebelum Memutar Ulang Alternator Anda
    7. 3 Pertanyaan Penting Untuk Ditanyakan Sebelum Mengganti Switchgear
    8. 6 Pertanyaan Umum Tentang Pemotongan Laser
    9. Tanya Jawab Tentang Pembuatan Lampu Mati
    10. Pertanyaan Umum Tentang Pengecoran Pasir