Обеспечьте своим поставщикам одинаковую частоту кибербезопасности

Опубликовано: 30 Марта, 2023
Обеспечьте своим поставщикам одинаковую частоту кибербезопасности

Ваш бизнес зависит от поставщиков , которые поставляют продукты и услуги вашим клиентам. Тем не менее, глобализация также сделала высококонкурентные сложные цепочки поставок поставщика проблемой для безопасности бизнеса.

Работа с поставщиками посредством интеграции цепочки поставок означает, что вы можете эффективно передавать деятельность на аутсорсинг. И наоборот, это также представляет риски кибербезопасности поставщиков . В отличие от жесткого внутреннего контроля безопасности, вам приходится бороться с гораздо более широким подходом . Интеграция вашей цепочки поставок становится слабостью как для вас, так и для ваших поставщиков.

Многие кибератаки можно отследить до поставщика . В 2013 году американский ритейлер Target столкнулся с серьезной утечкой данных. Киберпреступники использовали учетные данные от поставщика HVAC для получения доступа. Клиенты компании HVAC также подверглись бы риску. Это дает киберпреступникам возможность атаковать несколько компаний одновременно . По сути, это то, что вам нужно учитывать при оценке цепочки поставок вашего собственного бизнеса.

Вы не должны оставлять кибер-риски поставщика на волю случая. В этой статье я покажу вам, как вы можете управлять безопасностью вашего поставщика. Однако сначала давайте посмотрим, как могут возникать угрозы поставщиков.

Изображение 9857
Если кибербезопасности вашего поставщика не хватает, вы сидите утка!

Угрозы кибербезопасности поставщиков

Векторы атак , которые киберпреступники используют для проникновения в любой бизнес, одинаковы. И наоборот, все предприятия уникальны и имеют разные меры и политики безопасности . Самая слабая политика безопасности поставит под угрозу всю цепочку поставок. Действия, приводящие к киберрискам, включают:

  • Слабая политика кибербезопасности
  • Перенос данных компании на персональные устройства
  • Столкнувшись со слабой осведомленностью сотрудников о кибербезопасности
  • Совместное использование паролей
  • Подверженность фишинговым атакам и вредоносным программам
  • Потеря или кража мобильного устройства

Основной проблемой при использовании продукта или услуги поставщика является брешь, которая может раскрыть ваши данные . Эти утечки данных также повлияют на вашу безопасность и подорвут доверие клиентов . Проверим как.

Как уязвимости цепочки поставок влияют на внутреннюю кибербезопасность

Поскольку нарушение поставщиком происходит в другом месте, оно может остаться незамеченным , и может пройти некоторое время, прежде чем вы его обнаружите. Это может привести к значительной потере данных и простою системы . Вы также можете непреднамеренно передать вредоносное ПО своим клиентам.

Часто киберпреступники не проявляют никакого интереса к поставщику. Вместо этого они используют их как средство для получения доступа к более ценным целям .

Вот почему вы должны активно управлять кибербезопасностью своей цепочки поставок . Вопрос: как вы это делаете?

Как управлять кибербезопасностью цепочки поставок?

Надежная кибербезопасность цепочки поставок не возникает случайно. Затем вы должны взять на себя инициативу в поощрении и содействии соблюдению лучших практик . Рассмотрим эти 4 способа эффективного управления кибербезопасностью поставщиков :

1. Оценка риска

Подойдите к управлению рисками с превентивного подхода, а не постфактум. Это связано с тем, что понимание рисков посредством ранней оценки рисков имеет решающее значение для планирования защиты вашей компании. Вы также должны принять меры по включению этого в процесс заключения контракта .

Любой поставщик, имеющий доступ к конфиденциальным данным о клиентах, сотрудниках или организациях, должен сначала пройти проверку. Некоторые поставщики, естественно, будут нести больший киберриск и должны будут пройти более тщательную оценку. Это, вероятно, будет включать посещение объекта и осмотр.

Тем не менее, оценка рисков не является разовой задачей, которую должен выполнять бизнес. Крайне важно выполнять их каждые один-три года , в зависимости от уровня риска поставщика. Оценка должна охватывать политики, процессы и процедуры, установленные поставщиком. Он также должен гарантировать, что системы кибербезопасности поставщиков безопасны и соответствуют передовым практикам .

Вы также должны понимать уровень безопасности вашего поставщика и его положение в вашей цепочке поставок. Исходя из этого, вы можете определить, защищены ли вы с их текущими средствами контроля и мерами. Тем не менее, вам следует поискать в другом месте, если вы обнаружите, что их безопасность слабая.

2. Ввести многоуровневое требование безопасности на основе рисков

Помимо наличия политики кибербезопасности для ваших поставщиков, ваш подход с большей вероятностью будет успешным, если вы определите уровни на основе риска . Строгая безопасность для критически важных поставщиков и смягченные правила для поставщиков с низким уровнем риска дадут вам сбалансированный ответ на вопросы безопасности.

Требования , которые вы устанавливаете для каждого поставщика, могут значительно различаться . Возможно все, от GDPR до осведомленности и обучения. Тем не менее, вам не нужно изобретать велосипед. Например, британский стандарт Cyber Essentials является хорошо зарекомендовавшим себя стандартом для проверки кибер-рисков вашего поставщика. Индустрия платежных карт также имеет PCI-DSS . Найдите стандарты, соответствующие вашим бизнес-требованиям, и согласуйте их там, где это уместно, чтобы ничего не упустить.

Вы можете потребовать, чтобы поставщики с высоким риском использовали решение для управления жизненным циклом продукта (PLM) для контроля и аудита.

Обратите внимание, что требования к поставщикам с самым высоким риском должны быть надежными, но также достижимыми. Не в ваших интересах устанавливать стандарты, из -за которых любому поставщику будет слишком дорого работать с вами. Скорее всего, они переложат эти расходы на вас.

Изображение 9858
Ваши поставщики должны знать, что их кибербезопасность — это ваша кибербезопасность!

3. Содействуйте обучению кибербезопасности

Вы можете отследить многие инциденты кибербезопасности до непреднамеренных действий или бездействия человека. Это означает, что кибербезопасность — это также человеческая проблема, а не только технологическая. Вот почему проведение регулярных внутренних тренингов по кибербезопасности помогает сократить количество нарушений безопасности. Обучение полезно не только вашим сотрудникам, но и вашим поставщикам и клиентам.

Поставщик не будет обучать всю свою организацию работе с вашими данными. Тем не менее, любой сотрудник, работающий с вашими конфиденциальными данными, также должен быть в курсе лучших практик. Обучение должно охватывать:

  • Управление Интернетом
  • Осведомленность об угрозах в электронной почте и социальных сетях
  • Защита паролем
  • Ответ на угрозу
  • Обработка данных жалоб
  • управление данными PLM; где применимо

Вы хотите, чтобы персонал поставщика знал о распространенных угрозах , а также о том, как на них реагировать. Регулярное обучение кибербезопасности также должно быть требованием безопасности в рамках политики вашего поставщика . Вот почему вы должны начать распространять полезные ресурсы и советы по вашей цепочке поставок, чтобы помочь вашей собственной безопасности.

4. Подавайте пример

Ваши поставщики не являются вашими сотрудниками . У них также нет контракта, чтобы делать то, что хочет ваша компания. Тем не менее, продавцы читают реплики и понимают обязательства . Вот почему важно задавать правильный тон при обращении к поставщикам. Последнее, что вам нужно, это чтобы ваши поставщики думали, что вы предъявляете им строгие требования, которых не соблюдаете.

Вы всегда можете поискать другого поставщика , но лучше избежать этого трудоемкого процесса. Это стоит вам времени и влияет на вашу прибыль . Вот почему рекомендуется поощрять уже существующих поставщиков соблюдать ваши требования кибербезопасности, чтобы сэкономить деньги вашей компании. Да, вы платите за продукт или услугу, но вы также хотите развивать долгосрочные партнерские отношения.

Один из способов добиться согласованности с поставщиками — это подавать личный пример . Таким образом, вы получаете опыт, которым можете поделиться со своими поставщиками. Это включает в себя используемые инструменты, стандарты, которым необходимо следовать , и обучение, которому необходимо следовать.

Последние мысли

Поставщики могут быть слепым пятном в плане безопасности , поскольку цепочки поставок растут в размерах и усложняются. Киберзащищенная цепочка поставок является активом для вашего бизнеса. Таким образом, перевод ваших поставщиков на тот же уровень управления кибербезопасностью , что и у вас, не является разовым событием . Ежедневное рассмотрение поможет обеспечить стабильный рост бизнеса без эксплуатации, влияющей на вашу прибыль.

Вы также должны работать над созданием системы безопасности, пропорциональной уровню риска поставщиков и их подверженности злоумышленникам. На самом деле вы никогда не сможете полностью устранить киберриски в своей цепочке поставок. В конце концов, вы имеете дело с автономными объектами , сохраняющими полное управление и контроль. Тем не менее, это помогает уменьшить предотвратимые инциденты безопасности и гарантирует, что вы будете менее уязвимы для атак.

Часто задаваемые вопросы

Что такое PLM и как его используют поставщики?

Программное обеспечение для управления жизненным циклом продукта (PLM) согласовывает этапы рабочего процесса данных с жизненным циклом продукта. Некоторые цепочки поставок, которые создают продукты, используют их для управления своими данными. PLM также защищают данные компании и данные журналов, экспортируемые во внешние компании. Тем не менее, у вас не будет никакого контроля над вашими данными , как только они попадут к другим. В связи с этим он помогает проводить аудит данных и выявлять утечки данных . Вы даже можете предоставлять гостевые учетные записи сторонним поставщикам. Это позволяет им работать над внутренними проектами с использованием VPN.

Что такое Стандарт безопасности данных индустрии платежных карт (PCI-DSS)?

PCI-DSS — это стандарт безопасности , направленный на защиту транзакций по дебетовым и кредитным картам от мошенничества и кражи данных. Это помогает предприятиям защищать себя и поставщиков, используя современные передовые методы обеспечения безопасности.

Что такое Общее положение о защите данных (GDPR)?

GDPR — это закон Европейского Союза о защите данных и конфиденциальности , вступивший в силу в мае 2018 года. Он налагает требования на любую организацию, которая собирает или обрабатывает данные граждан ЕС. Это также означает, что идентификация персонала с помощью камер видеонаблюдения или маркетинговых материалов является конфиденциальной информацией . Вот почему теперь компаниям необходимо получать подписанные версии для использования и хранения этих данных. Это связано с тем, что идентификация людей без согласия является нарушением конфиденциальности в соответствии с GDPR.

Почему осведомленность о кибербезопасности так важна?

Сотрудники — самое слабое звено в вашей инфраструктуре безопасности . Вооруженные правильной информацией о кибербезопасности , сотрудники являются жизненно важным активом для вашей киберзащиты. В цепочке поставок вам также необходимо распространять одни и те же политики и лучшие практики среди поставщиков.

Сколько в среднем времени требуется для обнаружения и пресечения утечки данных?

Согласно отчету IBM о стоимости утечки данных за 2021 год , на это уходит 287 дней . Это может быть связано с финансовыми потерями и подрывом доверия клиентов . В некоторых случаях утечки данных также наносят непоправимый ущерб компании и вынуждают ее закрыться. Если вы серьезно относитесь к мерам безопасности цепочки поставок, вы также снижаете риск утечки данных.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023