Vijf vragen over externe leveranciers en cyberbeveiliging

Van marketingconsultants en supply chain-partners tot accountants en IT-serviceproviders, organisaties zijn tegenwoordig voor vrijwel elke denkbare zakelijke functie afhankelijk van allerlei derde partijen.

Volgens recent onderzoek van het Ponemon Institute is het onbedoelde gevolg van afhankelijkheden van derden dat 61% van de organisaties in de VS te maken heeft gehad met een datalek dat is veroorzaakt door een derde partij of leverancier. Zevenenvijftig procent van de bedrijven kan niet bepalen of het beveiligingsbeleid en de verdediging van hun leveranciers een inbreuk adequaat kunnen voorkomen, en minder dan de helft evalueert de beveiligings- en privacypraktijken van leveranciers voordat ze een zakelijke overeenkomst aangaan die het delen van gevoelige of vertrouwelijke informatie vereist .

Het is daarom niet verwonderlijk dat volgens hetzelfde onderzoek slechts 16 procent van de respondenten hun bedrijf beoordeelde als "zeer effectief" in het verminderen van risico's van derden. In feite zijn degenen die prioriteit geven aan het beheer van hun uitbestedingsrisico's in de minderheid.

De beste tijd om het risico van derden te verminderen, is helemaal aan het begin van de relatie, voordat u een overeenkomst aangaat. Dat is het moment waarop u kritische vragen moet stellen om de mogelijke blootstelling die u aangaat te identificeren en hoe u een compromis het beste kunt vermijden. Verkopers met sterke beveiligingspraktijken zijn meestal bereid om over hen te praten, terwijl degenen die dergelijke discussies vermijden misschien iets hebben dat ze verbergen. Met dat in gedachten zijn hier vijf vragen — één intern en vier voor serieuze kandidaten — die u moet stellen wanneer u een derde partij overweegt:

Welke gegevens en systemen zal de derde partij bezitten of openen? Veel derde partijen hebben geen toegang tot gevoelige gegevens of systemen, dus als ze een inbreuk ervaren, is de bedreiging voor u minimaal. Een leverancier van groenvoorzieningen heeft bijvoorbeeld weinig toegang tot gegevens of systemen en waarschijnlijk ook niet tot het interieur van een faciliteit. Misschien is het enige geautomatiseerde netwerk waartoe het toegang kan krijgen een irrigatiesysteem, dat meer dan waarschijnlijk geïsoleerd zou zijn van interne bedrijfssystemen. Daarom wordt verwacht dat elke mogelijke inbreuk op deze hypothetische landschapsleverancier weinig tot geen impact zal hebben.

Een HR-provider, financieel systeem of leverancier daarentegen zou heel anders zijn. Als u bijvoorbeeld een consultant hebt ingehuurd om klantanalyses te ontwikkelen ter ondersteuning van de marketing- of bedrijfsstrategie, heeft die entiteit mogelijk toegang tot bedrijfsgegevens, waaronder creditcardnummers en thuisadressen van klanten, of bedrijfsfinanciën. Dit type consultant moet zorgvuldig worden doorgelicht.

Wat voor soort logging en monitoring doet de derde partij? Logging en monitoring zijn de belangrijkste manieren waarop een organisatie activiteiten binnen haar omgeving vastlegt en erop reageert. Maar systeem- en netwerkactiviteitenlogboeken zijn uitgebreid. En in de moderne computeromgevingen van vandaag, die zijn samengesteld uit meerdere verschillende systemen en netwerken met hoge bandbreedte, wordt het volume aan loggebeurtenissen al snel overweldigend voor een mens om te beheren. Om beveiligingsgebeurtenissen goed te bewaken, moeten tools worden ingezet om deze gebeurtenissen op te slaan en te sorteren. Door het personeel en de gereedschapkeuzes van de leverancier te kennen, begrijpt u hoe serieus het bedrijf beveiliging neemt. Immers, mensen + tools =geld =resources =prioriteiten. Zoek naar partners die prioriteit geven aan en investeren in beveiliging.

Hoe beheert de derde partij zowel fysieke als technische toegangscontroles? Toegangscontroles zijn een manier om kwetsbaarheid en dus risico's te verminderen. Ze nemen twee primaire vormen aan:fysiek en technisch. In onze hyperverbonden wereld is het gemakkelijk om het belang van fysieke controle te vergeten. U moet de fysieke locaties identificeren waar de derde partij gegevens opslaat, verwerkt en verzendt, evenals het niveau van fysieke beveiliging op die locaties. Als uw gegevens op mobiele apparaten moeten worden opgeslagen, is het belangrijk om de beveiligingsmaatregelen van die apparaten te begrijpen, aangezien deze zich niet altijd op een statische fysieke locatie bevinden.

Technische toegangscontroles zijn ook belangrijk voor de beoordeling van systemen en netwerken. Vraag hoeveel personen toegang hebben tot uw gegevens en met welk doel. Begrijp hoe de derde partij multi-factor authenticatie gebruikt, hoe vaak gebruikers in de beheerdersgroep worden gecontroleerd, hoe vaak systeemmachtigingen worden gecontroleerd en hoe de toegang van vertrekkende werknemers wordt verwijderd. Leer daarnaast hoe praktijken en tools voor netwerksegmentatie worden gebruikt. Welke controles zijn er bijvoorbeeld om productiesystemen te isoleren van andere omgevingen zoals internet? Hoe segmenteert de derde partij zijn interne netwerk?

Vaak kunnen goede fysieke toegangscontroles zwakke technische controles compenseren, en vice versa. Maar de beste praktijk is om de fysieke en technische toegang tot gegevens en systemen te beperken tot die personen die nodig zijn om de service te verlenen. Lakke toegangscontroles openen het aanvalsoppervlak en verhogen uw risico.

Welke benaderingen hanteert de derde partij bij het patchen van systemen? Hoewel onbekende of niet bekendgemaakte kwetsbaarheden dramatisch zijn en veel aandacht krijgen, zijn ze zeldzaam. Organisaties lopen meer risico op bekende dan onbekende kwetsbaarheden. Dientengevolge moeten derde partijen robuuste programma's hebben om bekende kwetsbaarheden te verhelpen, door snel beveiligingspatches toe te passen die fouten bijwerken en de onderliggende kwetsbare software verwijderen.

Grote softwareleveranciers brengen regelmatig updates uit. Bij uw beoordeling van derden moet u ervan overtuigd zijn dat de systemen die uw gegevens verwerken, opslaan en verzenden regelmatig en tijdig worden bijgewerkt en dat er versnelde processen bestaan ​​voor onmiddellijke en kritieke kwetsbaarheden.

Ondergaat de derde partij onafhankelijke audits of tests? Welke beveiligingscertificeringen heeft het verdiend? Audits houden organisaties verantwoordelijk. Derden dienen zelfcontrole uit te voeren door actuele gestandaardiseerde beveiligingsvragenlijsten in te vullen en bij te houden, zoals de SIG Lite of CSA CAIQ. Naast zelfbeoordelingen geven onafhankelijke audits u gemoedsrust dat de derde partij zijn beleid en procedures volgt. Onafhankelijke audits kunnen penetratietests of SOC 2 omvatten. Sommige industrieën hebben hun eigen certificeringen zoals HITRUST in de gezondheidszorg, PCI voor betalingsverwerkers en FedRAMP in de Amerikaanse federale overheid. In alle gevallen zijn onafhankelijke audits belangrijk en tonen ze de toewijding aan het onderhouden van een gevalideerd, formeel informatiebeveiligingsprogramma.

Gezamenlijk zullen discussies over deze belangrijke gebieden u een idee geven van de beveiligingshouding van een leverancier. Als de antwoorden van de leverancier transparant zijn en wijzen op strategische prioriteit en proactieve zorgvuldigheid, kunt u met meer vertrouwen vooruit. Als de beveiligingshouding van de leverancier onvolwassen is, moet u het risico accepteren of andere maatregelen overwegen om het te beheersen.

Laat gegevensbeveiliging geen bijzaak zijn. Maak het een integraal onderdeel van discussies over producten en diensten. In de huidige omgeving van omvangrijke en ingewikkelde aanvallen is cyberbeveiliging is een zakelijke aangelegenheid. U moet uw due diligence doen om uw risico te begrijpen.

Jeremy Haas is Chief Security Officer en Ryan Bergquist is cybersecurity-analist, met LookingGlass-cyberoplossingen .