home Herstellungstechnologie Produktionsanlagen
Industrielle Fertigung
Industrielles Internet der Dinge | Industrielle Materialien | Gerätewartung und Reparatur | Industrielle Programmierung |
home  MfgRobots >> Industrielle Fertigung >  >> Manufacturing Technology >> Industrietechnik

Fünf Fragen zu Drittanbietern und Cybersicherheit

Von Marketingberatern und Supply-Chain-Partnern bis hin zu Buchhaltern und IT-Dienstleistern sind Unternehmen heute für praktisch jede erdenkliche Geschäftsfunktion auf alle Arten von Drittanbietern angewiesen.

Laut jüngsten Untersuchungen des Ponemon Institute ist die unbeabsichtigte Folge von Abhängigkeiten von Drittanbietern, dass 61 % der Unternehmen in den USA von einer Datenverletzung durch einen Drittanbieter oder Anbieter betroffen waren. 57 % der Unternehmen können nicht feststellen, ob die Sicherheitsrichtlinien und Abwehrmaßnahmen ihrer Anbieter eine Verletzung angemessen verhindern können, und weniger als die Hälfte bewertet die Sicherheits- und Datenschutzpraktiken der Anbieter, bevor sie eine Geschäftsvereinbarung einleiten, die die Weitergabe sensibler oder vertraulicher Informationen erfordert .

Es ist daher nicht verwunderlich, dass laut derselben Studie nur 16 Prozent der Befragten ihr Unternehmen als „sehr effektiv“ bei der Minderung von Drittrisiken einstufen. Tatsächlich sind diejenigen, die dem Management ihrer Outsourcing-Risiken Priorität einräumen, in der Minderheit.

Der beste Zeitpunkt, um mit der Reduzierung des Drittrisikos zu beginnen, ist ganz am Anfang der Beziehung – vor dem Abschluss einer Vereinbarung. Dann müssen Sie kritische Fragen stellen, um die mögliche Gefährdung zu identifizieren, die Sie eingehen, und wie Sie Kompromisse am besten vermeiden. Anbieter mit starken Sicherheitspraktiken sind normalerweise bereit, darüber zu sprechen, während diejenigen, die solche Diskussionen vermeiden, möglicherweise etwas verbergen, das sie verstecken. Vor diesem Hintergrund sind hier fünf Fragen – eine intern und vier für ernsthafte Kandidaten –, die Sie sich stellen sollten, wenn Sie einen Drittanbieter in Betracht ziehen:

Welche Daten und Systeme wird die Drittpartei besitzen oder auf welche sie zugreifen? Viele Dritte haben keinen Zugriff auf sensible Daten oder Systeme. Wenn es also zu einer Sicherheitsverletzung kommt, ist die Bedrohung für Sie minimal. Ein Anbieter von Landschaftsgestaltung hat beispielsweise wenig Zugriff auf Daten oder Systeme und wahrscheinlich keinen auf das Innere einer Einrichtung. Vielleicht ist das einzige computergestützte Netzwerk, auf das es zugreifen könnte, ein Bewässerungssystem, das höchstwahrscheinlich von den internen Unternehmenssystemen isoliert wäre. Daher wird erwartet, dass jeder potenzielle Verstoß gegen diesen hypothetischen Landschaftsanbieter keine oder nur geringe Auswirkungen hat.

Ein HR-Anbieter, Finanzsystem oder Vendor hingegen sieht ganz anders aus. Wenn Sie beispielsweise einen Berater mit der Entwicklung von Kundenanalysen zur Unterstützung der Marketing- oder Geschäftsstrategie beauftragt haben, hat diese Entität möglicherweise Zugriff auf Unternehmensdaten, die Kreditkartennummern und Privatadressen von Kunden oder Unternehmensfinanzen umfassen. Diese Art von Berater sollte sorgfältig geprüft werden.

Welche Art von Protokollierung und Überwachung führt der Drittanbieter durch? Protokollierung und Überwachung sind die wichtigsten Methoden, mit denen eine Organisation Aktivitäten in ihrer Umgebung aufzeichnet und darauf reagiert. Aber System- und Netzwerkaktivitätsprotokolle sind ausführlich. Und in den modernen Computerumgebungen von heute, die aus mehreren unterschiedlichen Systemen und Netzwerken mit hoher Bandbreite bestehen, wird die Menge der Protokollereignisse für einen Menschen schnell überwältigend. Um Sicherheitsereignisse ordnungsgemäß zu überwachen, müssen Tools zum Speichern und Auswerten dieser Ereignisse bereitgestellt werden. Wenn Sie die Personal- und Werkzeugauswahl des Anbieters kennen, werden Sie verstehen, wie ernst es Sicherheit nimmt. Schließlich sind Menschen + Werkzeuge =Geld =Ressourcen =Prioritäten. Suchen Sie nach Partnern, die Prioritäten setzen und in Sicherheit investieren.

Wie verwaltet der Drittanbieter sowohl die physischen als auch die technischen Zugriffskontrollen? Zugriffskontrollen sind eine Möglichkeit, Schwachstellen und damit Risiken zu reduzieren. Sie nehmen zwei Hauptformen an:physisch und technisch. In unserer hypervernetzten Welt vergisst man leicht die Bedeutung physischer Kontrollen. Sie müssen die physischen Standorte identifizieren, an denen der Drittanbieter Daten speichert, verarbeitet und überträgt, sowie das Niveau der physischen Sicherheit an diesen Standorten. Wenn Ihre Daten auf Mobilgeräten gespeichert werden sollen, ist es wichtig, die mit diesen Geräten verbundenen Sicherheitskontrollen zu kennen, da sie sich möglicherweise nicht immer an einem statischen physischen Ort befinden.

Wichtig für die Bewertung von Systemen und Netzwerken sind auch technische Zugangskontrollen. Fragen Sie, wie viele Personen Zugriff auf Ihre Daten haben und zu welchem ​​Zweck. Verstehen Sie, wie der Drittanbieter die Multi-Faktor-Authentifizierung verwendet, wie oft Benutzer in der Administratorgruppe überprüft werden, wie oft Systemberechtigungen überprüft werden und wie der Zugriff von ausscheidenden Mitarbeitern entfernt wird. Darüber hinaus erfahren Sie, wie Netzwerksegmentierungspraktiken und -tools verwendet werden. Welche Kontrollen sind beispielsweise vorhanden, um Produktionssysteme von anderen Umgebungen wie dem Internet zu isolieren? Wie segmentiert der Drittanbieter sein internes Netzwerk?

Oftmals können gute physische Zugangskontrollen schwache technische Kontrollen kompensieren und umgekehrt. Best Practice besteht jedoch darin, den physischen und technischen Zugriff auf Daten und Systeme auf die Personen zu beschränken, die für die Bereitstellung des Dienstes erforderlich sind. Lockere Zugangskontrollen öffnen die Angriffsfläche und erhöhen Ihr Risiko.

Welche Ansätze verfolgt der Drittanbieter beim Patchen von Systemen? Obwohl unbekannte oder nicht offengelegte Schwachstellen dramatisch sind und viel Aufmerksamkeit erregen, sind sie selten. Unternehmen sind durch bekannte als durch unbekannte Sicherheitslücken stärker gefährdet. Daher müssen Drittanbieter über robuste Programme verfügen, um bekannte Sicherheitslücken zu beheben, indem sie schnell Sicherheitspatches anwenden, die Fehler aktualisieren und die zugrunde liegende anfällige Software entfernen.

Große Softwareanbieter veröffentlichen regelmäßig Updates. Bei Ihrer Überprüfung von Dritten müssen Sie davon überzeugt sein, dass die Systeme, die Ihre Daten verarbeiten, speichern und übermitteln, regelmäßig und zeitnah aktualisiert werden und dass für unmittelbare und kritische Schwachstellen beschleunigte Verfahren bestehen.

Unterzieht sich der Drittanbieter unabhängigen Audits oder Tests? Welche Sicherheitszertifizierungen hat es verdient? Audits halten Organisationen rechenschaftspflichtig. Dritte sollten sich selbst überprüfen, indem sie aktuelle standardisierte Sicherheitsfragebögen wie den SIG Lite oder CSA CAIQ ausfüllen und aufbewahren. Unabhängig von der Selbstbewertung geben Ihnen unabhängige Audits die Gewissheit, dass der Drittanbieter seine Richtlinien und Verfahren einhält. Unabhängige Audits können Penetrationstests oder SOC 2 umfassen. Einige Branchen haben ihre eigenen Zertifizierungen wie HITRUST im Gesundheitswesen, PCI für Zahlungsabwickler und FedRAMP in der US-Bundesregierung. In allen Fällen sind unabhängige Audits wichtig und zeigen die Verpflichtung zur Aufrechterhaltung eines validierten, formalen Informationssicherheitsprogramms.

Zusammengenommen geben Ihnen Diskussionen zu diesen Schlüsselbereichen ein Gefühl für die Sicherheitslage eines Anbieters. Wenn die Antworten des Anbieters transparent sind und auf strategische Priorität und proaktive Sorgfalt hinweisen, können Sie selbstbewusster voranschreiten. Wenn die Sicherheitslage des Anbieters unausgereift ist, müssen Sie entweder das Risiko akzeptieren oder andere Maßnahmen ergreifen, um es zu kontrollieren.

Lassen Sie die Datensicherheit nicht zu kurz kommen. Machen Sie es zu einem integralen Bestandteil von Produkt- und Servicegesprächen. In der heutigen Umgebung umfangreicher und komplizierter Angriffe ist Cybersicherheit ist eine geschäftliche Angelegenheit. Sie müssen Ihre Sorgfaltspflicht erfüllen, um Ihr Risiko zu verstehen.

Jeremy Haas ist Chief Security Officer und Ryan Bergquist ist Cybersicherheitsanalyst bei LookingGlass Cyber-Lösungen .


Industrietechnik

  • Herstellungsprozess
  • 3d Drucken
  • Automatisierungssteuerung System
  • Industrietechnik
    1. Fragen vor dem Fortfahren
    2. Drei Fragen, die Netzwerkbetreiber zur IoT-Sicherheit stellen sollten
    3. Ciscos fünf Schritte zur effektiven Cybersicherheit von Drittanbietern
    4. Fünf Fragen zum Testen Ihrer Geschäftsstrategie nach der Pandemie
    5. Fünf Fragen, die Sie sich stellen sollten, wenn Sie einen Outsourcing-Partner auswählen
    6. 3 wichtige Fragen, die Sie sich stellen sollten, bevor Sie Ihre Lichtmaschine zurückspulen
    7. 3 grundlegende Fragen, die Sie sich vor dem Austausch von Schaltanlagen stellen sollten
    8. 6 häufig gestellte Fragen zum Laserschneiden
    9. Fragen und Antworten zu Lights Out Manufacturing
    10. Häufig gestellte Fragen zum Sandguss