Інциденти із витоком даних завжди негативно впливають на довіру споживачів. Наразі компанії часто користуються послугами третьої сторони та віддають певну частину завдань на аутсорсинг. Це може бути постачальник SaaS, сторонній постачальник чи підрядник. Деякі постачальники мають надійні стандарти безпеки, методи управління ризиками та забезпечують надійний захист даних. Проте, деякі з них нехтують безпекою. Такі постачальники часто знаходяться поза контролем компанії, що унеможливлює отримання прозорих відомостей про засоби управління інформаційною безпекою.
Маючи надійну внутрішню систему інформаційної безпеки, але користуючись послугами стороннього постачальника із слабким інформаційним захистом, компанія ризикує стати жертвою кіберзлочинців та втратити дані. Конфіденційні дані компанії можуть бути викрадені у стороннього постачальника або їх системи можуть бути використані для отримання несанкціонованого доступу до системи компанії. Кожен постачальник прямо чи опосередковано впливає на кібербезпеку компанії. Управління ризиками третіх сторін є важливою складовою стратегії управління ризиками організації.
- Оцінка сторонніх постачальників. Залучення сторонніх постачальників, які матимуть доступ до корпоративної мережі та конфіденційних даних, має певні ризики. Оцінити потенційних партнерів можна за допомогою рейтингу безпеки. Інструмент дозволяє швидко оцінити та зрозуміти стан зовнішньої безпеки постачальника, а також які загрози існують;
- Включення до договору пункту управління ризиками. Це не вбереже і не запобігатиме витоку даних, проте постачальників буде притягнуто до відповідальності. Також можна додати вимогу від постачальників повідомляти чи усувати будь-які проблеми безпеки протягом певного періоду часу, запитувати анкету безпеки для виявлення проблем;
- Прозорість співпраці з постачальниками. Слід вивчити та визначити, який обсяг інформації надається кожному постачальнику. Це допоможе виміряти потенційні ризики від постачальника;
- Постійний моніторинг постачальників щодо загроз безпеки. Рівень безпеки постачальника змінюється під час співпраці. Рідкісний аудит та анкети безпеки висвітлюють лише стан безпеки в даний момент часу. Для повного розуміння необхідно стежити за рівнем безпеки постачальників постійно та оперативно реагувати на зміни;
- Співпраця із постачальниками. Це не допоможе повністю виключити та запобігти несанкціонованому доступу, кібератаці та порушенню безпеки. Проте, важливо співпрацювати з постачальниками для зниження ризиків, швидкого реагування та усунення проблем безпеки;
- Надання керівництву інформації про ризики. Це дозволяє керівництву розуміти ризики та їх наслідки. За даними звіту Ponemon Institute «Data risk in the third party ecosystem» 53% респондентів із високоефективних організацій заявили про взаємодію з радою директорів та виконавчим керівництвом. Це означає, що керівництво усвідомлює потенційні ризики, а також важливість захисту конфіденційних даних та впровадження ефективних методів захисту інформації;
- Розрив співробітництва з ненадійними постачальниками. У разі невідповідності стороннього постачальника до вимог та стандартів організації, кібератаки варто передбачити варіант розриву співробітництва. У цьому випадку необхідно забезпечити безперервність бізнесу. Як і введення постачальника в систему, його виведення є також важливою складовою управління сторонніми ризиками;
- Вимірювання ризиків сторонніх постачальників (наскільки швидко вони впроваджують багатофакторну автентифікацію, інформація про обмін даними з 4 та 5 стороною, відстеження процесу обміну конфіденційною інформацією, користувачів, які мають доступ до неї);
- Контроль доступу. Витоки, зокрема, відбуваються через некоректне надання доступу. Доволі часто постачальникам надається більше доступу, ніж це необхідно для виконання їхньої роботи. Варто розглянути впровадження системи управління доступом на основі ролей, що працює за принципом найменших привілеїв (POLP).