نحوه ارزیابی امنیتی عملکرد شرکت‌های شخص سوم

سازمان‌ها معمولاً زمانی که بودجه کافی یا ابزارها و نیروی متخصص مورد نیاز برای انجام کاری را نداشته باشند ترجیح می‌دهند از سرویس‌های رایگان بهره گرفته یا کارهای‌شان را برون‌سپاری کنند. برای مثال آنها ممکن است از سرویس‌های ابری یا نرم افزارهای مایکروسافت 365 استفاده نموده یا خدمات مورد نیازشان را از فروشندگان شخص سوم دریافت کنند.

اگرچه برون‌سپاری کارها یک رویکرد کارآمد برای ارتقای بهره‌وری و مقابله با محدودیت منابع در سازمان‌ها است اما مخاطرات امنیتی بسیار زیادی را نیز در پی خواهد داشت؛ زیرا در چنین رویکردی شما معمولاً داده‌هایتان را در اختیار افرادی قرار می‌دهید که هیچ‌گونه اطلاعی از نحوه عملکردشان ندارید. برای مثال ممکن است این افراد از راهکارهای قوی امنیتی بر روی سیستم‌هایشان استفاده نکنند. بنابراین مجرمان سایبری به راحتی می‌توانند به این اطلاعات دسترسی یافته و از آنها سوءاستفاده کنند. در نتیجه فروشندگان شخص سوم در تعداد بسیار زیادی از نفوذهای اطلاعاتی چه به صورت مستقیم و چه غیرمستقیم نقش دارند.

بر اساس آمار و نتایج تحقیقات انجام شده، حدود 80 درصد از سازمان‌های جهان حداقل یک نفوذ اطلاعاتی را که ناشی از آسیب‌پذیری‌های سیستم شرکت شخص سوم بوده تجربه کرده‌اند. با وجود اینکه خسارت‌های ناشی از نفوذهای امنیتی زیاد است ولی متأسفانه سازمان‌ها همچنان توجه چندانی به مخاطرات امنیتی که در اثر دریافت خدمات از فروشندگان شخص سوم رخ می‌دهند، نداشته و فقط 32 درصد آنها این مخاطرات را به صورت مستمر ارزیابی می‌کنند. در این مطلب از فراست، عواملی که به شما در انتخاب یک شرکت شخص سوم قابل اعتماد کمک می‌کنند را بررسی می کنیم.

چگونه سازمان‌های شخص سوم را ارزیابی کنیم؟

پیش از آغاز همکاری با یک شرکت جدید ابتدا باید ابزارها، خدمات و دارایی‌هایشان را ارزیابی نموده و میزان قدرت راهکارهای امنیتی آنها را با رویکردهای امنیتی که در سازمان خودتان به‌ کار گرفته یا قصد استفاده از آنها را دارید، مقایسه کنید. مطالب زیر می توانند به شما در ارزیابی شرکت شخص سوم مدنظرتان کمک قابل توجهی کنند.

1. آشنایی با محصول مورد نظر و دسته‌بندی مخاطرات

در گام نخست باید خدمات ارایه شده توسط شرکت مربوطه و همچنین میزان حساسیت داده‌هایی که قصد به اشتراک‌گذاری آنها را دارید، مشخص کنید. همچنین باید میزان دسترسی و کنترلی که آن شرکت بر روی داده‌های شما دارد را در نظر گرفته و بررسی کنید که آیا این دسترسی‌ها برای سازمان‌تان قابل قبول است یا خیر؟

گزینه‌های زیر از جمله مواردی هستند که قبل از شروع همکاری و بستن قرارداد باید مورد ارزیابی قرار گیرند:

• مخاطرات امنیت سایبری: رویه‌ها، سیاست‌های امنیت سایبری شرکت مدنظر و همچنین نحوه مقابله آنها با تهدیدات امنیتی را ارزیابی نموده و در صورت مشاهده هر گونه آسیب‌پذیری، درباره این همکاری تجدیدنظر کنید.
• مخاطرات مربوط به استانداردهای قانونی: این مخاطرات مربوط به نقض قوانین، مقررات و استانداردهای حاکم بر سیاست‌ها و رویه‌های داخلی و بیرونی هستند. برای مثال ممکن است بر اساس قانون HIPAA، نقض یا نشت اطلاعات توسط یک شرکت شخص سوم پیامدهای سنگینی را برای شما به دنبال داشته باشد.
• مخاطرات اعتباری: نفوذهای اطلاعاتی که توسط شرکت‌های شخص سوم صورت می‌گیرند به شهرت و اعتبار سازمان شما لطمه بسیار زیادی وارد خواهند کرد. ممکن است دیدگاه افراد نسبت به سازمان شما تغییر کرده و نارضایتی و شکایت مشتریان را در پی داشته باشد.
• مخاطرات اقتصادی: شرکت‌های شخص سوم معمولاً وظایف و تعهدات‌شان را در قالب یک قرارداد حقوقی با سازمان شما انجام می‌دهند. از این رو به منظور جلوگیری از پرداخت مبالغ سنگین به آنها بهتر است قبل از انعقاد قرارداد، توانایی مالی‌شان را ارزیابی کنید.

2. استفاده از الگوها و ابزارهای ارزیابی امنیتی

در این مرحله با استفاده از الگوها و ابزارهای رایج باید پرسشنامه‌ها و ارزیابی‌های دیجیتالی مختلفی را تهیه نموده و توسط آنها میزان امنیت شرکت شخص سوم را ارزیابی کنید:

• ابزارهای تهیه پرسشنامه برای جمع آوری اطلاعات، به روش استاندارد
• پرسشنامه ارزیابی امنیتی.

3. مطرح کردن پرسش‌های مرتبط با امنیت و ارزیابی مخاطرات و نیز درخواست مدارک

مهم نیست که پرسشنامه را برای شرکت ارسال کرده یا اینکه به صورت تلفنی با مدیران آن ارتباط برقرار می‌کنید. در هر صورت باید به درک و جمع‌بندی کامل از قابلیت‌های امنیتی شرکت مدنظر و همچنین کمبودهای آن در این زمینه برسید. هنگامی که قصد ارزیابی شرایط شرکت‌های شخص سوم را دارید بهتر است مدارک و تأییدیه‌های ضروری را از آنها دریافت کرده و درباره موارد زیر سوال بپرسید:

• گواهینامه‌های صنعتی (مثل SOC2)
• طرح‌های تداوم کسب‌وکار و بازیابی از فاجعه
• سیاست‌های امنیت اطلاعات
• آیا داده‌های در حال تبادل و ساکن رمزنگاری می‌شوند؟
• اصول و شیوه استخدام کارکنان
• آیا عملکرد شرکت‌های شخص سوم همکار ارزیابی می‌شود؟

اگر شرکت‌های شخص سوم را ارزیابی نکنید، احتمال وقوع چه رخدادهایی وجود دارد؟

عدم بررسی و ارزیابی نحوه عملکرد و همچنین راهکارهای امنیتی شرکت‌های شخص سوم می تواند مخاطرات امنیتی بسیار زیادی را برای شما رقم زده و داده‌هایتان را در معرض آسیب‌پذیری قرار دهد. بعضی از مخاطرات امنیتی که سازمان‌های دریافت کننده خدمات از شرکت‌های شخص سوم را تهدید می‌کنند، عبارتند از:

• احتمال دارد شرکت‌های شخص سوم مورد هدف حملات فیشینگ قرار گرفته و داده‌های شما را هم در معرض چنین حملاتی قرار دهند.
• اگر یک شرکت شخص سوم، مورد هدف یک حمله بدافزاری قرار گیرد احتمال دارد این آلودگی به سیستم‌های شرکت‌های همکار هم گسترش پیدا کند.
• گاهی وقت ها ممکن است دسترسی شرکت‌های شخص سوم به بعضی از سیستم‌ها قطع شده و این مشکل بر روی شما نیز تأثیر منفی گذاشته و موجب از دست رفتن داده‌های مهم و حساس‌تان شود.
• این احتمال نیز وجود دارد که یک مهاجم یا بدافزار، داده‌های شما را سرقت کند.

منبع: backupify