سازمانها معمولاً زمانی که بودجه کافی یا ابزارها و نیروی متخصص مورد نیاز برای انجام کاری را نداشته باشند ترجیح میدهند از سرویسهای رایگان بهره گرفته یا کارهایشان را برونسپاری کنند. برای مثال آنها ممکن است از سرویسهای ابری یا نرم افزارهای مایکروسافت 365 استفاده نموده یا خدمات مورد نیازشان را از فروشندگان شخص سوم دریافت کنند.
اگرچه برونسپاری کارها یک رویکرد کارآمد برای ارتقای بهرهوری و مقابله با محدودیت منابع در سازمانها است اما مخاطرات امنیتی بسیار زیادی را نیز در پی خواهد داشت؛ زیرا در چنین رویکردی شما معمولاً دادههایتان را در اختیار افرادی قرار میدهید که هیچگونه اطلاعی از نحوه عملکردشان ندارید. برای مثال ممکن است این افراد از راهکارهای قوی امنیتی بر روی سیستمهایشان استفاده نکنند. بنابراین مجرمان سایبری به راحتی میتوانند به این اطلاعات دسترسی یافته و از آنها سوءاستفاده کنند. در نتیجه فروشندگان شخص سوم در تعداد بسیار زیادی از نفوذهای اطلاعاتی چه به صورت مستقیم و چه غیرمستقیم نقش دارند.
بر اساس آمار و نتایج تحقیقات انجام شده، حدود 80 درصد از سازمانهای جهان حداقل یک نفوذ اطلاعاتی را که ناشی از آسیبپذیریهای سیستم شرکت شخص سوم بوده تجربه کردهاند. با وجود اینکه خسارتهای ناشی از نفوذهای امنیتی زیاد است ولی متأسفانه سازمانها همچنان توجه چندانی به مخاطرات امنیتی که در اثر دریافت خدمات از فروشندگان شخص سوم رخ میدهند، نداشته و فقط 32 درصد آنها این مخاطرات را به صورت مستمر ارزیابی میکنند. در این مطلب از فراست، عواملی که به شما در انتخاب یک شرکت شخص سوم قابل اعتماد کمک میکنند را بررسی می کنیم.
چگونه سازمانهای شخص سوم را ارزیابی کنیم؟
پیش از آغاز همکاری با یک شرکت جدید ابتدا باید ابزارها، خدمات و داراییهایشان را ارزیابی نموده و میزان قدرت راهکارهای امنیتی آنها را با رویکردهای امنیتی که در سازمان خودتان به کار گرفته یا قصد استفاده از آنها را دارید، مقایسه کنید. مطالب زیر می توانند به شما در ارزیابی شرکت شخص سوم مدنظرتان کمک قابل توجهی کنند.
1. آشنایی با محصول مورد نظر و دستهبندی مخاطرات
در گام نخست باید خدمات ارایه شده توسط شرکت مربوطه و همچنین میزان حساسیت دادههایی که قصد به اشتراکگذاری آنها را دارید، مشخص کنید. همچنین باید میزان دسترسی و کنترلی که آن شرکت بر روی دادههای شما دارد را در نظر گرفته و بررسی کنید که آیا این دسترسیها برای سازمانتان قابل قبول است یا خیر؟
گزینههای زیر از جمله مواردی هستند که قبل از شروع همکاری و بستن قرارداد باید مورد ارزیابی قرار گیرند:
- مخاطرات امنیت سایبری: رویهها، سیاستهای امنیت سایبری شرکت مدنظر و همچنین نحوه مقابله آنها با تهدیدات امنیتی را ارزیابی نموده و در صورت مشاهده هر گونه آسیبپذیری، درباره این همکاری تجدیدنظر کنید.
- مخاطرات مربوط به استانداردهای قانونی: این مخاطرات مربوط به نقض قوانین، مقررات و استانداردهای حاکم بر سیاستها و رویههای داخلی و بیرونی هستند. برای مثال ممکن است بر اساس قانون HIPAA، نقض یا نشت اطلاعات توسط یک شرکت شخص سوم پیامدهای سنگینی را برای شما به دنبال داشته باشد.
- مخاطرات اعتباری: نفوذهای اطلاعاتی که توسط شرکتهای شخص سوم صورت میگیرند به شهرت و اعتبار سازمان شما لطمه بسیار زیادی وارد خواهند کرد. ممکن است دیدگاه افراد نسبت به سازمان شما تغییر کرده و نارضایتی و شکایت مشتریان را در پی داشته باشد.
- مخاطرات اقتصادی: شرکتهای شخص سوم معمولاً وظایف و تعهداتشان را در قالب یک قرارداد حقوقی با سازمان شما انجام میدهند. از این رو به منظور جلوگیری از پرداخت مبالغ سنگین به آنها بهتر است قبل از انعقاد قرارداد، توانایی مالیشان را ارزیابی کنید.
2. استفاده از الگوها و ابزارهای ارزیابی امنیتی
در این مرحله با استفاده از الگوها و ابزارهای رایج باید پرسشنامهها و ارزیابیهای دیجیتالی مختلفی را تهیه نموده و توسط آنها میزان امنیت شرکت شخص سوم را ارزیابی کنید:
- ابزارهای تهیه پرسشنامه برای جمع آوری اطلاعات، به روش استاندارد
- پرسشنامه ارزیابی امنیتی.
3. مطرح کردن پرسشهای مرتبط با امنیت و ارزیابی مخاطرات و نیز درخواست مدارک
مهم نیست که پرسشنامه را برای شرکت ارسال کرده یا اینکه به صورت تلفنی با مدیران آن ارتباط برقرار میکنید. در هر صورت باید به درک و جمعبندی کامل از قابلیتهای امنیتی شرکت مدنظر و همچنین کمبودهای آن در این زمینه برسید. هنگامی که قصد ارزیابی شرایط شرکتهای شخص سوم را دارید بهتر است مدارک و تأییدیههای ضروری را از آنها دریافت کرده و درباره موارد زیر سوال بپرسید:
- گواهینامههای صنعتی (مثل SOC2)
- طرحهای تداوم کسبوکار و بازیابی از فاجعه
- سیاستهای امنیت اطلاعات
- آیا دادههای در حال تبادل و ساکن رمزنگاری میشوند؟
- اصول و شیوه استخدام کارکنان
- آیا عملکرد شرکتهای شخص سوم همکار ارزیابی میشود؟
اگر شرکتهای شخص سوم را ارزیابی نکنید، احتمال وقوع چه رخدادهایی وجود دارد؟
عدم بررسی و ارزیابی نحوه عملکرد و همچنین راهکارهای امنیتی شرکتهای شخص سوم می تواند مخاطرات امنیتی بسیار زیادی را برای شما رقم زده و دادههایتان را در معرض آسیبپذیری قرار دهد. بعضی از مخاطرات امنیتی که سازمانهای دریافت کننده خدمات از شرکتهای شخص سوم را تهدید میکنند، عبارتند از:
- احتمال دارد شرکتهای شخص سوم مورد هدف حملات فیشینگ قرار گرفته و دادههای شما را هم در معرض چنین حملاتی قرار دهند.
- اگر یک شرکت شخص سوم، مورد هدف یک حمله بدافزاری قرار گیرد احتمال دارد این آلودگی به سیستمهای شرکتهای همکار هم گسترش پیدا کند.
- گاهی وقت ها ممکن است دسترسی شرکتهای شخص سوم به بعضی از سیستمها قطع شده و این مشکل بر روی شما نیز تأثیر منفی گذاشته و موجب از دست رفتن دادههای مهم و حساستان شود.
- این احتمال نیز وجود دارد که یک مهاجم یا بدافزار، دادههای شما را سرقت کند.
منبع: backupify