제3자 공급업체 및 사이버 보안에 대해 묻는 5가지 질문

마케팅 컨설턴트 및 공급망 파트너에서 회계사 및 IT 서비스 제공업체에 이르기까지 오늘날 조직은 상상할 수 있는 거의 모든 비즈니스 기능에 대해 제3자에 의존하고 있습니다.

최근 Ponemon Institute의 연구에 따르면 타사 종속성의 의도하지 않은 결과는 미국 조직의 61%가 타사 또는 공급업체로 인한 데이터 침해를 경험했다는 것입니다. 기업의 57%는 공급업체의 보안 정책 및 방어가 침해를 적절하게 방지할 수 있는지 여부를 판단할 수 없으며, 민감한 정보 또는 기밀 정보의 공유를 요구하는 비즈니스 계약을 시작하기 전에 공급업체의 보안 및 개인 정보 보호 관행을 평가하는 기업은 절반 미만입니다. .

따라서 동일한 연구에 따르면 응답자의 16%만이 타사 위험을 완화하는 데 "매우 효과적"이라고 평가한 것은 놀라운 일이 아닙니다. 사실 아웃소싱 리스크 관리를 우선시하는 기업은 소수에 불과합니다.

제3자 위험을 줄이기 시작하는 가장 좋은 시기는 계약을 체결하기 전인 관계의 맨 처음입니다. 그럴 때 자신이 감수하고 있는 노출 가능성과 타협을 피하는 최선의 방법을 식별하기 위해 중요한 질문을 해야 합니다. 강력한 보안 관행을 가진 공급업체는 일반적으로 이에 대해 기꺼이 이야기하지만 그러한 논의를 피하는 공급업체는 숨기고 있는 것이 있을 수 있습니다. 이를 염두에 두고 다음은 제3자를 고려할 때 질문해야 할 5가지 질문(내부적으로 1개, 진지한 후보자에 대해 4개)입니다.

제3자가 소유하거나 액세스할 데이터 및 시스템은 무엇입니까? 많은 제3자가 민감한 데이터나 시스템에 액세스할 수 없으므로 침해가 발생하더라도 귀하에 대한 위협은 최소화됩니다. 예를 들어 조경 공급업체는 데이터나 시스템에 거의 액세스할 수 없으며 시설 내부에는 액세스할 수 없습니다. 아마도 액세스할 수 있는 유일한 전산화된 네트워크는 관개 시스템일 것입니다. 이 시스템은 기업 내부 시스템과 격리될 가능성이 높습니다. 따라서 이 가상의 조경 공급업체에 대한 잠재적 위반은 거의 또는 전혀 영향을 미치지 않을 것으로 예상됩니다.

이와 대조적으로 HR 제공자, 재무 시스템 또는 공급업체는 매우 다릅니다. 예를 들어, 마케팅 또는 비즈니스 전략을 지원하기 위해 고객 분석을 개발하기 위해 컨설턴트를 고용한 경우 해당 엔터티는 고객 신용 카드 번호 및 집 주소 또는 기업 재무에 걸친 회사 데이터에 액세스할 수 있습니다. 이러한 유형의 컨설턴트는 신중하게 검토해야 합니다.

제3자는 어떤 종류의 로깅 및 모니터링을 합니까? 로깅 및 모니터링은 조직이 환경 내 활동을 기록하고 이에 대응하는 기본 방법입니다. 그러나 시스템 및 네트워크 활동 로그는 장황합니다. 그리고 다양한 시스템과 고대역폭 네트워크로 구성된 오늘날의 현대 컴퓨팅 환경에서 로그 이벤트의 양은 사람이 관리하기에는 순식간에 압도적입니다. 보안 이벤트를 적절하게 모니터링하려면 이러한 이벤트를 저장하고 분류하는 도구를 배포해야 합니다. 공급업체의 인력과 도구 선택을 알면 보안이 얼마나 중요한지 이해할 수 있습니다. 결국 사람 + 도구 =돈 =자원 =우선순위입니다. 보안에 우선순위를 두고 투자하는 파트너를 찾으십시오.

제3자는 물리적 액세스 제어와 기술적 액세스 제어를 모두 어떻게 관리하나요? 액세스 제어는 취약성과 위험을 줄이는 한 가지 방법입니다. 물리적 및 기술적 두 가지 기본 형태를 취합니다. 초연결 세상에서는 물리적 제어의 중요성을 잊기 쉽습니다. 제3자가 데이터를 저장, 처리 및 전송하는 물리적 위치와 해당 위치의 물리적 보안 수준을 식별해야 합니다. 데이터를 모바일 장치에 저장해야 하는 경우 항상 고정된 물리적 위치에 있지 않을 수 있으므로 해당 장치와 관련된 보안 제어를 이해하는 것이 중요합니다.

기술 액세스 제어는 시스템 및 네트워크 평가에도 중요합니다. 얼마나 많은 개인이 귀하의 데이터에 액세스할 수 있으며 어떤 목적으로 액세스할 수 있는지 물어보십시오. 제3자가 다단계 인증을 사용하는 방법, 관리자 그룹의 사용자가 검토되는 빈도, 시스템 권한이 검토되는 빈도, 퇴사하는 직원의 액세스 권한이 제거되는 방법을 이해합니다. 또한 네트워크 세분화 방식과 도구가 어떻게 사용되는지 알아보세요. 예를 들어 인터넷과 같은 다른 환경에서 프로덕션 시스템을 격리하기 위해 어떤 통제가 마련되어 있습니까? 제3자는 내부 네트워크를 어떻게 분할합니까?

여러 번 좋은 물리적 액세스 제어는 약한 기술 제어를 보완할 수 있으며 그 반대의 경우도 마찬가지입니다. 그러나 가장 좋은 방법은 서비스를 제공하는 데 필요한 개인으로 데이터 및 시스템에 대한 물리적 및 기술적 액세스를 제한하는 것입니다. 느슨한 액세스 제어는 공격 표면을 열어 위험을 증가시킵니다.

타사에서는 시스템 패치에 어떤 접근 방식을 취하나요? 알려지지 않았거나 공개되지 않은 취약점은 극적이며 많은 관심을 받지만 드뭅니다. 조직은 알려지지 않은 취약점보다 알려진 취약점에 더 취약합니다. 결과적으로 제3자는 결함을 업데이트하고 기본 취약 소프트웨어를 제거하는 보안 패치를 신속하게 적용하여 알려진 취약성을 수정하기 위한 강력한 프로그램을 보유해야 합니다.

주요 소프트웨어 공급업체는 정기적으로 업데이트를 릴리스합니다. 제3자를 검토할 때 데이터를 처리, 저장 및 전송하는 시스템이 정기적으로 적시에 업데이트되며 즉각적이고 치명적인 취약점에 대한 신속한 프로세스가 존재한다는 사실을 확신해야 합니다.

제3자가 독립적인 감사 또는 테스트를 받습니까? 어떤 보안 인증을 받았나요? 감사는 조직의 책임을 유지합니다. 제3자는 SIG Lite 또는 CSA CAIQ와 같은 최신 표준 보안 설문지를 작성하고 유지하여 자체 감사해야 합니다. 자체 평가 외에도 독립적인 감사를 통해 제3자가 해당 정책 및 절차를 따르고 있다는 사실을 안심할 수 있습니다. 독립적인 감사에는 침투 테스트 또는 SOC 2가 포함될 수 있습니다. 일부 산업에는 의료 분야의 HITRUST, 지불 프로세서의 경우 PCI, 미국 연방 정부의 FedRAMP와 같은 자체 인증이 있습니다. 모든 경우에 독립적인 감사가 중요하며 검증된 공식 정보 보안 프로그램을 유지하기 위한 노력을 보여줍니다.

종합하면 이러한 주요 영역에 대한 토론을 통해 공급업체의 보안 상태를 파악할 수 있습니다. 공급업체의 답변이 투명하고 전략적 우선 순위와 사전 예방적 근면을 나타내면 더 자신 있게 진행할 수 있습니다. 공급업체의 보안 태세가 미숙하다면 위험을 감수하거나 위험을 통제하기 위해 다른 완화 조치를 고려해야 합니다.

데이터 보안을 나중에 생각하게 하지 마십시오. 제품 및 서비스 논의의 필수적인 부분으로 만드십시오. 오늘날의 방대하고 복잡한 공격 환경에서 사이버 보안은 비즈니스 문제. 위험을 이해하려면 실사를 해야 합니다.