Les services d’assistance informatique et de logiciels du Drittanbietern vergrößert die Angriffsfläche von Unternehmen erheblich. Das wird auch durch zahlreiche Cyberattacken immer wieder unterstrichen. Zwar lassen sich die Risiken in Zusammenhang mit Third-Party-Anbietern nicht gänzlich beseitigen, aber durchaus reduzieren. Dabei sollten Sicherheitsentscheider un zentrale Rolle spielen, comme Randy Gross, RSSI chez CompTIA, a écrit : « Les RSSI sont dans l’âge unique, den gesamten Geschäftsprozess zu überblicken – Datenflüsse, Abhängigkeiten und nachgelagerte Auswirkungen. Dennoch nutzen viele Unternehmen this Perspektive noch immer not, um Risiken durch Dritte neu zu bewerten.

Insbesondere, wenn Verträge auf Ebene von Geschäftseinheiten verdent werden ou unterhalb der finanziellen Genehmigungsschwellen liegen, bleiben Sicherheitschefs jedoch oftmals außen vor. Melissa Ventrone, directrice de l’étude de la cybersécurité auprès du conseil d’administration de Clark Hill, a déclaré: « Dans de nombreux organismes, la sécurité est mise en œuvre avant la mise en œuvre de l’analyse de sécurité. Ou lorsqu’un problème de sécurité se pose. »

Tatsächlich sollten RSSIs and thiser Stelle als pragmatische Technologieberater fonggieren, the wichtige Informationen einholen, for deren Bewertung sie besonders qualifiziert sind.

13 Fragen, die Sie Drittanbietern stellen sollten

Les personnes suivantes accompagnent les RSSI et les responsables de la sécurité dans la pratique.

1. Welche Nachweise für angemessene Sicherheitskontrollen können Sie erbringen?

Laut Juan Pablo Perez-Etchegoyen, CTO du responsable de la sécurité Onapsis, a expliqué ce qui suit :

• SOC 2 type II (doré comme Goldstandard für Auditierungen von IT- und Cloud-Dienstleistern),
• ISO/CEI 27001,
• Alliance de sécurité cloud STAR (spécialisé pour Cloud-Anbieter, combiné ISO 27001 avec une matrice de contrôle pour Cloud-Bezogen Risiken), sowie
• branchenspezifische zertifizierungen (selon l’exemple HIPAA/HITRUST pour l’utilisation des dates de référence ou PCI DSS pour la vérification des cartes de crédit).

2. Comment ces contrôleurs sont-ils activés et comment les entreprises sont-elles communicatives ?

Anwältin Ventrone emploie zudem, un partenaire informatique potentiel avec un détail de Due-Diligence-Fragebogen zu konfrontieren. Darüber hinaus empfiehlt die Rechtsexpertin, spezifische Aspekte vertraglich zu verankern: « Drittanbietern sollte es mindestens sous, Sicherheitskontrollen zu verändern, die das Schutzniveau or die Ausfallsicherheit Ihrer Systeme und Daten beeinträchtigen würden. »

3. Est-ce que votre équipe pour la posture identitaire est prête à travailler et à faire en sorte que l’ingénierie sociale s’occupe de l’ingénierie sociale ?

Welche Form von Zugriff de l’équipe des Drittanbieters auf Kundensysteme et à ce jour, ainsi que cette segmentation et abgesichert ist, a mis en place des mesures de sécurité auprès de Casey Corcoran, Field RSSI chez Managed-Service-Anbieter Stratascale, sans engagement. « Achten Sie darauf, theser Zugriff protokolliert sowie überwacht wird – et bei Bedarf sofort broadrufen werden kann. »

Alford emploie au sein de Berufskollegen außerdem, auf streng definierte Rollenbereiche, de nombreuses vérifications de certaines chaînes d’approbation pour la réinitialisation des Anmeldedaten zu achten. « Ist nichts davon vorhanden, deutet das auf blinde Flecken hin, die sich nachträglich nicht beseitigen lassen. »

4. Comment pouvez-vous vérifier vos flux de travail ? Avez-vous des connaissances sur les choses à faire?

Viele Unternehmen unterschätzen, wie viel agents Vertrauen sie wirklich an Anbieter abgeben. Deswegen sollten Drittanbieter nicht nur Richtlinien-Dokumente vorweisen können, sondern auch Workflow Maps, Execution-Protokolle et Testing-Belege. « Les grands efforts ont été effectués pour régler les problèmes, mais ils sont très sûrs. J’ai dû le faire, comme je l’ai fait, avec des normes ausgeprägten et des contrôles et des problèmes résolus, pour les flux de travail réalistes chez les fournisseurs tiers. verantwortlich waren», plaudert Alford aus dem Nähkästchen.

Les risques liés à la gestion des risques ne se produisent pas au niveau du serveur et des installations de réseau, mais également au niveau des flux de travail d’identité et du processus manuel de gestion : « L’homme du Blickwinkel erweitert, entdeckt man unter Umständen Kontrollmaßnahmen, die lediglich auf dem Papier. intestin aussehen.

5. Welche Rolle a joué des tests sans accrocs chez vous et comme cela arrive souvent ?

Il s’agit d’un test de sécurité et d’interventions auprès d’un partenaire informatique, que les RSSI ont tenté de réaliser, de cette manière, par un expert en droit chez Ventrone. « Das sollte mindestens einmal pro Jahr stattfinden – and bei wesentlichen Änderungen an Netzwerk, Infrastruktur oder Sicherheitskontrollmaßnahmen. Die Zusammenfassungen von Schwachstellen-Scans, Penetrationstests and Audits sollten Sie sie sich ebenfalls Zeigen lassen. »

Danny Jenkins, PDG de l’éditeur de Security-Anbieter ThreatLocker, a été interrogé sur la fréquence de ces tests de sécurité et a déclaré: « Les tests de pénétration actuels ne sont pas autorisés au sein du système. Le même système règle les tests de pénétration sous-jacents et un travail optimisé.”

6. Avez-vous les mêmes intégrations OAuth et API dans votre service auflisten et erklären, comme ces définitions, überwacht etwiderufen werden ?

Nous vous proposons de vous aider à commander un inventaire de jetons incluant des portées minimales incluses, et ainsi de mettre en place une méthode de surveillance comportementale proposée par Alford. Le jeton permanent est placé sous le signe de l’expert et du signal d’avertissement, ce qui entraîne un risque élevé.

7. Comment voyez-vous vos problèmes vertraglichen et opérationnels aus, quand un Angreifer Ihre Prozesse missbraucht, in Systeme einzudringen ?

Lorsque les mots de passe sont définis ou que la gestion de l’intégration OAuth est disponible, avec le Vertrag pour un document de contrôle. Cette définition est telle que le risque est pris en compte et que les connaissances des arts peuvent être possibles. Cette situation est inconcevable, le responsable de la sécurité dans les procédures d’assistance aux tiers, comme Alford dit : « Ohne die Beteiligung of RSSI bleiben Vertragsklauseln in der Regeleher nachteilig ausgestaltet. Das liegt daran, dass der L’accent est mis sur la perspective de la sécurité pour que tous les problèmes soient réglés – et pas du tout au niveau de la sécurité, car les risques sont les mêmes pour les entreprises qui ne sont pas au niveau du système, mais elles doivent également faire l’objet d’un processus d’harmonisation.

8. Welche Kontrollmaßnahmen kommen zum Einsatz, um die Aktivitäten Ihrer Mitarbeiter in our unserer Umgebung zu contrôlen? Et qui erkennen wir Verhalten, das von der Norm abweicht?

« Moderne Angriffskampagnen machen sich Vertrauensbeziehungen und weiche Betriebsprozesse zunutze. Die Gefahr lauert dabei souvent dort, wo sie niemand erwartet – beispielsweise Helpdesks », prévient Alford. Die Aktivitäten der Belegschaft von Drittanbietern zu überwachen sei daher erfolgsentscheidend. Le profil de sécurité s’emploie à assurer le meilleur, lors des sessions partenaires aufzeichnet, les alarmes de temps en temps pour la vérification et les mises à jour strictes.

9. Comment isolez-vous vos actifs et vos dates pour d’autres clients ?

Mit Blick auf potenzielle Third-Party-Anbieter sollten RSSIs zudem auf af aklare Architektur and konkrete Maßnahmen achten, die Schaden begrenzen können. Dabei joue auch eine Rolle, comme le Drittanbieter Risiken dans sa gestion propre des Lieferketten. « IT-Partner sollten über un robuste Vendor-Management-Programm verfügen and ihre eigenen Dienstleister un angemessenen Due-Diligence-Prüfung unterziehen », dit Ventrone.

10. Comment se fait-il que nous soyons informés de l’évolution de la sécurité, de nos dates ou de notre système activé ?

Von IT-Partnern über potenzielle Sicherheitsvorfälle informiert zu werden, sollte selfverständlich sein. Dabei sollte jedoch auch un Rolle spielen, wie zeitnah das erfolgt. Stratascale-Field-CISO Corcoran s’engage à ce sujet : « Le Vertrag sollte une fusion des Drittanbieters innerhalb von 24 bis 72 Stunden garantieren. Darüber hinaus sollten Security-Verantliche auch auf einen getesteten Incident-Response-Plan sowie beitere vertraglich verankerte Verantwortlichkeiten achten.

Alors qu’Alford voit ce point qui a un potentiel de compromis – il faut que vos clients s’exposent à des informations sur la vérification, car ces analyses de menaces propres vous apprennent : « Ne vous inquiétez pas, vous ne serez pas informé de ces risques. auf die Detection- and Reporting-Funktion des Hosting-Anbieters stützen.

11. Comment identifier, prioriser et gérer vos tâches ?

Il n’y a pas de cyberattaques auf bekannte Schwachstellen abzielen, dorénavant l’évaluation des Drittanbietern auf Patch-Richtlinien et Remediation-Fristen zu achten. Onapsis-CTO Perez-Etchegoyen explique les risques dans ces conditions auf : « Langsame Patch-Zyklen zu Lieferkettenunterbrechungen, betrieblichen Problemen and manchmal auch zur Insolvenz führen. »

Ventrone a donné cette image de l’exemple d’un opérateur, de la gestion du pare-feu et d’une version modifiée: « Nachdem eine Schwachstelle in der Firewall ausgenutzt worden war, stellte der Partner schließlich die anfällige Version wieder her – was zu einer deuxweiten Kompromittierung führte. Um es salopp zu sagen: Alors etwas kann man sich nicht ausdenken», a déclaré l’Anwältin.

12. Verfügen Sie über un Cyberversicherung, die mögliche Auswirkungen auf sämtliche Ihrer Kunden abdeckt?

Laut Joshua Wright, membre du corps professoral de l’Institut SANS, a déclaré que les attaques de l’Anbieter SaaS dans le cadre de l’exécution du projet étaient plus nombreuses – et qu’elles étaient également confrontées à des risques ultérieurs : « Il y a un seul moyen de le faire de manière optimale, afin de créer diverses stratégies pour les attaques – et avec Ransomware. »

Ventrone emploie les RSSI, dans les services de gestion des risques et des garanties, de la police de la cybersécurité qui n’est pas à l’intérieur de l’entreprise propre, qui s’intéresse également à l’impact d’une chute des événements, et de plus en plus de gens s’y opposent.

13. Pouvez-vous tester votre projet ?

L’expert SANS Wright vous propose des formations en matière de tests et de surveillance pour une utilisation simple – et se concentre sur les tests d’intrusion, la surveillance de la sécurité ou la chasse aux menaces. Alford utilise des allerdings, mais un autre texte nous dit: « Les tests sous une vue réaliste sont disponibles, ce qui est le meilleur risque. Das gibt Ihnen zudem die Möglichkeit, Controllen zu entwickeln, die der Denkweise von Angreifern entsprechen und nicht dem, was in der Dokumentation steht.» (fm)