Der gefährlichste Schlag im Boxen ist der, den Sie nicht sehen. Das Gleiche gilt in der Cybersicherheit.
Unternehmen konzentrieren sich auf den Schutz ihrer digitalen Vermögenswerte mit einer Mischung aus Bedrohungserkennung, Überwachung und Zugriffskontrollen. Aber es entsteht schnell ein Problem – nicht alle ihre Daten befinden sich innerhalb der virtuellen Mauern ihres Netzwerks.
In diesem Umfeld erfordert Cyber-Resilienz mehr als nur das Wissen darüber, wie gut Ihr Unternehmen einem direkten Cyberangriff auf Ihr Netzwerk standhalten kann. Es umfasst auch Einblicke in Ihr Partner-Ökosystem und wie sie mit Sicherheit umgehen. Ob es sich um Auftragsverarbeiter, Lieferanten oder eine andere Art von Anbieter handelt, der Ihre Daten verarbeitet oder speichert, stellen Drittparteien eine zusätzliche Ebene in der Angriffsfläche eines Enterprise dar und repräsentieren einen potenziellen Schwachpunkt für die Einhaltung von Vorschriften oder Cybersicherheitsprogramme eines Enterprise.
Das Wesentliche ist, dass Ausfallzeiten bei ihnen auch Ausfallzeiten für Sie bedeuten können. Daher ist ein erfolgreiches Management der Beziehungen zu Drittanbietern – vom Onboarding bis zur Incident Response – entscheidend für die Sicherstellung der Business Continuity. „Proaktives Third-Party Risk Management (TPRM) ermöglicht es Unternehmen, wirksame Schutzmaßnahmen zu ergreifen, um die Resilienz gegen Vorfälle zu stärken, die das Geschäft stören werden“, sagt Christelle Chau, Vice President, Security GRC bei Okta
Im Folgenden haben wir drei kritische Maßnahmen aufgeführt, die Sicherheitsverantwortliche ergreifen sollten, um Daten und Systeme vor Risiken durch Dritte und potenziellen Störungen zu schützen.
1. Bewerten Sie Ihre Partner basierend auf der geschäftlichen Kritikalität und ihrem Schadenspotenzial.
Die schiere Anzahl der zu verwaltenden Anbieterbeziehungen kann entmutigend sein. Nachdem die Ziele ihres TPRM-Programms festgelegt wurden, besteht der erste Schritt für Unternehmen darin, ihre Partnerlandschaft zu inventarisieren, sagt Chau.
„Die fortgesetzte Abhängigkeit von Dritten erfordert eine intensivere Due Diligence aufgrund der Risiken und Unsicherheiten, die sie potenziell mit sich bringen können“, erklärt Chau
Leider sagt Chau, dass die Risikoprozesse von Drittanbietern oft veraltet sind und sich auf die Onboarding-Phase konzentrieren. Unternehmen müssen sich von einem Checklistenansatz entfernen und innovative Wege finden, um ihren Bewertungsansatz zu kontextualisieren.
Bei Okta ermöglichen die von Dritten gesammelten Informationen dem Unternehmen, die eingesetzten Schutzmaßnahmen und Kontrollen zu bewerten. Laut Chau können potenzielle Sicherheitslücken identifiziert werden, und Okta kann mit dem Partner zusammenarbeiten, um diese zu beheben.
Ken Collins, Senior Director of Information Security bei Sunbelt Rentals, sagt, dass sein Team gründliche Bewertungen von Drittanbietern durchführt, wobei der stärkste Fokus auf diejenigen gelegt wird, die als geschäftskritisch eingestuft werden.
„Wir sammeln so viele relevante Daten wie möglich – Sicherheitsrichtlinien, SOC-Berichte, alle Compliance- oder SicherheitsZertifizierungen und so weiter – und stellen sicher, dass sie unseren Standards entsprechen“, sagt er „Wir verwenden diese Informationen, um die Risikobewertung jedes Anbieters zu bestimmen, und wenn sie akzeptabel ist, machen wir weiter „Wir bewerten diesen Anbieter auch regelmäßig neu, abhängig von seinem Risikoprofil.“
Nicht alle Drittparteien bergen dasselbe Risiko; daher sollten sie klassifiziert und in verschiedene Schweregrade eingeteilt werden, basierend auf der Art der Produkte/Dienstleistungen, die sie dem Unternehmen anbieten, ihrem Zugriff auf Daten und das Netzwerk sowie den geschäftlichen Auswirkungen eines Sicherheitsvorfalls, erklärt Chau.
Das Identity and Access Management (IAM) ist in diesem Zusammenhang von entscheidender Bedeutung. Das gleiche Identity-Fabric, das die Mitarbeiter eines Unternehmens schützt, muss auch um alle Drittparteien gewoben werden, die auf die Systeme und Daten des Unternehmens zugreifen. Das bedeutet, dass die entsprechenden Überwachungs-, Provisionierungs- und Deprovisionierungsmaßnahmen für diese Entitäten gemäß den Richtlinien angewendet werden müssen, sagt Chau.
2. Priorisieren Sie die offene Kommunikation mit Partnern
Es ist wichtig, sich daran zu erinnern, sagt Collins, dass diese Beziehungen bidirektional sind. Eine gute Kommunikation mit Partnern ist unerlässlich, damit betroffene Unternehmen im Falle eines Vorfalls schnell Maßnahmen zur Risikominderung ergreifen können.
„Starke Kommunikation ist wichtig – nicht nur während des Onboarding-Prozesses, sondern generell“, sagt Collins „Wenn etwas nicht stimmt, müssen wir darauf vertrauen, dass unser Partner uns so schnell wie möglich informiert, damit wir reagieren und Abhilfemaßnahmen ergreifen können.“
Im Falle eines Vorfalls bei einem Drittanbieter sollten Unternehmen einen offenen Kommunikationsweg mit dem Drittanbieter einrichten, um die Ursache des Vorfalls zu ermitteln und betroffene Systeme/Assets sowie vertragliche Benachrichtigungen zu identifizieren, sagt Chau. „Von dort aus“, fährt sie fort, „sollten sie eine Folgenabschätzung basierend auf den Daten, Systemen und Produkten durchführen, die betroffen sind, und deren potenziellen Auswirkungen auf das Unternehmen.“
3. Entwickeln Sie einen robusten Incident-Response-Plan für Sicherheitsverletzungen durch Dritte.
Nachdem festgestellt wurde, ob der Vorfall ausreichend eingedämmt ist, sollten Unternehmen Behebung identifizieren, wie z. B. das Abkoppeln der Nutzung von Drittanbieterprodukten und die Bereitstellung alternativer Lösungen, und den Bedarf an externer Kommunikation basierend auf den Benachrichtigungsanforderungen von Vorschriften und Datenschutzgesetzen ermitteln, sagt Chau.
Nach einem Vorfall sollten Unternehmen eine Ursachenanalyse, eine neue Drittanbieter-Risiko-Bewertung und eine Leistungsüberwachung durchführen. Darüber hinaus sollten interne Stakeholder in Erwägung ziehen, notwendige Anpassungen innerhalb von SLAs und Verträgen vorzunehmen, sagt Chau.
„Echte Sicherheit geht über die Mauern eines Unternehmens hinaus“, sagt Chau „Echte Resilienz muss beinhalten, ein fortlaufendes Bewusstsein für die Risiken zu bewahren, die von Drittanbietern ausgehen, und darauf vorbereitet zu sein, zu reagieren, bevor ein Vorfall eintritt.“
Checkliste: Strategische Prioritäten für Ihr TPRM-Programm
Erfassen Sie Ihre Anbieter und verstehen Sie die Beziehungen sowie die Dienstleistungen/Produkte, die sie bereitstellen.
Kategorisieren Sie Anbieter nach Risiko. Verstehen Sie die individuellen Sicherheits- und Compliance-Anforderungen, die für jeden Anbieter erforderlich sind, und die Auswirkungen, die ein Vorfall auf Ihre Abläufe haben kann.
Bestimmen Sie die Zugriffsebene, die der Partner benötigt, und erzwingen Sie das Prinzip der minimalen Rechte.
Bewerten Sie regelmäßig Ihre Anbieter und deren Einhaltung der SLA neu.
Für weitere Einblicke in den Aufbau eines Unternehmens mit Cyber-Resilienz lesen Sie From vulnerabilities to vendor trust: How CISOs build cyber resilience.
