بهطور معمول، سازمانها هنگامی که منابع مالی کافی یا خرید ابزارهای امنیتی یا استخدام نیروهای متخصص ندارند، به سراغ سرویسها و ابزارهای رایگان میروند یا یک مرحله بالاتر برخی کارها را برونسپاری میکنند. بهطور مثال، ممکن است از سرویسهای ابری یا نرمافزارهای ارایه شده توسط شرکتهای بزرگتر استفاده کنند تا هزینهها را کاهش دهند یا از خدمات فروشندگان شخص سوم بهره ببرند.
درست است که به لحاظ اقتصادی برونسپاری کارها یک راهحل کارآمد برای ارتقای بهرهوری و مقابله با محدودیت منابع سازمانی است، اما مخاطرات امنیتی زیادی به همراه دارد، زیرا در این حالت مجبور هستید دادههایتان را در اختیار افراد یا شرکتهایی قرار میدهید که هیچگونه اطلاعی درباره نحوه عملکرد آنها ندارید. بهطور مثال، ممکن است این شرکتها از راهحلهای قدرتمند، یکپارچه و بهروز استفاده نکنند. بهطوری که هکرها به راحتی میتوانند به این اطلاعات دسترسی یافته و از آنها سوءاستفاده کرده یا به تحریف اطلاعات بپرازند. به همین دلیل فروشندگان شخص سوم در تعداد بسیار زیادی از نفوذهای اطلاعاتی چه به صورت مستقیم و چه غیرمستقیم نقش دارند.
آمارها نشان میدهند نزدیک به ۸۰ درصد سازمانهای جهان حداقل یک نفوذ اطلاعاتی که ناشی از آسیبپذیریهای سیستم شرکتهای ثالث بوده را تجربه کردهاند. در حالی که خسارتهای ناشی از نفوذهای امنیتی زیاد است، اما سازمانها هنوز هم مخاطرات امنیتی که در اثر دریافت خدمات از فروشندگان شخص سوم اتفاق میافتد را جدی نمیگیرند و تنها ۳۲ درصد آنها این مخاطرات را به صورت مستمر ارزیابی میکنند و قبل از برونسپاری تحقیقی در ارتباط با شرکتها هدف انجام میدهند.
بهطور مثال، اگر قصد استفاده از خدمات ابری شرکتی را دارید باین به این نکته دقت کنید که آیا شرکت ارایهدهنده خدمات از ساختار پیشرفته anycast یا ساختار GSLB برای مقابله با حملات به سرویسDNS، حملات UDP ،TCP و ICMP در لایه ۳ و ۴ شبکه و حملات پیشرفته لایه ۷ جلوگیری میکند. در برخی سیستمها ممکن است با افزایش درخواستها، بارگذاری سیستم به قدری افزایش یابد که برنامه کاربردی توان پاسخگویی را نداشته باشد و برخی از درخواستها با خطا مواجه شوند. در این حالت، میتوان با افزایش منابع برنامه کاربردی یا بالا آوردن نمونههای مشابه از برنامه و متعادلسازی بار بین این نمونهها به باری کاری مورد نظر را پاسخ داد. یک چنین مواردی باید در زمان بهکارگیری سرویسهای ابرمحور مورد توجه قرار گیرد.
چگونه عملکرد سازمانهای ثالث را ارزیابی کنیم؟
قبل از همکاری با یک شرکت جدید، ابتدا باید ابزارها، خدمات و مکانیزمهای امنیتی که از آن استفاده میکنند را ارزیابی کنید و و میزان قدرت راهحلهای امنیتی آنها را با رویکردهای امنیتی که در سازمان خودتان استفاده شده یا قصد استفاده از آنها را دارید، مقایسه کنید.
1. آشنایی با محصول مورد نظر و دستهبندی مخاطرات
در اولین گام باید خدمات ارایه شده توسط شرکت مربوطه و میزان حساسیت دادههایی که قصد اشتراکگذاری آنها را دارید، مشخص کنید. علاوه بر این، باید میزان دسترسی و کنترلی که شرکت روی دادههای دارد را بررسی کرده و ارزیابی کنید که آیا این دسترسیها برای سازمانتان پذیرفتی است یا خیر. بهطور کلی، در هنگام برونسپاری کارها یا دریافت خدمات از شرکتهای ثالث بهتر است به نکات مهم زیر دقت کنید:
ریسکهای امنیت سایبری: روالها، خطمشیهای امنیت سایبری شرکت ثالث و نحوه مقابله با تهدیدات امنیتی توسط آنها را ارزیابی کنید و در صورت مشاهده هرگونه آسیبپذیری، درباره این همکاری تجدیدنظر کنید.
ریسکهای مربوط به استانداردهای قانونی: این ریسکها بیشتر مرتبط با نقض قوانین، مقررات و استانداردهای حاکم بر خطمشیها و روالهای داخلی و بیرونی هستند. بهطور مثال، ممکن است بر مبنای قانون HIPAA، نقض یا نشت اطلاعات توسط یک شرکت ثالث پیامدهای سنگینی برای شما (مصرفکننده) به دنبال داشته باشد، زیرا موازین و تمهیدات لازم برای محافظت از اطلاعات مشتریان را در نظر نگرفتهاید.
ریسکهای اعتباری: نفوذهای اطلاعاتی که توسط شرکتهای ثالث انجام میشود به شهرت و اعتبار سازمان شما لطمه بسیار زیادی وارد خواهند کرد. ممکن است دیدگاه افراد نسبت به سازمان شما تغییر کرده و نارضایتی و شکایت مشتریان را در پی داشته باشد.
ریسکهای اقتصادی: شرکتهای ثالث در بیشتر موارد وظایف و تعهداتشان را در قالب یک قرارداد حقوقی با سازمان ارایه میکنند. بنابراین برای جلوگیری از پرداخت مبالغ سنگین به آنها بهتر است قبل از انعقاد قرارداد، بندهای مربوط به مباحث مالی را به دقت مطالعه کنید.
2. بهکارگیری الگوها و ابزارهای ارزیابی امنیتی
در این مرحله از طریق الگوها و ابزارهای رایج باید پرسشنامهها و ارزیابیهای دیجیتالی مختلفی را آماده کنید و توسط آنها میزان امنیت شرکت ثالث را ارزیابی کنید. برای این منظور بهتر است از ابزارهای تهیه پرسشنامه برای جمعآوری اطلاعات به روش استاندارد و پرسشنامه ارزیابی امنیتی استفاده کنید.
3. مطرح کردن پرسشهای مرتبط با امنیت و ارزیابی ریسکها و درخواست مستندات
مهم نیست پرسشنامه را برای شرکت ارسال کرده یا به صورت تلفنی با مدیران ارتباط برقرار کردهاید. در هر حالت باید به درک و جمعبندی کامل قابلیتهای امنیتی شرکت مدنظر و کاستیهای آنها بپردازید. هنگامی که قصد ارزیابی شرایط شرکتهای ثالث را دارید بهتر است مدارک و تأییدیههای ضروری از آنها دریافت کنید و درباره موارد موضوعاتی مثل گواهینامههای صنعتی مثل SOC2، طرحهای تداوم کسبوکار و بازیابی از فاجعه، خطمشیهای امنیت اطلاعات، چگونگی رمزنگاری دادههای در حال تبادل و ساکن، اصول و شیوه استخدام کارکنان و عملکرد شرکتهای شخص سوم همکار استفاده کنید
اگر عملکرد شرکتهای ثالث را ارزیابی نکنیم، ممکن است پیامدهای ناگواری به وجود آید؟
عدم بررسی و ارزیابی نحوه عملکرد و راهحلهای امنیتی شرکتهای شخص سوم میتواند ریسکهای امنیتی زیادی به وجود آورند، به ویژه اگر حجم زیادی از اطلاعات کاربران یا تراکنشها را در اختیار آنها قرار میدهید و نشت اطلاعات ممکن است باعث به خطر افتادن هویت یا اعتبار آنها شود. برخی ریسکهای امنیتی که سازمانهای دریافت کننده دریافت خدمات از شرکتهای ثالث است. از جمله این تهدیدات به موارد زیر باید اشاره کرد:
الف)ممکن است شرکتهای ثالث هدف حملات فیشینگ قرار بگیرند و دادههای سازمانی در معرض مخاطرات جدی قرار بگیرند.
ب)اگر یک شرکت ثالث هدف یک حمله بدافزاری قرار گیرد، احتمال دارد این آلودگی به سیستمهای شرکتهای همکار گسترش پیدا کند.
ج)گاهی أوقات ممکن است دسترسی شرکتهای ثالث به برخی از سیستمها قطع شده و این مشکل روی فعالیتهای تجاریتان تأثیر منفی بگذارد و باعث از دست رفتن دادههای مهم و حساستان شوند.
د)این احتمال نیز وجود دارد که یک مهاجم یا بدافزار، دادههای سازمانی را سرقت کند.
برگرفته از سابت شبکه
شرکت پیشران صنعت ویرا با اساس نامه اتوماسیون صنعتی و کنترل ابزار دقیق و ساخت تابلوهای برق فشار قوی و ضعیف از سال 92 تاسیس گشت و ازهمان ابتدا در حوزه کاربرد ابزار دقیق در bms و سپس تولید و ساخت آنها قدم نهاد و در ادامه مسیر توانست با اتکا به تجربیات چندین ساله و استخدام نیروهای متخصص برق عملا جزو شرکتهایی باشد که محصولات قابل اتکایی با عناوین مانیتورینگ شرایط محیطی اتاق سرور -کنترلرهای دمای دیتا سنتر -دیتالاگرهای سردخانه و انبار -هشدار دهنده های دمای یخچال و فریزر و شمارشگرهای نمایشگاهی و فروشگاهی و تابلوهای برق متنوع با کاربردهای مختلف روانه بازار نماید در حال حاضر سیستمهای کنترل دما و رطوبت اتاق سرور این شرکت تنها سیستم مبتنی بر سخت افزار صنعتی plc-hmi در ایران است.