چگونه عملکرد امنیتی شرکت‌ها را ارزیابی کنیم؟

 

به‌طور معمول، سازمان‌ها هنگامی که منابع مالی کافی یا خرید ابزارهای امنیتی یا استخدام نیروهای متخصص ندارند، به سراغ سرویس‌ها و ابزارهای رایگان می‌روند یا یک مرحله بالاتر برخی کارها را برون‌سپاری می‌کنند. به‌طور مثال، ممکن است از سرویس‌های ابری یا نرم‌افزارهای ارایه شده توسط شرکت‌های بزرگ‌تر استفاده کنند تا هزینه‌ها را کاهش دهند یا از خدمات فروشندگان شخص سوم بهره ببرند.



درست است که به لحاظ اقتصادی برون‌سپاری کارها یک راه‌حل کارآمد برای ارتقای بهره‌وری و مقابله با محدودیت منابع سازمانی است، اما مخاطرات امنیتی زیادی به همراه دارد، زیرا در این حالت مجبور هستید داده‌هایتان را در اختیار افراد یا شرکت‌هایی قرار می‌دهید که هیچ‌گونه اطلاعی درباره نحوه عملکرد آن‌ها ندارید. به‌طور مثال، ممکن است این شرکت‌ها از راه‌حل‌های قدرتمند، یکپارچه و به‌روز استفاده نکنند. به‌طوری که هکرها به راحتی می‌توانند به این اطلاعات دسترسی یافته و از آن‌ها سوءاستفاده کرده یا به تحریف اطلاعات بپرازند. به همین دلیل فروشندگان شخص سوم در تعداد بسیار زیادی از نفوذهای اطلاعاتی چه به صورت مستقیم و چه غیرمستقیم نقش دارند.

آمارها نشان می‌دهند نزدیک به ۸۰ درصد سازمان‌های جهان حداقل یک نفوذ اطلاعاتی که ناشی از آسیب‌پذیری‌های سیستم شرکت‌های ثالث بوده را تجربه کرده‌اند. در حالی که خسارت‌های ناشی از نفوذهای امنیتی زیاد است‌، اما ‌سازمان‌ها هنوز هم مخاطرات امنیتی که در اثر دریافت خدمات از فروشندگان شخص سوم اتفاق می‌افتد را جدی نمی‌گیرند و تنها ۳۲ درصد آن‌ها این مخاطرات را به صورت مستمر ارزیابی می‌کنند و قبل از برون‌سپاری تحقیقی در ارتباط با شرکت‌ها هدف انجام می‌دهند.

به‌طور مثال، اگر قصد استفاده از خدمات ابری شرکتی را دارید باین به این نکته دقت کنید که آیا شرکت ارایه‌دهنده خدمات از ساختار پیشرفته‌ anycast یا ساختار GSLB برای مقابله با حملات به سرویسDNS، حملات UDP ،TCP و ICMP در لایه‌ ۳ و ۴ شبکه و حملات پیشرفته‌ لایه ۷ جلوگیری می‌کند. در برخی سیستم‌ها ممکن است با افزایش درخواست‌ها، بارگذاری سیستم به قدری افزایش یابد که برنامه کاربردی توان پاسخ‌گویی را نداشته باشد و برخی از درخواست‌ها با خطا مواجه شوند. در این حالت، می‌توان با افزایش منابع برنامه کاربردی یا بالا آوردن نمونه‌های مشابه از برنامه و متعادل‌سازی بار بین این نمونه‌ها به باری کاری مورد نظر را پاسخ داد. یک چنین مواردی باید در زمان به‌کارگیری سرویس‌های ابرمحور مورد توجه قرار گیرد.

چگونه عملکرد سازمان‌های ثالث را ارزیابی کنیم؟

قبل از همکاری با یک شرکت جدید، ابتدا باید ابزارها، خدمات و مکانیزم‌های امنیتی که از آن استفاده می‌کنند را ارزیابی کنید و و میزان قدرت راه‌حل‌های امنیتی آن‌ها را با رویکردهای امنیتی که در سازمان خودتان استفاده شده یا قصد استفاده از آن‌ها را دارید، مقایسه کنید.

1.  آشنایی با محصول مورد نظر و دسته‌بندی مخاطرات

در اولین گام باید خدمات ارایه شده توسط شرکت مربوطه و میزان حساسیت داده‌هایی که قصد اشتراک‌گذاری آن‌ها را دارید، مشخص کنید. علاوه بر این، باید میزان دسترسی و کنترلی که شرکت روی داده‌های دارد را بررسی کرده و ارزیابی کنید که آیا این دسترسی‌ها برای سازمان‌تان پذیرفتی است یا خیر. به‌طور کلی، در هنگام برون‌سپاری کارها یا دریافت خدمات از شرکت‌های ثالث بهتر است به نکات مهم زیر دقت کنید:

ریسک‌های امنیت سایبری: روال‌ها، خط‌مشی‌های امنیت سایبری شرکت ثالث و نحوه مقابله با تهدیدات امنیتی توسط آن‌ها را ارزیابی کنید و در صورت مشاهده هرگونه آسیب‌پذیری، درباره این همکاری تجدیدنظر کنید.

ریسک‌های مربوط به استانداردهای قانونی: این ریسک‌ها بیشتر مرتبط با نقض قوانین، مقررات و استانداردهای حاکم بر خط‌مشی‌ها و روال‌های داخلی و بیرونی هستند. به‌طور مثال، ممکن است بر مبنای قانون HIPAA، نقض یا نشت اطلاعات توسط یک شرکت ثالث پیامدهای سنگینی برای شما (مصرف‌کننده) به دنبال داشته باشد، زیرا موازین و تمهیدات لازم برای محافظت از اطلاعات مشتریان را در نظر نگرفته‌اید.

ریسک‌های اعتباری:  نفوذهای اطلاعاتی که توسط شرکت‌های ثالث انجام می‌شود به شهرت و اعتبار سازمان شما لطمه بسیار زیادی وارد خواهند کرد. ممکن است دیدگاه افراد نسبت به سازمان شما تغییر کرده و نارضایتی و شکایت مشتریان را در پی داشته باشد.

ریسک‌های اقتصادی: شرکت‌های ثالث در بیشتر موارد وظایف و تعهدات‌شان را در قالب یک قرارداد حقوقی با سازمان ارایه می‌کنند. بنابراین برای جلوگیری از پرداخت مبالغ سنگین به آن‌ها بهتر است قبل از انعقاد قرارداد، بندهای مربوط به مباحث مالی را به دقت مطالعه کنید.

2. به‌کارگیری الگوها و ابزارهای ارزیابی امنیتی

در این مرحله از طریق الگوها و ابزارهای رایج باید پرسشنامه‌ها و ارزیابی‌های دیجیتالی مختلفی را آماده کنید و توسط آن‌ها میزان امنیت شرکت ثالث را ارزیابی کنید. برای این منظور بهتر است از ابزارهای تهیه پرسشنامه برای جمع‌آوری اطلاعات به روش استاندارد و پرسشنامه ارزیابی امنیتی استفاده کنید.

3.  مطرح کردن پرسش‌های مرتبط با امنیت و ارزیابی ریسک‌ها و درخواست مستندات

مهم نیست پرسشنامه را برای شرکت ارسال کرده یا به صورت تلفنی با مدیران ارتباط برقرار کرده‌اید. در هر حالت باید به درک و جمع‌بندی کامل قابلیت‌های امنیتی شرکت مدنظر و کاستی‌های آن‌ها بپردازید. هنگامی که قصد ارزیابی شرایط شرکت‌های ثالث را دارید بهتر است مدارک و تأییدیه‌های ضروری از آن‌ها دریافت کنید و درباره موارد موضوعاتی مثل گواهینامه‌های صنعتی مثل SOC2، طرح‌های تداوم کسب‌وکار و بازیابی از فاجعه، خط‌مشی‌های امنیت اطلاعات، چگونگی رمزنگاری داده‌های در حال تبادل و ساکن، اصول و شیوه استخدام کارکنان و عملکرد شرکت‌های شخص سوم همکار استفاده کنید

اگر عملکرد شرکت‌های ثالث را ارزیابی نکنیم، ممکن است پیامدهای ناگواری به وجود آید؟

عدم بررسی و ارزیابی نحوه عملکرد و راه‌حل‌های امنیتی شرکت‌های شخص سوم می‌تواند ریسک‌های امنیتی زیادی به وجود آورند، به ویژه اگر حجم زیادی از اطلاعات کاربران یا تراکنش‌ها را در اختیار آن‌ها قرار می‌دهید و نشت اطلاعات ممکن است باعث به خطر افتادن هویت یا اعتبار آن‌ها شود. برخی ریسک‌های امنیتی که سازمان‌های دریافت کننده دریافت خدمات از شرکت‌های ثالث است. از جمله این تهدیدات به موارد زیر باید اشاره کرد:

الف)ممکن است شرکت‌های ثالث هدف حملات فیشینگ قرار بگیرند و داده‌های سازمانی در معرض مخاطرات جدی قرار بگیرند.

ب)اگر یک شرکت ثالث هدف یک حمله بدافزاری قرار گیرد، احتمال دارد این آلودگی به سیستم‌های شرکت‌های همکار گسترش پیدا کند.

ج)گاهی أوقات ممکن است دسترسی شرکت‌های ثالث به برخی از سیستم‌ها قطع شده و این مشکل روی فعالیت‌های تجاری‌تان تأثیر منفی بگذارد و باعث از دست رفتن داده‌های مهم و حساس‌تان شوند.

د)این احتمال نیز وجود دارد که یک مهاجم یا بدافزار، داده‌های سازمانی را سرقت کند.

برگرفته از سابت شبکه