تعتمد المؤسسات بشكل كبير على موردين خارجيين لإدارة أعمالها بكفاءة. على الجانب الآخر ، يستخدم هؤلاء الموردين أنظمة الشركة مما يشكل خطراً أمنياً عليها. يمكن أيضاً أن يكون هناك أثار قانونية ومالية وتجارية خطيرة على المؤسسة نتيجة لهذه العلاقة. لذلك ، من الأهمية بمكان إدارة مخاطر أمان الطرف الثالث في الشركة بكفاءة وفعالية.
للقيام بذلك ، يجب أن يكون لدينا رؤية شاملة ومتعمقة للمخاطر الأمنية التي تواجه الجهات الخارجية والتحكم بها. يتطلب هذا أن تقيم بانتظام ومراقبة تدفق بيانات الشركة داخل أنظمة الشركة وأنظمة البائعين. كذلك يتطلب ذلك أن تكون على دراية بقضايا الأمان وكيفية التخفيف من مخاطرها. إن العرض غير المعروف أو غير المكتمل أو غير الدقيق لمخاطر المورد يزيد خطر التعرض لخرق أمني. و من الأمثلة الحية على الخدمات المسندة لطرف ثالث نجد ما يلي:
- خدمات مراكز الاتصال call center
- الدعم الفني helpdesk
- توظيف عمال جدد في المؤسسة
- تطوير البرامح
- استضافة الخدمات و التطبيقات
و يتطلب الالتزام بلوائح ومعايير الأمان والخصوصية ، امتثال البائعين أيضاً. إن ضمان توافق أمان الموردين مع اللوائح والمعايير ذات الصلة ، وكذلك مع سياسات الأمان لشركتك ، ليس بالأمر الهين.
فكلما كان التعامل أفضل في عملية تقييم وإدارة مخاطر أمان الطرف الثالث ، كلما كان ذلك أسرع وأسهل بالنسبة لإدارة المخاطر وتخفيفها ومعالجتها ، وتقليل فرص الانتهاكات ، وضمان امتثال البائعين ، وتحسين الوضع الأمني والحفاظ على العمل بسلاسة.
اجراءات استباقية لتقليل المخاطر
و حلل محررو Help Net Security الأثار المدمرة لمخاطر الأطراف الثالثة . ولذلك اقترحوا ثلاثة إجراءات استباقية يمكن اتخاذها لمساعدتنا على تقليل مخاطر سلسلة التوريد الرقمية أو ما يعرف بالأطراف الثالثة.
1. بناء المرونة الإلكترونية والاسترداد – يجب أن على المؤسسة أن تفهم الأصول الخاصة بها وأن تحدد البائعين الذين تتعامل معهم ، بما في ذلك الخدمات والأدوات الخارجية التي تعالج البيانات أو تحتفظ بها. يمكن لأتمتة إدارة الأطراف الثالثة تبسيط وتسريع هذه العملية الطويلة والمملة.
2. تحديد الأصول المهمة – حدد أولويات الأصول الخاصة بك عن طريق جرد مكونات البنية التحتية المادية والبنية التحتية الافتراضية الخاصة بك (البائعين لديك). بمجرد تحديد الأصول الخاصة بك وترتيبها حسب الأولوية ، تحتاج إلى إنشاء نظام لمراقبة جميع هذه الأصول حتى تتمكن من رؤية المشهد الديناميكي والمتغير.
3. تقليل مخاطر الطرف الثالث والرابع – لكل طرف بنيته التحتية الخاصة وأطرافه الثالثة الخاصة ، وهم ما يُعتبر طرفاً رابعاً بالنسبة لك. هذا يجعل من واجبك أيضاً فهم مخاطر الطرف الرابع و تأثيرها على الأطراف التي تتعامل مع بياناتك.
ما هي أبرز تداعيات انتهاك الطرف الثالث؟
غالباً، يؤدي الخرق الأمني من الطرف الثالث إلى فقدان المعلومات الحساسة ، مما قد يؤدي إلى دعاوى قضائية وغرامات تنظيمية وإلحاق الضرر بسمعة الشركة.
إن عدم معرفة أو عدم وجود رؤية واضحة لمخاطر البائعين يجعل المؤسسة عرضة للخطر. لذا تأكد من أن برنامج مخاطر الطرف الثالث شامل ويتضمن كلا من استبيانات الأمان الديناميكية مع تقييمات سطح الهجوم الخارجي وسياق الأعمال. سيوفر ذلك عرضاً سريعاً و دقيقاً للمخاطر الإلكترونية للمورد والطرف الرابع.
ليست كل المخاطر متشابهة ، ولكن ليس لدى الشركات دائمًا طريقة سهلة لوضع المخاطر في سياقها وفقًا لعلاقة العمل. قد يؤدي هذا إلى تصوير غير دقيق للمخاطر وإهدار الجهود في معالجة المخاطر المفرطة بشكل غير صحيح.
مزايا حل ناجح لإدارة مخاطر أمان الطرف ثالث
مهما كان الغرض من استخدام خدمات الطرف الثالث، فمن المهم الانتباه لمتطلبات أمن المعلومات و تضمينها في العقود و اتفاقيات مستوى الخدمة. يشمل ذلك مثلاً: تصنيف المعلومات المتاحة للأطراف الخارجية من ناحية الحساسية و طرق الحماية و مستوى التوفر المتوقع. يمكن أن تكون تلك المعلومات ذات أهمية تجارية للمؤسسة. أو قد تتضمن بيانات شخصية خاصة بالزبائن قد يؤدي تسربها لتضرر المؤسسة بشكل بالغ.
يفترض أن يكون نظام إدارة المخاطر شاملاً وآلياً وسهل الاستخدام و قادراً على إدارة العملية برمتها. تتضمن هذه العملية متابعة المخاطر الأساسية والمخاطر المتبقية مع المعالجة والمراقبة المستمرة. الهدف الأساسي لهذه الجهود هو تزويد المؤسسات برؤية سريعة ودقيقة للمخاطر المسيبرانية للموردين. و كذلك سهولة التعاون والتواصل بين الشركات والموردين ، مما يؤدي إلى معالجة المخاطر بكفاءة وفعالية بما يتماشى مع سياسات أمان الشركة وقبولها للمخاطر.
إن تركيزنا على مخاطر هذا النوع من الخدمات لا ينفي إيجابياتها و أهميتها للمؤسسات لذلك يجب خلق توازن بين الإيجابيات والسلبيات كجزء من عملية اتخاذ القرار بشأن المخاطر المترتبة على التعاقد مع الطرف الثالث.
