Um das Cybersicherheitsrisiko besser zu managen, erweitern Sie die Zero-Trust-Prinzipien auf Dritte – TechCrunch

Um das Cybersicherheitsrisiko besser zu managen, erweitern Sie die Zero-Trust-Prinzipien auf Dritte – BesteFuhrer

Die heutige Cybersicherheitslandschaft erfordert eine agile und datengesteuerte Risikomanagementstrategie, um mit der ständig wachsenden Angriffsfläche von Drittanbietern fertig zu werden.

Wenn ein Unternehmen Dienste auslagert, indem es Daten und Netzwerkzugriff teilt, erbt es das Cyber-Risiko von seinen Anbietern über deren Mitarbeiter, Prozesse, Technologie und die Drittanbieter dieses Anbieters. Ein typisches Unternehmen arbeitet mit durchschnittlich fast 5.900 Dritten zusammen, was bedeutet, dass Unternehmen einem enormen Risiko ausgesetzt sind, unabhängig davon, wie gut sie ihre eigenen Grundlagen abdecken.

Laut einem Bericht von Black Kite führten beispielsweise 81 individuelle Vorfälle durch Dritte zu mehr als 200 öffentlich gemeldeten Verstößen und Tausenden von Verstößen mit Welleneffekt im Laufe des Jahres 2021.

Der derzeitige Outside-in-Ansatz zum Management von Drittrisiken ist unzureichend. Stattdessen muss sich die Branche auf einen neuen Ansatz für das Risikomanagement von Drittanbietern zubewegen, indem sie Gespräche über die Outside-In-Bewertungen hinaus initiiert. Insbesondere sollten Unternehmen Zero-Trust-Prinzipien für alle Anbieter festlegen, das Risiko externer und interner Assets mit Inside-Out-Bewertungen bewerten und das Cyber-Risiko in Echtzeit messen.

Das Zero-Trust-Prinzip „Vertraue niemals, immer verifiziere“ ist weit verbreitet, um interne Umgebungen zu verwalten, und Unternehmen sollten dieses Konzept auf das Risikomanagement von Drittanbietern ausdehnen.

Um dem entgegenzuwirken, müssen Unternehmen Anbieter als Teilbereiche ihres Geschäfts betrachten.

Die drohende Bedrohung

Die Menge an Daten und geschäftskritischen Informationen, die ein Unternehmen mit seinen Anbietern teilt, ist überwältigend. Beispielsweise kann ein Unternehmen geistiges Eigentum mit Fertigungspartnern teilen, persönliche Gesundheitsinformationen (PHI) auf Cloud-Servern speichern, um sie mit Versicherern zu teilen, und Marketingagenturen Zugriff auf Kundendaten und personenbezogene Daten (PII) gewähren.

Dies ist nur die Spitze des Eisbergs, und die meisten Unternehmen wissen oft nicht, wie groß der Eisberg wirklich ist. In einer vom Ponemon Institute durchgeführten Umfrage gaben 51 % der befragten Unternehmen an, dass sie die Cyber-Risikolage Dritter nicht bewerten, bevor sie ihnen Zugang zu vertraulichen Informationen gewähren. Darüber hinaus gaben 63 % der befragten Unternehmen an, dass sie keinen Einblick haben, auf welche Daten und Systemkonfigurationen Anbieter zugreifen können, warum sie Zugriff darauf haben, wer Berechtigungen hat und wie die Daten gespeichert und weitergegeben werden.

Dieses riesige Netzwerk von Unternehmen, die Informationen in Echtzeit austauschen, führt zu einer riesigen Angriffsfläche, die immer schwieriger zu verwalten ist. Um diese Herausforderung zu bewältigen, nutzen Unternehmen Cybersicherheitsinitiativen wie fragebogenbasierte Onboarding-Umfragen und Sicherheitsbewertungsdienste in ihren Risikomanagementstrategien von Drittanbietern.

Obwohl diese Tools bestimmte Anwendungsfälle haben, haben sie auch schwerwiegende Einschränkungen.

Cybersicherheitsbewertungsdienste sind ein schneller und kostengünstiger Ansatz für Risikobewertungen durch Dritte. Ihre Einfachheit – die das Cyber-Risiko eines Anbieters als Punktzahl darstellt, wie Bonitätsbewertungen bei Finanzdienstleistungen – macht sie trotz der Einschränkungen zu einer beliebten Wahl.

Leave a Comment

Your email address will not be published.