Sigurni softver: Dobavljači treće strane Vaš rizik prve stranke

Dobavljači treće strane vaš rizik prvog stranke

Organizacije se danas sve više oslanjaju na softver kao uslugu (SAAS), ugrađuju ga duboko u svoju infrastrukturu i poslovne operacije jer je jeftinije i efikasnije. Iako ova rješenja nude skalabilnost i efikasnost, oni također uvode značajan rizik. Ipak, sada živimo u eri dominira u umjetnoj inteligenciji (AI) gdje se zaobilaze tradicionalne sigurnosne granice. S obzirom na ogromnu količinu podataka razmjenjenih između sistema i brojnih aktera koji su uključeni u lanac opskrbe, utjecaj cyber incidenta u vezi sa malim razvojem softvera sada je veći nego ikad prije.

Vaga i složenost podataka koji zahtijevaju zaštitu odvijali su se, jer Ai sada generira, agregira i dijeli ogromne iznose podataka u različitim organizacijama i trećim stranama.

Izvještaj o prekršavanju podataka iz 2024. iz Verizona otkriva da 15% kršenja uključivalo je treću osobu ili dobavljača, poput lanaca za opskrbu softvera, hosting partnerskih infrastrukture ili pritvora za podatke. Taj se broj raste iz godine više godina, a ističe hitnu potrebu da organizacijama preispitaju svoj pristup upravljanju rizikom treće strane.

Jedna od najvećih grešaka koje u procjeni dobavljača čini u procjeni dobavljača, fokusira se isključivo na sigurnosnu poštivanje dobavljača, a ne sigurnost proizvoda. Mnoge organizacije šalju dugotrajne upitnike za dobavljače o njihovom sistemu upravljanja sigurnošću informacija (ISMS), ali ne promatraju svoju primjenu i sigurnost proizvoda. Potvrde i potvrde o usklađenosti, poput ISO 27001, SOC 2, PCI DSS i GDPR, često se gledaju kao sigurnosna mjerila, ali ne moraju nužno jamčiti kontinuirane sigurnosne prakse za razvoj softvera.

Neki dobavljači mogu zadržati ove potvrde; Međutim, određeni proizvodi njihovog portfelja mogu pasti izvan opsega ovih sigurnosnih standarda i okvira. Ako se previdi, ovo slijepo mjesto može dovesti do značajnih sigurnosnih rizika. Organizacija može pretpostaviti da certificirani dobavljač ima snažne sigurnosne mjere, samo da bi kasnije otkrio da određeni proizvod koji koriste nedostaju temeljne sigurnosne kontrole.

Potražite bolje od svojih dobavljača

Da bi se odupru napadima opskrbnih lanca i ublažavajući pridružene rizike, organizacije moraju gurnuti svoje dobavljače da daju prioritet sigurnog razvoja softvera. To znači da zahtijevaju da dobavljače pokaže ne samo sigurnost poštivanje sigurnosti, već i jasnog potvrde i opredjeljenja za osiguranje razvojnih praksi. Evo nekoliko ključnih organizacija za inicijative trebale bi implementirati za izgradnju efikasnog programa procjene treće strane:

1. Proširite tradicionalne procjene sigurnosti dobavljača: Nadići osnovne upitnike za cybersecurity i izazove dobavljače o njihovoj aplikaciji i sigurnosnim mjerama proizvoda. Prilagodite program specifičnim zahtjevima i dinamikom vaše organizacije i razmislite o uključivanju pitanja koja se odnose na ugradnju tehnologija kao što su Ai.
2. Osigurajte sigurni Praksa za razvojnog ciklusa softvera (SDLC): Zahtijevaju od dobavljača da pruže dokaze da se sigurnost ugrađuje u svaku fazu razvoja, od dizajna do raspoređivanja.
3. Smjena upravljanja rizikom treće strane iz domene na kontrolu: Upravljanje rizikom treće strane u konačnici je u upravljanju poslovnim rizicima, a ne samo sigurnosnim rizicima. U njenoj jezgri je problem s podacima. Stoga bi organizacije trebale uključivati ​​vlasnike podataka i relevantne dionike u procesu i educirati ih o povezanim rizicima u jasnim poslovnim uslovima.
4. Prozirnost potražnje: Pogledajte vidljivost u sigurnosnih kontrola koja se primjenjuju na softverske proizvode, a ne oslanjajući se isključivo na potvrde o usklađenosti.
5. Provedite kontinuirana procena rizika treće strane: Kontinuirano prati dobavljače treće strane, jer se sigurnosni rizici razvijaju s vremenom.
6. Usvojiti način razmišljanja o nuli: Pretpostavimo da bi svaka treća povezanost mogla biti potencijalni rizik i primijeni stroge kontrole pristupa, kada je to moguće.

Digitalni krajolik iz 2025. godine zahtijeva temeljni pomak kako prilazimo sigurnosti softvera. Baš kao što su sigurnosni pojasevi i sigurnosni standardi revolucionirali automobilsku industriju, robusne sigurnosne prakse moraju postati norma u razvoju softvera.

Organizacije moraju priznati da je rizik treće strane vlastiti rizik. Više nije dovoljno za oslanjanje na uvjerenje dobavljača ili potvrdnih okvira za usklađivanje. Umjesto toga, tvrtka moraju uzeti proaktivni stav zahtjevnim transparentnošću, provođenjem rigoroznih sigurnosnih standarda i osiguravanje da je siguran razvoj prioritet od temelja. Ako ne potaknemo dobavljače da se sigurno razvijamo, posljedice će biti dalekosežne, utječe na samo pojedine kompanije, već cijeli digitalni ekosustav.