Ta kontakt
Vanlige spørsmål: Datatrusselrangering i leverandørkjeder

Artikkel, Artikkel

Vanlige spørsmål: Datatrusselrangering i leverandørkjeder

Datatrusler øker betydelig, og hackere ser etter svak sikkerhet hos tredjeparter de kan bruke til målrettede dataangrep. Etter hvert som organisasjoner fortsetter å bruke ansatte til eksternt arbeid, øker antallet svake punkter som et dataangrep kan rettes mot. Sammen med Orpheus tilbyr vi datatrusselrangering av leverandører for å gi avansert informasjon om datatrusler til innkjøpsorganisasjoner som bruker Achilles.

Hva er datatrusselrangering?

Datatrusselrangeringer indikerer datatrusselnivået til en organisasjon. Jo høyere rangering, desto høyere er risikoen for at selskapet kan bli utsatt for et vellykket angrep.

Hvorfor er det viktig å håndtere datatrusler i leverandørkjeden?

Mange angrep starter med et selskap i leverandørkjeden, heller enn å rette seg direkte mot målet. Større organisasjoner har ofte sterke datasikkerhetstiltak på plass, men gir legitime leverandører tilgang til systemene sine. Når leverandørene har denne tilgangen, blir de en del av nettverket og dermed angrepsflaten. I tillegg er det svært sannsynlig at virksomheten blir forstyrret hvis noen av de viktigste leverandørene blir utsatt for dataangrep, uavhengig av hvorvidt de har tilgang til systemene dine. Det er også sannsynlig at mange av leverandørene har tilgang til både dine og kundene dine sine data. Du kan bli holdt ansvarlig hvis leverandøren bryter reglene som gjelder for kundedatae – spesielt hvis du ikke har fulgt beste praksis for risikohåndtering i leverandørkjeden. Hvis du ikke vurderer leverandørens datasikkerhetstiltak, vet du ikke om vedkommende utgjør en stor eller liten risiko. Angripere vet om dette og retter seg mot leverandører med svakere sikkerhetstiltak.

I tillegg begynner internasjonale tilsynsmyndigheter å innføre retningslinjer for sikkerhet i leverandørkjeden. Tilsynsmyndigheter og kontrollorganer vil ikke redusere bøtene selv om angriperne får tilgang gjennom en tredjepart. De ser på dette som en risiko du er ansvarlig for å redusere.

Hvilken informasjon beregnes datatrusselrangeringen fra?

Datatrusselrangeringen bruker et stort antall datapunkter kombinert med maskinlæring til å beregne rangeringen. Informasjonen inkluderer:

  • trusselinformasjon om sektorer og land du opererer i
  • uløste sikkerhetsproblemer
  • tegn på svake sikkerhetsprosesser for e-post
  • svikt i datahygiene

Hvilke elementer påvirker en datarangering?

Trusselrangeringen er en kombinasjon av en trusselrangering og en sikkerhetsproblemrangering. Rapporten viser den individuelle rangeringen for disse to tingene sammen med informasjonen som er blitt brukt til å formulere rangeringen. Den gir anvendelige råd for å redusere eventuelle problemer som identifiseres.

Hvordan vet jeg om den er nøyaktig?

Verktøyene og tilnærmingen vi bruker, følger prosessene som brukes av  . Basert på vår omfattende erfaring med trusselinformasjon, vet vi hva dataangripere ser etter og hva de prøver å utnytte. Maskinlæringen vår er fagfellevurdert og forutsier fremtidige trusler med minst 94 % nøyaktighet.

Gjennom partnerskapet vårt med Orpheus bruker vi en grundig prosess med manuell gjennomgang for å identifisere falske positive resultater som kan føre til en kunstig høy rangering for en organisasjon. Vi har også en prosess for organisasjoner for å fjerne resultater som vi kan validere som feil, men dette skjer veldig sjelden. Noen selskaper som driver med risikorangering, lar organisasjoner oppdatere rangeringene hvis de reduserer problemene. Vi gjør dette kun med validering som sikrer at resultatene våre er nøyaktige.

Hvis datarangeringen er lav, er det noe annet jeg bør tenke på?

Lav risiko betyr ikke ingen risiko. Innsidetrusler og phishing-kampanjer er eksempler på to viktige risikoer som finnes for nesten alle organisasjoner. Orpheus Cyber Risk Rating er en sterk indikator med trinn som organisasjoner kan bruke for å redusere risikoen sin. Vi viser deg en hackers perspektiv, og du vil kanskje søke ytterligere innsikt som kun er tilgjengelig for de som allerede er i organisasjonen.

Hva om jeg er uenig med rangeringen?

Enhver organisasjon som er uenig med datarangeringen, kan kontakte oss direkte for å diskutere utbedring. Vi jobber hardt for å fjerne falske positive resultater fra rangeringene våre, og feil oppstår sjelden. Den generelle datatrusselrangeringen utføres basert på mange forskjellige datapunkter, så det er usannsynlig at et falskt positivt resultat på ett område vil ha en stor innvirkning på den generelle rangeringen. I det lite trolige tilfellet at dette skjer, har vi en utbedringsprosess for å rette det opp. Den gjør at vi kan validere feilen et selskap har identifisert.

Hvor kan jeg vise datarangeringen?

Som innkjøper kan du vise en leverandørs datarangeringer med Achilles Insights. I tillegg har du mulighet til å få en tilpasset risikohåndteringsrapport om leverandørkjeden basert på leverandørkjeden du har valgt, noe som gir grundigere innsikt i de spesifikke truslene og risikoene du kan være utsatt for.

Som leverandør kan du vise datarangeringen i MyAchilles-instrumentbordet. Ved å abonnere på Orpheus’ månedlige rapporter med datatrusselrangeringer får du også en detaljert analyse av datarisikoen og en handlingsplan som er enkel å følge, for å utbedre problemområder og forbedre rangeringen din. Med Achilles-abonnementet får du fordelaktige priser.

For innkjøpere

På hvilket nivå bør jeg ta en leverandør ut av prosessen?

Du må bestemme nivået du vurderer som akseptabelt, basert på risikotoleransen din. Vi foreslår å arbeide med leverandørene for å redusere rangeringene deres, heller enn å ta dem ut av prosessen. Rapporten vi produserer, viser dem hvordan de kan gjøre det. Vi foreslår at du vurderer å fjerne leverandører som er uvillige eller som ikke kan redusere alvorlige sikkerhetsrisikoer.

Hvor ofte bør jeg kontrollere en leverandørs datarangeringer?

Datarangeringene våre oppdateres konstant. Og siden nye sikkerhetsproblemer oppdages daglig, kan disse rangeringene endres. Du kan angi hyppigheten for å gjennomgå dem, men vi foreslår å gjennomgå eventuelle endringer som kan introdusere risiko for selskapet, minst én gang i måneden.

Kan jeg kontrollere datarangeringen til selskapet mitt?

Ja, du kan også gjennomgå din egen datarangering. Vi anbefaler å gjennomgå din egen datarangering for å redusere sikkerhetsproblemer i organisasjonen og redusere antallet måter du kan angripes på.

Logg på for å se rangeringene dine i dag.

← Artikkel