Hvordan identifisere og styre risiko knyttet til cybersikkerhet i leverandørkje...
Som virksomhet kommer man ikke utenom cybersikkerhet. En undersøkelsesrapport utgitt…
Datatrusselrangeringer indikerer datatrusselnivået til en organisasjon. Jo høyere rangering, desto høyere er risikoen for at selskapet kan bli utsatt for et vellykket angrep.
Mange angrep starter med et selskap i leverandørkjeden, heller enn å rette seg direkte mot målet. Større organisasjoner har ofte sterke datasikkerhetstiltak på plass, men gir legitime leverandører tilgang til systemene sine. Når leverandørene har denne tilgangen, blir de en del av nettverket og dermed angrepsflaten. I tillegg er det svært sannsynlig at virksomheten blir forstyrret hvis noen av de viktigste leverandørene blir utsatt for dataangrep, uavhengig av hvorvidt de har tilgang til systemene dine. Det er også sannsynlig at mange av leverandørene har tilgang til både dine og kundene dine sine data. Du kan bli holdt ansvarlig hvis leverandøren bryter reglene som gjelder for kundedatae – spesielt hvis du ikke har fulgt beste praksis for risikohåndtering i leverandørkjeden. Hvis du ikke vurderer leverandørens datasikkerhetstiltak, vet du ikke om vedkommende utgjør en stor eller liten risiko. Angripere vet om dette og retter seg mot leverandører med svakere sikkerhetstiltak.
I tillegg begynner internasjonale tilsynsmyndigheter å innføre retningslinjer for sikkerhet i leverandørkjeden. Tilsynsmyndigheter og kontrollorganer vil ikke redusere bøtene selv om angriperne får tilgang gjennom en tredjepart. De ser på dette som en risiko du er ansvarlig for å redusere.
Datatrusselrangeringen bruker et stort antall datapunkter kombinert med maskinlæring til å beregne rangeringen. Informasjonen inkluderer:
Trusselrangeringen er en kombinasjon av en trusselrangering og en sikkerhetsproblemrangering. Rapporten viser den individuelle rangeringen for disse to tingene sammen med informasjonen som er blitt brukt til å formulere rangeringen. Den gir anvendelige råd for å redusere eventuelle problemer som identifiseres.
Verktøyene og tilnærmingen vi bruker, følger prosessene som brukes av . Basert på vår omfattende erfaring med trusselinformasjon, vet vi hva dataangripere ser etter og hva de prøver å utnytte. Maskinlæringen vår er fagfellevurdert og forutsier fremtidige trusler med minst 94 % nøyaktighet.
Gjennom partnerskapet vårt med Orpheus bruker vi en grundig prosess med manuell gjennomgang for å identifisere falske positive resultater som kan føre til en kunstig høy rangering for en organisasjon. Vi har også en prosess for organisasjoner for å fjerne resultater som vi kan validere som feil, men dette skjer veldig sjelden. Noen selskaper som driver med risikorangering, lar organisasjoner oppdatere rangeringene hvis de reduserer problemene. Vi gjør dette kun med validering som sikrer at resultatene våre er nøyaktige.
Lav risiko betyr ikke ingen risiko. Innsidetrusler og phishing-kampanjer er eksempler på to viktige risikoer som finnes for nesten alle organisasjoner. Orpheus Cyber Risk Rating er en sterk indikator med trinn som organisasjoner kan bruke for å redusere risikoen sin. Vi viser deg en hackers perspektiv, og du vil kanskje søke ytterligere innsikt som kun er tilgjengelig for de som allerede er i organisasjonen.
Enhver organisasjon som er uenig med datarangeringen, kan kontakte oss direkte for å diskutere utbedring. Vi jobber hardt for å fjerne falske positive resultater fra rangeringene våre, og feil oppstår sjelden. Den generelle datatrusselrangeringen utføres basert på mange forskjellige datapunkter, så det er usannsynlig at et falskt positivt resultat på ett område vil ha en stor innvirkning på den generelle rangeringen. I det lite trolige tilfellet at dette skjer, har vi en utbedringsprosess for å rette det opp. Den gjør at vi kan validere feilen et selskap har identifisert.
Som innkjøper kan du vise en leverandørs datarangeringer med Achilles Insights. I tillegg har du mulighet til å få en tilpasset risikohåndteringsrapport om leverandørkjeden basert på leverandørkjeden du har valgt, noe som gir grundigere innsikt i de spesifikke truslene og risikoene du kan være utsatt for.
Som leverandør kan du vise datarangeringen i MyAchilles-instrumentbordet. Ved å abonnere på Orpheus’ månedlige rapporter med datatrusselrangeringer får du også en detaljert analyse av datarisikoen og en handlingsplan som er enkel å følge, for å utbedre problemområder og forbedre rangeringen din. Med Achilles-abonnementet får du fordelaktige priser.
Du må bestemme nivået du vurderer som akseptabelt, basert på risikotoleransen din. Vi foreslår å arbeide med leverandørene for å redusere rangeringene deres, heller enn å ta dem ut av prosessen. Rapporten vi produserer, viser dem hvordan de kan gjøre det. Vi foreslår at du vurderer å fjerne leverandører som er uvillige eller som ikke kan redusere alvorlige sikkerhetsrisikoer.
Datarangeringene våre oppdateres konstant. Og siden nye sikkerhetsproblemer oppdages daglig, kan disse rangeringene endres. Du kan angi hyppigheten for å gjennomgå dem, men vi foreslår å gjennomgå eventuelle endringer som kan introdusere risiko for selskapet, minst én gang i måneden.
Ja, du kan også gjennomgå din egen datarangering. Vi anbefaler å gjennomgå din egen datarangering for å redusere sikkerhetsproblemer i organisasjonen og redusere antallet måter du kan angripes på.