, ingen virksomhed er en ø.i en tilsluttet verden, en virksomhed kan ikke fungere uden flere forbindelser med tredjelande - eksterne leverandører, entreprenører, datterselskaber, partnere og andre. det kan være en meget god ting for voksende forretning.men det kan være en meget dårlig for sikkerhed.mens den skødesløse insider - endnu har en tendens til at blive set af eksperter, som det svageste led i kæden af sikkerhed, eksterne kontrahent (med sin egen gruppe af potentielt uansvarlig insidere) nu deler det sted, at det er lidt eufemistisk kaldes en stor "smerte." ron raether og skotte ganow, advokater med faruki irland & cox bemærkede for nylig i en hvidbog   for netdiligence, at mens firewalls, bruger papirer og stærk kodeord er fortsat vigtige, beskyttelse, de leverer, er ufuldstændige, den eksplosive antal online adgangspunkter til virksomheder betyder, "vores murede fæstning af firewalls, og som nu har hundredvis og tusindvis af døre.disse døre er bevogtet af kontroldyr, der gør det muligt for enhver variabel pakke (ansat skilt uden et billede) gennem den væg, "de skrev, i avisen med titlen" forrædere iblandt os: risikoen for ansatte, leverandører og tredjemand i en alder af tingenes internet og - sikkerhed i dybden er kritisk til risikostyring. ", den fremtrædende brud i december sidste år af detailhandlende mål, muliggjort af en e - mail - phishing angreb på en opvarmning, luftkonditionering og køling kontrahent, er blot et eksempel - - ansat af, at kontrahenten klikkede på en ondsindet link, der fører til et kompromis af millioner af kreditkort, paul trulove, næstformand for produkt forvaltning på sailpoint, sagde lignende overtrædelser, er" alt for kommon, især inden for kommunikations - og it - sektoren.i sidste uge på & t afsløret, at personlige oplysninger af den mobile kunder blev kompromitteret af en af dens eksterne leverandører, "sagde han."overtrædelsen lov ansatte af en tjenesteyder, adgang til kunde oplysninger, herunder fødselsdato og cpr - numre. "det er ikke et nyt problem.macdonnell ulsch, direktør og ledende analytiker hos zeropoint risiko forskning, skrev for næsten et år siden, i searchsecurity, næsten uden undtagelse en tredjepart eller filialer er involveret, "i en vellykket cyberattack., er der en række grunde til den smerte.jody westby, adm. direktør, globale it - risiko, sagde en vigtig, er, at alt for mange virksomheder ikke har fokuseret på sikkerhed i kontrakter med eksterne partnere. "de fleste virksomheder er knap begyndt at få armene omkring forvaltningen af sikkerhedsspørgsmål i forbindelse med en arms længde outsourcing, det fungerer og virksomhedsprocesser, "sagde hun," virksomheder, finder, at de har lidt forhandlingsposition i anmoder om sikkerhedsforanstaltninger fra disse leverandører.det eksterne marked blomstrede og greb lejligheden før dens kunder, troede, at kræve sikkerhed som en del af aftalen.men virkeligheden er, at tredjepartsudbydere er rigt mål ", sagde hun.,, en anden årsag er, at adgang for tredjeparter, er ikke altid var så godt, som det er med regelmæssige arbejdstagere."baseret på et forhold er levetid og personlige interaktioner, tredjemands tillid niveauer og møder eller overstiger niveauet for insider tillid "ulsch skrev.,, trulove er enig."de er ikke funktionærer, så de ofte bypass - hr, når man træder ind i en organisation, og der er ikke fundet gennem et centraliseret system, "sagde han."det er ironisk, at en masse af kontrahenter har samme adgang som en permanent ansat... eller endnu dybere adgang i tilfælde, hvor en funktion outsources. ", en tredje er, at udenforstående generelt bringe deres egen hardware og software, med dem, der har og fortsat vil blive brugt i andre net, som ikke har været sikkert... noget eksperter kalder" dårlig hygiejne. "det problem kan blive forstærket af den kendsgerning, at virksomheder fokusere mere på omkostninger end om sikkerhed ved outsourcing af tjenester.james arlen, senior sikkerheds konsulent med leviathan sikkerhed gruppe kalder det en "modenhed kløft", hvor virksomheder outsourcer til forhandlere, der er "hårdtslående og billig...men er det svage led, hvor der sker slemme ting. ", og i henhold til trulove, anvendelse af tredjemand, er stigende.han nævnte statistikker, der viser kontraktansatte er steget fra mindre end halvdelen af 1% til 2,3% siden 1980 'erne, og at 42% af arbejdsgiverne agter at ansætte midlertidigt eller kontraktansatte i år - - på 14% i løbet af de sidste fem år. hvordan kan virksomheder, lavere risici.der er en række måder.blandt de grundlæggende er at ændre kodeord hver tilsluttet apparat en virksomhed og dens kontrahenter købe og anvende begge risikobaserede og multi - element, autentificering... de ting, arlen kalder "rammerne af infosec - 101.", der er naturligvis meget mere til god sikkerhed end det, han sagde, ", men vi gør ikke et godt job det grundlag, som vi har kendt i detaljer i de sidste 15 år.", ud over de basale, eksperter siger, at det er obligatorisk for virksomhederne til at betale meget mere opmærksom på, at deres kontrakter med tredjeparter - serviceniveauaftaler (57) eller forretningspartner aftaler (baa).,, ulsch skrev, at disse kontrakter bør som et minimum omhandle følgende komponenter:,,, informationssikkerhed, oplysninger, privatlivets fred,,, trusler og risikoanalyse, compliance forpligtelse rækkevidde;,, håndhævelsesmekanismer,,, intern revision, adgang og oplysningskravene, forvaltning, korruption.,,,,,, raether og ganow anbefale, at en baa bør kræve tredjeparters kontrahenter, ", er i overensstemmelse med den samme sikkerhed, rammer i virksomheden." og "hvor det er relevant, virksomhederne skal sikre ret til at revidere deres tredjeparters kontrahenter, og så afslutte sådanne revisioner.", trulove tilbudt flere henstillinger til, hvad han kaldte en "styring baseret identitetskontrol strategi", der omfatter:,, selv med alt det, ulsch bemærkes, at beskytte integriteten af oplysninger er fortsat det primære ansvar i virksomheden. "mens forskellige forordninger kan også holde tredjemand ansvarlige, ikke antage, at forpligtelsen til at henføres til et andet selskab, "skrev han. endelig arlen sagde en stor svaghed i baas eller sla 'er er, at de ofte er," enten fokuserer på en bestemt, at forordning... er det pci eller hipaa... hvilket er sig ikke "sikkerhed", men snarere et dække æsler i disse specifikke måder "ting." vi har brug for, er at fastsætte meta - faktiske sikkerhed snarere end teater, der lugter af sikkerhed, "sagde han.