Ingen bedrift er en øy. I en tilkoblet verden, kan en bedrift ikke fungere uten flere relasjoner med tredjeparter -. Eksterne leverandører, entreprenører, agenter, samarbeidspartnere og andre

Det kan være en veldig god ting for å vokse en virksomhet. Men det kan være en veldig dårlig ting for sikkerhet. Mens uforsiktig insider fortsatt en tendens til å bli sett av eksperter som den svakeste ledd i sikkerhetskjeden, er tredjeparts entreprenør (med sin egen gruppe av potensielt uforsiktig innsidere) nå dele det punktet, skaper det er noe forskjønnende kaller en stor " smerte punkt "

Ron Raether og Scot Ganow, advokater med FARUKI Irland &.; Cox, bemerket i en fersk stortingsmelding for NetDiligence at mens brannmurer, brukerlegitimasjon og sterke passord fortsatt viktig, er ufullstendig beskyttelse de gir.

Den eksploderende antall online tilgangspunkter til selskaper betyr "vår befestede festning av brannmurer og lignende nå har hundrevis og tusenvis av dører. Er disse dører bevoktet av vaktposter som tillater enhver variabel pakke (tror en ansatt badge uten et bilde) til å passere gjennom den muren, "skrev de, i avisen med tittelen" Traitors i vår midte. Risikoen for arbeidstaker, entreprenører og tredjeparter i en alder av Tingenes internett og hvorfor sikkerhet i dybden fortsatt kritisk til risikostyring "

Den høyprofilerte brudd desember forhandler Target siste, aktivert av en epost phishing angrep på en oppvarming, luftkondisjonering og kjøling entreprenør, er bare ett eksempel - en ansatt av at entreprenøren klikket på en ondsinnet lenke, som fører til kompromiss av millioner av kredittkort

Paul. Trulove, visepresident for produktstyring i SailPoint, sa lignende brudd er "altfor vanlig, spesielt innenfor kommunikasjon og IT sektorene. Bare i forrige uke, AT & T avslørt at personlig informasjon om sine mobilkunder ble kompromittert av en av sine tredjepartsleverandører, "sa han." Bruddet tillot ansatte i en tjenesteleverandør for å få tilgang til kundekonto informasjon, inkludert fødselsdato og personnummer. "

Det er ikke et nytt problem heller. macdonnell Ulsch, administrerende direktør og sjefsanalytiker i Zeropoint Risk Research, skrev nesten et år siden i SearchSecurity at" nesten uten unntak, en tredjeparts leverandør eller agent er involvert, "i en vellykket cyberattack.

Det er en rekke årsaker til smertene. Jody Westby, administrerende direktør, i Global Cyber ​​Risk, sa en stor en, er at altfor mange bedrifter ikke har fokusert på sikkerhet i kontrakter med tredjeparts kollegaer. "De fleste selskaper har så vidt begynt å få armene rundt håndtering av sikkerhetsproblemer knyttet til armlengdes outsourcing IT-funksjoner og forretningsprosesser," sier hun.

"Companies finner de har liten forhandlingsstyrke i ber om sikkerhetstiltak fra disse leverandørene. Tredjeparts markedet blomstret og grep muligheten før kundene tenkt å kreve sikkerhetstiltak som en del av handelen. Men realiteten er at tredjepartsleverandører er rike mål, "sier hun.

En annen grunn er at tilgangen av tredjeparter som ikke er alltid spores så vel som det er med fast ansatte." Basert på et forhold er levetid og personlige interaksjoner, tredjeparts tillit nivåer noen ganger møter eller overgår nivået av insider tillit ", Ulsch skrev.

Trulove enig." De er ikke lønnet ansatte, slik at de ofte bypass HR når du taster inn en organisasjon og ikke spores gjennom noen sentralisert system, "sa han." Ironisk nok, mange entreprenører har samme tilgang som fast ansatt -. eller enda dypere tilgang i tilfeller der en IT-funksjonen blir outsourcet "

En tredje er at utenforstående vanligvis ta med egen maskinvare og programvare med dem, som har, og vil fortsette å være, som brukes i andre nettverk som kanskje ikke har vært sikker - ". dårlig hygiene" noe ekspertene kaller

Det problemet kan bli forverret av det faktum at selskapene fokuserer mer på pris enn på sikkerhet når outsourcing tjenester. James Arlen, senior sikkerhetskonsulent med Leviathan Security Group, kaller det en "modenhet gap", der selskaper outsource til leverandører som er "lean, mener og billig ... men er det svake leddet gjennom hvilke dårlige ting skje."

Og ifølge Trulove, er bruk av tredjeparter økende. Han siterte statistikk som viser kontraktsarbeidere har økt fra mindre enn halvparten av 1% til 2,3% siden 1980-tallet; og at 42% av arbeidsgivere planlegger å ansette midlertidig eller kontraktsarbeidere i år -. opptil 14% i løpet av de siste fem årene

Hvordan kan bedrifter lavere disse risikoene. Det finnes en rekke måter. Blant de grunnleggende er å endre passord på alle tilkoblede enheten et selskap og dets entreprenører kjøpe og bruke både risikobasert og multi-faktor autentisering - den slags ting Arlen kaller "Infosec 101."

Det er selvsagt mye mer å god sikkerhet enn det, sa han, "men vi ikke gjør en god jobb med det grunnleggende, som vi har kjent i detalj for de siste 15 årene."

Utover det grunnleggende, eksperter sier det er obligatorisk for selskapene å betale mye nærmere oppmerksomhet til sine kontrakter med tredjeparter -. Service Level Agreements (SLA) eller forretningsforbindelse Agreements (BAA)

Ulsch skrev at disse kontraktene skal, som et minimum , ta opp følgende komponenter:

Informasjonssikkerhet;

Informasjon privatliv;

Threat og risikoanalyse,

Compliance forpliktelse spekter;

håndhevingsmekanismer;

Intern tilgang revisjon og opplysningskrav;.

Foreign Corrupt Practices ledelse

Raether og Ganow anbefaler at en BAA bør kreve tredje -Party entreprenører til, "følg med samme sikkerhet rammer som følger i selskapet." Og, "eventuelt selskapene skal sikre retten til å revidere sine tredjepartsleverandører og deretter faktisk fullføre en slik revisjon."

Trulove tilbudt flere anbefalinger for det han kalte en "styring basert identitet ledelse, strategi," som inkluderer:

Selv med alt dette, Ulsch bemerket at det å beskytte integriteten av informasjon forblir det primære ansvaret for selskapet. "Mens forskjellige forskrifter kan også holde tredjepart ansvarlig, aldri anta at kravet om etterlevelse er overdras til et annet selskap,» skrev han.

Til slutt, Arlen sa en stor svakhet i BAAs eller SLA er at altfor ofte de er, "enten fokusert på en bestemt compliance regulering - det være seg PCI eller HIPAA -. som i seg selv ikke er en" sikkerhet "ting, men heller en" cover-rumper-in-disse-spesifikke-veier "ting
< p> "Reparasjonen vi trenger er meta-compliance - faktiske sikkerheten fremfor teater som lukter sikkerhet," sa han
.