오늘날 기업들은 모든 측면에서 엔드 투 엔드 지원을 제공하는 제3자 공급업체에 의존하고 있습니다. 이러한 제3자는 고객의 모든 민감하고 기밀 정보에 쉽게 접근할 수 있습니다. 경우에 따라 대부분의 제3자는 다른 공급업체를 통해 서비스를 제공하기도 합니다. 이처럼 확장된 체인 구조로 인해 고객은 누가 자신의 데이터에 접근하는지 통제할 수 있는 권한이 거의 없습니다.
잘못된 아웃소싱 결정은 데이터 유출의 주요 원인입니다. 최근 포네몬(Ponemon) 조사에 따르면, 응답자의 56%가 작년에 제7자 데이터 유출을 경험했다고 답했는데, 이는 전년 대비 XNUMX% 증가한 수치입니다.
제3자 위험이 증가하는 위협이 되는 주요 이유
1. 전체 공급망의 가시성 부족: 대부분의 기업은 공급망에 대한 종단 간 가시성을 확보하지 못하고 있습니다. 이러한 경우, 기업은 자사 공급업체가 사이버 위협으로부터 얼마나 보호받고 있는지, 또는 데이터 유출에 대한 엄격한 정책과 절차를 갖추고 있는지 확신하지 못합니다.
2. 공급업체 측의 오래된 시스템: 기업들은 공급업체/벤더의 IT 시스템을 제대로 통제하지 못하는 경우가 많습니다. 공급업체 측에서 오래된 시스템이나 패치가 적용되지 않은 장비는 사이버 공격의 잠재적 표적이 될 수 있으며, 이는 간접적인 공격으로 회사 데이터 유출로 이어질 수 있습니다.
3. 파일/데이터 공유가 증가하고 있습니다. 많은 기업이 FTP와 토렌트를 사용하여 공급업체와 방대한 양의 데이터를 공유합니다. 특히 의료 산업에서 이러한 경향이 두드러집니다. 직접 제어할 수 없는 시스템과의 상호작용이 많을수록 관련 위험도 커집니다.
4. 공급업체 위험에 대한 엄격한 규정: 규제 당국은 공급업체와 관련된 위험 관리에 점점 더 엄격해지고 있습니다. 이는 마진을 유지하는 동시에 공급업체 중단을 방지해야 하는 경제적, 법적, 규제적 난관에 끊임없이 직면한 기업들의 압박을 가중시킵니다.
자세히보기 : 의료: 공급업체의 사이버 보안 위험
따라서 회사의 사이버 보안 설정에서 제3자 위험을 최소화하는 것이 매우 중요합니다. 다음은 다음과 같습니다. 위험을 완화하기 위한 몇 가지 팁 제3자 공급업체와 긴밀히 협력하면서.
1. 공급업체를 자세히 살펴보세요. 제3자 공급업체는 많은 조직 데이터에 접근하기 때문에, 기업은 누가 자사 데이터에 접근하고 어떤 유형의 데이터에 접근하는지 충분히 파악하는 것이 중요합니다. 첫 번째 단계는 공급업체의 특성, 사업 영역 및 관련성, 그리고 부여된 접근 유형을 완전히 이해하는 것입니다.
2. 데이터 접근을 제한하세요: 회사 데이터 및 시스템에 대한 접근 권한은 정기적으로 검토되어야 하며, 꼭 필요한 경우에만 접근 권한을 부여해야 합니다. 필요한 경우, 조직의 민감하고 필수적인 데이터는 클라우드에 별도로 보관하십시오.
3. 엔드포인트 보안을 연습하세요. 모든 시스템은 엔드포인트이며, 각 단말은 자체 보안을 책임집니다. 상용 클라우드 시스템은 엔드포인트 위험을 증가시켰으므로, 모든 시스템은 위협에 대응할 수 있도록 구축되어야 합니다. Seqrite EPS와 같은 강력한 엔드포인트 보안 솔루션을 사용하면 모든 엔드포인트의 보안을 항상 유지할 수 있습니다.
4. 공급업체 관리 계획을 수립하세요. 조직과 공급업체 간의 잘 설계된 계약은 건전한 관계를 유지하는 데 도움이 될 뿐만 아니라 제3자 위험을 최소화하는 데에도 도움이 됩니다. 아래 언급된 것과 같은 몇 가지 중요한 요소들이 계약에 반드시 포함되어야 합니다.
- 공급업체는 사이버보안 관행에 대한 보증을 제공해야 하며, 해당 회사가 보안 기대치를 충족하고 유지할 수 있는 능력에 대한 감사를 실시할 수 있는 권한을 부여해야 합니다.
- 공급업체는 보안 문제가 발생한 경우 해당 사실을 귀하에게 알려야 합니다.
- 조직의 데이터에 대한 다운스트림 전송을 제어하고 제한합니다.
- 계약을 종료하면 공급업체는 귀하의 모든 데이터를 파기해야 합니다.
- 공급업체는 사이버 보안 관련 보험에 가입해야 합니다. 데이터 유출 발생 시 양측이 부담할 손해 배상 비율에 대해 귀하와 공급업체는 상호 합의해야 합니다.
기업들은 더 나은 마진을 위해 끊임없이 노력하면서 벤더 및 공급업체에 대한 의존도가 높아지고 있습니다. 이에 따라 제3자 위험 또한 증가하고 있습니다. 이러한 위험 관리는 기업에게 매우 중요합니다. 하지만 제3자 위험 관리는 일회성 활동으로 여겨서는 안 됩니다. 제3자 위험 관리는 사후 대응이 아닌 예방적 차원으로 이루어져야 합니다. Seqrite와 같은 우수한 보안 솔루션과 더불어 개선된 거버넌스를 통해 관련 위험을 완화할 수 있습니다.
귀사의 IT 보안 파트너로서, 시크라이트 지능형 사이버 위협으로부터 포괄적인 엔드포인트 보안을 제공합니다. 자세한 내용은 당사 웹사이트를 방문하세요. 웹 사이트 or
