Mengelola risiko dunia maya melalui rantai pasokan terintegrasi

Permainan terkini Data SGP 2020 – 2021. harian yang lain-lain ada diamati secara terpola via iklan yg kami umumkan di website ini, serta juga bisa dichat kepada petugas LiveChat support kami yg stanby 24 jam On the internet dapat melayani semua maksud antara pemain. Lanjut langsung sign-up, serta menangkan prize Toto & Live Casino On the internet terbaik yang tersedia di lokasi kita.

Rantai pasokan saat ini dapat dibandingkan dengan jalan sutra kuno berdasarkan panjang rantai, banyak titik kontak, dan variasi produk. Tapi di mana jalan sutra menjadi sumber kehidupan peradaban kuno karena alasan ini, kompleksitas rantai pasokan modern bisa menjadi kejatuhannya, membahayakan fungsionalitas dan, akibatnya, reputasi organisasi.

Saat ini, perangkat lunak pemenuhan, penyedia layanan TI, dan outsourcing proses bisnis (BPO) hanyalah beberapa contoh rantai pasokan yang masih mengandalkan sistem TI yang saling terhubung dengan berbagai tingkat akses ke berbagai bagian kawasan TI untuk memproses, berbagi, dan menyimpan data.

Pandemi juga telah mendorong organisasi untuk mempercepat rencana digital mereka dan menjangkau basis pelanggan mereka di dunia baru ini untuk berdagang dan tetap kompetitif.

Namun, risiko dunia maya yang meningkat selanjutnya menjadikan ini jalan yang sulit untuk dilalui, mendorong peningkatan regulasi, gangguan, denda yang meningkat, dan biaya tinggi untuk menyelesaikan masalah secara internal – dalam satu kasus menyentuh $ 100 juta untuk menahan dan memperbaiki pelanggaran data.

Tautan lemah di perusahaan Anda mungkin terletak pada pemasok dan mitra

Contoh berpengalaman baru-baru ini dalam sektor manufaktur, jasa keuangan dan transportasi telah sangat dipengaruhi oleh risiko keamanan yang berasal dari dalam rantai pasokan mereka, menyebabkan gangguan material yang sangat besar. Ini tidak terisolasi pada sektor industri tertentu, tetapi merupakan masalah luas yang perlu kita atasi.

Serangan rantai pasokan terjadi ketika seseorang menyusup ke sistem Anda melalui mitra atau pemasok luar dengan akses ke jaringan, sistem, dan – pada akhirnya – data Anda.

Ini telah secara dramatis mengubah permukaan serangan perusahaan biasa dalam beberapa tahun terakhir, dengan lebih banyak pemasok dan penyedia layanan menyentuh data sensitif daripada sebelumnya, memperluas dan mengaburkan batas perusahaan. Untuk organisasi dengan ribuan pemasok penting, ini menjadi tugas yang sangat menantang terlepas dari industrinya.

Efek kue lapis

Serangan terhadap SolarWinds membuat industri duduk dan memikirkan kembali pendekatan untuk mengelola risiko tidak hanya di lanskap TI mereka sendiri, tetapi juga pemasok dan sub-pemasok yang terhubung dengan mereka. Regulator mencoba menangani ini dengan undang-undang yang diperbarui, tetapi dengan meningkatnya kesadaran publik dan jenis serangan baru, ini lebih merupakan tantangan daripada sebelumnya.

Menurut sebuah laporan oleh Waktu New York, serangan SolarWinds menembus lebih dari “beberapa lusin” jaringan pemerintah dan perusahaan, seperti yang diperkirakan sebelumnya. Sebanyak 250 organisasi telah terpengaruh, dan para penyerang memanfaatkan beberapa lapisan rantai pasokan.

Kita harus mempertimbangkan ‘sistem’ menyeluruh dari ujung ke ujung dan menilai risiko yang dapat memengaruhi operasi, data, dan pelanggan untuk meminimalkan dampak yang sangat nyata, negatif, dan material yang dapat ditimbulkannya. Batasan manajemen risiko keamanan informasi bersifat cair, didorong oleh kebutuhan bisnis, termasuk dampak geografis. ‘Siapa’ yang terhubung dengan ‘apa?’

Sebuah laporan baru-baru ini, Risiko data di ekosistem pihak ketiga, disusun oleh The Ponemon Institutedan ditugaskan oleh Opus, menyatakan bahwa 60% pelanggaran data berasal dari dalam rantai pasokan, di mana kelemahan dalam lanskap kontrol mereka mendukung operasi mereka sendiri. Waktu untuk melaporkan pelanggaran kepada otoritas pengatur lebih pendek, sehingga peretasan dunia maya berdampak lebih besar pada mengikis penilaian pasar, reputasi merek, dan kepercayaan konsumen.

Jadi apa yang bisa dilakukan? Ada beberapa pertanyaan kunci, yang diuraikan di bawah ini, yang harus ditanyakan oleh para pemimpin kepada organisasi mereka dan pemasok mereka tentang bagaimana memperoleh jaminan atas kecukupan tindakan pengendalian yang ada.

Pemetaan sistem

Pertanyaan kunci meliputi: Siapa yang memiliki konektivitas ke dalam sistem kami? Sistem mereka berbeda, jadi bagaimana kita mengelolanya? Apa kebijakan keamanan mereka dan apakah itu dipatuhi? Sepertinya jaringan mereka sedang down, jadi apa artinya itu bagi kita? Apa undang-undang perlindungan data lokal yang berlaku untuk mereka? Apakah kita memahami kewajiban peraturan kita terhadap pelanggan kita? Dan apakah kita memahami aliran data antara kita dan pemasok kita?

Pertama dan terpenting, Anda harus memahami proses apa yang dilakukan mitra rantai pasokan atas nama Anda. Ini berarti memahami aplikasi, sarana akses, data yang diproses (pemetaan aliran data – ‘mengetahui’ data Anda), lokasi fisik (yang dapat berada di bawah peraturan dan undang-undang lokal yang berbeda); dan tidak melupakan secara komersial apa yang harus mereka lakukan untuk mengelola sistem Anda.

Ini akan membantu memperjelas di mana batas terletak dan Apa Anda perlu menilai dan memantau.

Menganalisa

Pertanyaan kunci meliputi: Apakah kita tahu apa yang harus dicari? Di mana data kita? Siapa yang memiliki akses? Siapa yang harus memiliki akses? Bagaimana mereka mengaksesnya? Dan apakah kita memiliki lingkungan/metode/sarana yang aman untuk berbagi file/data?

Penting untuk menilai sumber ancaman potensial dan risiko bawaan di seluruh rantai pasokan, dengan memanfaatkan praktik industri yang baik. Perhatikan baik-baik jalur serangan yang dapat diambil untuk melemahkan operasi Anda. Rantai pasokan/organisasi mitra harus berkewajiban untuk mengelola penanganan data Anda sesuai dengan standar praktik baik yang disepakati.

Kami mencari untuk memastikan pandangan orang, proses dan teknologi mengenai risiko, dan untuk memahami materialitas mengenai setiap risiko yang diidentifikasi. Teknik seperti wargaming bisnis dapat membantu mengartikulasikan risiko tersebut di lanskap TI yang sangat kompleks.

Remediasi

Pertanyaan kunci meliputi: Bagaimana kita berkolaborasi dengan aman? Solusi pragmatis apa yang dapat kita pertimbangkan? Bagaimana kita bisa tumbuh di lingkungan ini? Teknologi apa yang bisa kita manfaatkan? Bagaimana kita mendapatkan pandangan tentang batas organisasi yang membentang? Bagaimana kami mengelola pemrosesan dan penyimpanan data kami di seluruh domain yang saling terhubung? Bagaimana kita membangun kepercayaan dan loyalitas dengan pelanggan kita? Dan bagaimana kita mematangkan ketahanan operasional kita?

Untuk memulai kegiatan untuk menangani area dengan tingkat risiko yang tidak dapat diterima. Ini bisa apa saja dari kewajiban komersial antara pemasok dan Anda sendiri; membangun saling pengertian tentang selera risiko (nilai-nilai yang berpikiran sama, keyakinan, kekhawatiran, kontrol seperti yang Anda lakukan) menciptakan pendekatan gabungan untuk manajemen risiko; memperbarui kebijakan dan proses (termasuk perubahan dan bagaimana hal itu diuji dan diperkenalkan ke dalam produksi langsung); untuk mengatasi lubang teknis (pintu belakang dalam jaringan) di seluruh ekosistem yang dapat memberikan jalan masuk bagi penyerang.

Secara lebih luas, menetapkan budaya yang tepat untuk merangkul kebutuhan untuk mengelola risiko rantai pasokan juga akan mengubah pola pikir untuk bergerak melampaui kesiapan Anda sendiri ke pola pikir pihak ketiga Anda.

Pemantauan terus menerus

Pertanyaan kunci meliputi: Bagaimana kita dapat memanfaatkan teknologi dan mendorong efisiensi untuk mengelola risiko dunia maya di seluruh rantai pasokan yang besar dan kompleks? Bagaimana kita dapat menggunakan ini untuk menunjukkan kemampuan kita dalam mengelola risiko kepada regulator dan pelanggan kita? Dan bagaimana kita mendapatkan tampilan risiko secara real-time di seluruh sistem kita?

Langkah terakhir adalah menanamkan konsep ‘pemantauan berkelanjutan’. Ini dapat menjadi bagian dari risiko tata kelola perusahaan yang lebih luas dan proses kepatuhan untuk mengelola risiko. Untuk mendorong efisiensi dalam hal ini, kami sekarang berusaha untuk memanfaatkan teknologi.

Menurut Gartner: “Pemantauan kontrol berkelanjutan [CCM] adalah seperangkat teknologi untuk mengurangi kerugian bisnis melalui pemantauan berkelanjutan dan mengurangi biaya audit melalui audit berkelanjutan atas kontrol dalam aplikasi keuangan dan transaksional lainnya.

Kemajuan dalam kecerdasan buatan (AI) juga membantu membangun prediksi dan memberi kita kemampuan untuk merasionalisasi dan mengambil tindakan yang tepat terkait risiko. Organisasi sekarang dapat mengadopsi teknologi ini sebagai solusi seluruh bisnis untuk memantau sistem dan data utama untuk melindungi operasi bisnis, pendapatan, reputasi, dan keuntungan dari risiko dunia maya dan digital 24/7.

Ada banyak alat yang tersedia yang memungkinkan Anda untuk memantau pada proses dan tingkat kontrol teknis, termasuk kebijakan pemantauan melalui pengumpul yang ditempatkan di dekat sumber data pada mesin tertentu dalam wilayah pemasok Anda yang memberikan pelaporan waktu nyata untuk membantu mengidentifikasi potensi risiko pada operasi harian Anda.

Untuk menyimpulkan

Artikel ini telah menyentuh contoh-contoh berpengalaman yang menyoroti risiko denda terkait data, kerusakan reputasi, dan dampak nilai pasar, dengan biaya penerapan pendekatan pemantauan kontrol berkelanjutan menjadi investasi yang relatif kecil dibandingkan.

Sangat penting bahwa pemasok untuk operasi Anda menerima pandangan manajemen risiko yang diperluas ini untuk membantu semua pihak yang terlibat melindungi pelanggan akhir dan data mereka. Ini hanya dapat dilihat sebagai tumpang tindih proses manajemen risiko antara satu perusahaan dan perusahaan lain untuk menggunakan langkah-langkah siber proaktif.

Meningkatnya regulasi di ruang ini memaksa kita untuk mengatasi hal ini sekarang. Penerapan teknik otomatisasi canggih sebagai bagian dari rantai pasokan cerdas mengharuskan kami untuk mempertimbangkan risiko dunia maya dalam hubungannya dengan perkembangan di bidang ini.

Untungnya, teknologi memungkinkan kami untuk mempertajam batas yang dulu kabur dan memberikan jaminan kepada manajemen, pemangku kepentingan, dan pelanggan bahwa kami dapat mengambil langkah yang wajar untuk mengikuti laju perubahan dan mengelola risiko di dunia yang terhubung.

Carl Nightingale adalah pakar kepercayaan digital dan keamanan siber di PA Consulting.