このHelp Netセキュリティインタビューで、TMFグループのチーフセキュリティ&レジリエンスオフィサーであるKumar Raviは、過度な特権アクセスと弱いワークフロー管理が、静かに蓄積して気付かれないため、ランサムウェア攻撃よりも大きな危険を招くと主張しています。
彼は、法的特権とタイムリーな脅威情報共有の間の緊張関係、第4段階ベンダーリスク管理の課題、およびAIネイティブツール導入前に企業が問うべき質問に対処しています。彼のより広い主張は、セキュリティは取締役会レベルに置かれ、一貫して測定され、独立した保証によってサポートされる必要があるということです。
夜眠れなくさせる侵害は、必ずしも劇的なランサムウェア攻撃とは限りません。あなたの経験に基づいて、プロフェッショナルサービス業に固有の最も過小評価された脅威ベクトルは何ですか?また、なぜそれは見落とされ続けるのですか?
最も過小評価されている脅威ベクトルの2つは、段階的で目に見えません。これらは、ユーザーが役割に必要以上の権限を持つ過度な特権アクセス、および日常のワークフローにおける弱い管理です。
これらは、ゆっくりと気付かれずに、機密性とデータ保護の喪失につながります。1回限りの「大規模な」データ侵害の必要はありませんが、毎日発生するこれらのアクセスと特権の小規模な侵害はさらに危険です。これらは、アプリケーションへのアクセス、ドキュメントシステムの共有サービスアカウントなどで発見できます。
これは、すぐに危機に発展することはめったにないため、見落とされがちです。代わりに、明らかに無実の内部ポリシー違反と見なされることがあります。
ただし、これらの小規模な監督エラーは、複数のプロセス、チーム、システム、アプリケーション全体に蓄積します。これらを統合すると、インサイダーおよび外部脅威による横展開の攻撃機会につながる可能性があります。
ガバナンスが実施されていない場合、これは特に危険です。このを監督する責任を負う人がいなければ、誰も本当にそれを所有していません。したがって、データガバナンスを中心に置き、設計によるID・アクセス管理に焦点を当てることが、リスクを防止し、リスクが現れた場合に軽減する準備をするための鍵です。
特権と機密性保護は、企業が脅威インテリジェンスを相互に、または規制当局とさえ共有することに消極的になる奇妙なダイナミクスを生み出しています。その法文化は集団防御にどの程度積極的に機能しないのでしょうか?
法的特権と機密性は不可欠ですが、課題は、圧力の下で、企業がすべてのデータポイントを特権として扱う傾向がますます高まっていることです。これは、タイムリーな情報共有を遅らせ、危険にさらす可能性があるため、逆効果になる可能性があります。
これは重要な課題です。規制当局と同僚は、迅速で具体的で実行可能な情報を必要としています。
企業は、特権と機密性保護、および脅威インテリジェンス共有戦略のバランスを見つける必要があります。適切に実施されれば、これは法文化を損なうことなく、全体的なエコシステムレジリエンスの向上に役立つことができます。
中小企業は、ドキュメントレビューから財務モデリング、クラウドインフラストラクチャまで、膨大な量の機密業務をアウトソースしています。ベンダーのベンダーもクライアントデータにアクセスできる場合、企業はサードパーティリスクについてどのように考えるべきですか?
ベンダーはもはや外部の第三者と見なされるべきではありません。彼らは、これが必要とする義務、責任、信頼を伴う企業の統合サプライチェーンの一部になるべきです。
実際的なレベルでは、企業の責任は、エンドツーエンドのサプライチェーンと、それぞれのベンダーがその中で果たす役割を理解することです。これは、例えば、機密データを扱うすべてのパートナーの実績を保つこと、それらを分類すること、さらにベンダーにサブプロセッサーを公開することを要求することを意味します。
契約に署名する場合、企業はセキュリティ義務、インシデント通知タイムラインを設定し、データにアクセスする人と条件を知る権利が必要です。さらに、デューディリジェンスは1回限りのアンケートを超える必要があり、定期的に評価される必要があります。最小限の標準を設定し、ベンダーがそれらを強制していることを確認する必要があります。
業務をアウトソースすることはできますが、あなたとあなたのクライアントのデータを保護するための説明責任をアウトソースすることはできません。したがって、あなたの標準を実施するためにできるすべてをする必要があります。
リーガルテックとフィンテックは、効率向上を約束するAIネイティブツールで爆発しています。これらのベンダーと契約署名する前に、マネージングパートナーが問うべき質問は何ですか?どの回答がディールブレーカーになるべきですか?
AIネイティブツールのオンボーディングは、新入社員に企業の最も機密情報へのアクセスを与えることと見なされるべきです。これは具体的なガイドラインを与えることで行う必要があり、仮定をしないでください。
具体的な質問をする必要があります。ツールは何を取り込み、どこをベースにしており、どの管轄区域の法律がそれに適用されていますか?その情報は、他の顧客に利益をもたらすモデルの訓練に使用されていますか、それとも厳密にその会社の環境に保たれていますか?保持ルールは何ですか?削除をリクエストするプロセスは何ですか?どの監査ログが実施されていますか?
その上に、これらを追跡するための独立した評価が必要です。これらは、監査報告書、認証、ペネトレーションテストサマリー、インシデント記録などです。
契約を結ぶとき、企業は説明責任について非常に具体的である必要があります。セキュリティコントロール、侵害通知タイムライン、および障害が財務的、規制的、または評判的な損害につながった場合の責任に関して、彼らが何をコミットするかを明確にする必要があります。
プロフェッショナルサービス企業の構築方法、管理方法、または規制方法について、構造的に変更できることがあれば、それは何ですか?また、誰がそれに最も抵抗するでしょうか?
構造的変更を加えることができれば、セキュリティをコアビジネスコントロールとして扱うことであり、取締役会レベルで所有され、一貫して測定され、独立した保証を通じて証拠付けされています。目的は、予測可能なレジリエンスに向かって努力することです。これは、障害のポイントを減らし、問題が発生したときにより速い封じ込めを行い、より多くの透明性を意味します。
