¿Cuáles son algunas señales de alerta en una evaluación de seguridad de un proveedor?



Pregunta: ¿Cuáles son algunas señales de alerta que se deben buscar en una evaluación de seguridad de un proveedor?

John Bambenek, principal cazador de amenazas en Netenrich: El problema con las evaluaciones de seguridad proporcionadas a los proveedores es que a menudo no existe una buena manera de verificar la información. Las empresas de riesgo de terceros pueden informarle y brindarle información sobre la postura de seguridad typical de una organización, y con demasiada frecuencia hemos visto que los regímenes de cumplimiento son insuficientes para garantizar un nivel razonable de seguridad. También existe un conflicto inherente al depender de terceros para certificar el cumplimiento… la persona que necesita certificar les paga.

Me gusta incluir «requisitos» de seguridad que un proveedor no podría cumplir o no sería rentable de implementar. Utilizo esto como un cheque de honestidad. Los equipos de ventas, de forma predeterminada, le dirán a un cliente que hacen todo y cualquier cosa, incluso cuando no lo hacen, para garantizar una venta. Sin realizar una verificación de terceros o enviar un equipo de auditoría, no hay forma de evaluar a cada proveedor de manera rentable.

Es por eso que trato de incluir una pregunta de «verificación de validez» en los requisitos en la que un proveedor honesto le diría, no, no hace «X» y le da una buena razón por la que no lo hace (no es rentable , fuera de un modelo de riesgo razonable, and so on.). Le muestra que el proveedor al menos está leyendo los requisitos en lugar de presionar los botones hasta obtener una orden de compra. También me muestra que puedo tener una conversación con ese proveedor entre pares sobre las formas razonables en que podemos proteger nuestras respectivas organizaciones.

Al last, si un proveedor le miente durante la venta, le mentirá después de la venta.

Manténgase al día con las últimas amenazas de ciberseguridad, vulnerabilidades recién descubiertas, información sobre filtraciones de datos y tendencias emergentes. Entregado diariamente o semanalmente directamente en su bandeja de entrada de correo electrónico.

Suscribir



Enlace a la noticia unique