Dalam hal membangun program keamanan, salah satu area yang paling sering diabaikan adalah manajemen vendor. Organisasi dapat memfokuskan sumber daya yang signifikan pada keamanan internal, seperti pemindaian kerentanan, manajemen log terpusat (terbuka di tab baru), atau pelatihan pengguna, sementara tidak memperluas ketekunan yang sama terhadap pihak ketiga mereka. Oleh karena itu, organisasi akhirnya mempercayakan keamanan jaringan dan data mereka kepada pihak ketiga yang tidak dikenal dan belum teruji.
Tentang Penulis
Zachary Curley, Konsultan di AT&T Cybersecurity.
Jika suatu organisasi tidak dapat memverifikasi keamanan pihak ketiganya, maka organisasi tersebut telah memperkenalkan potensi risiko dan mengurangi integritas sistem mereka. Karena rantai hanya sekuat mata rantai terlemahnya, penting untuk disadari bahwa meskipun penyebab pelanggaran disebabkan oleh pihak ketiga, nama dan merek perusahaan Anda tetap berisiko. Terlebih lagi, potensi biaya lain yang terkait dengan pelanggaran data dapat mencakup denda, kehilangan kepercayaan, kehilangan data, dan kerusakan merek.
Risiko yang ditimbulkan oleh manajemen vendor yang buruk
Beberapa organisasi mungkin mendapati diri mereka berpikir, “kerusakan apa yang sebenarnya dapat dilakukan oleh vendor?” Jawaban atas pertanyaan tersebut akan bervariasi berdasarkan akses, kontrol, dan data yang diberikan kepada mereka. Misalnya, jika katering kantor dibobol, risiko keseluruhan terhadap organisasi mudah diatasi hanya dengan membatalkan kartu apa pun yang ditawarkan kepada mereka.
Di sisi lain, jika itu adalah akuntan atau pengacara pihak ketiga, organisasi tersebut dapat mengalami kerugian yang jauh lebih besar. Dalam contoh ini, organisasi dapat merilis data yang sangat pribadi dan berpotensi berharga ke dalam sistem yang tidak diketahui, dengan kontrol yang tidak diketahui dan pengguna yang tidak diketahui. Garis pemikiran ini dapat diterapkan ke organisasi mana pun dan vendor apa pun, terlepas dari ukuran atau industrinya, dan dapat membantu mereka mengidentifikasi di mana harus memfokuskan upaya.
Setiap vendor yang memiliki akses ke sistem atau data secara inheren merupakan risiko bagi perusahaan. Setiap ancaman atau kerentanan yang dihadapi juga akan dihadapi oleh vendor. Pertanyaannya menjadi seberapa yakin organisasi bahwa vendor menanggapi ancaman ini dengan serius? Atau apakah mereka bahkan menyadarinya?
Langkah-langkah untuk mengurangi risiko vendor
Ada beberapa langkah yang dapat diambil organisasi mana pun untuk mengembangkan sikap yang lebih kuat dalam manajemen vendor. Harus diperhatikan bahwa untuk membangun program yang benar-benar efektif dan matang, organisasi harus bersedia mendedikasikan waktu dan sumber daya untuk melakukannya dengan benar.
Program manajemen vendor minimal harus memiliki komponen-komponen berikut:
Kebijakan
Kebijakan manajemen vendor harus mencakup tujuan di balik penilaian vendor, tanggung jawab staf, saluran komunikasi, dan komponen inti lainnya dari program menyeluruh.
Prosedur
Seiring dengan kebijakan tersebut, organisasi memerlukan beberapa prosedur yang ditetapkan untuk menerapkan dan mengelola program manajemen vendor secara efektif. Prosedur ini dapat meliputi:
Garis besar/alur kerja penilaian
Menentukan kriteria dimana vendor akan dinilai adalah prosedur pertama yang harus dibangun. Ini memandu staf saat meminta dokumen dari vendor dan meliput topik yang benar. Alur kerja (terbuka di tab baru) juga harus dikembangkan untuk menciptakan proses yang kuat dan berulang yang dapat ditingkatkan dan dimatangkan.
Manajemen dokumentasi
Prosedur ini harus menguraikan persyaratan untuk pengumpulan dokumentasi dan memberikan panduan tentang cara mengumpulkan dan menyimpan informasi yang diperlukan. Manajemen dokumen (terbuka di tab baru) adalah kunci untuk program jangka panjang, terutama ketika tiba waktunya untuk penilaian ulang.
Persyaratan bukti
Menguraikan bentuk bukti yang dapat diterima yang dapat disajikan untuk membuktikan keamanan akan merampingkan dan mempercepat proses peninjauan vendor. Persyaratan khusus dapat bervariasi menurut ukuran dan jenis vendor, tetapi dapat mencakup hal-hal seperti laporan audit, uji penetrasi yang disunting, sertifikasi, atau kebijakan.
Setiap prosedur atau proses di atas yang dibuat harus relevan dengan ukuran dan ruang lingkup program dan harus sesuai dengan operasi umum organisasi.
Peringkat
Untuk memastikan bahwa sumber daya digunakan secara efektif, organisasi harus membuat sistem peringkat untuk mengklasifikasikan vendor. Meskipun tidak ada jawaban yang ‘tepat’ untuk menentukan peringkat vendor, beberapa metrik yang digunakan untuk menentukan secara kritis adalah:
- Sensitivitas data yang mereka terima
- Volume data yang mereka terima
- Pentingnya layanan yang mereka berikan
Ini dapat digunakan sendiri atau digabungkan untuk membentuk sistem peringkat yang lebih kuat. Ada cara lain untuk menentukan peringkat vendor dan memilih metrik yang paling sesuai dengan organisasi.
Poin Eskalasi
Sebagai bagian dari kebijakan dan prosedur yang mendukung program ini, harus ada staf yang ditentukan yang berfungsi sebagai titik eskalasi untuk masalah atau masalah keamanan apa pun. Staf ini harus menjadi anggota senior organisasi atau mereka yang berwenang untuk membuat keputusan. Ini adalah komponen penting dari program apa pun karena, sayangnya, tidak semua vendor mau memperbaiki kesenjangan, atau bahkan menjalani penilaian. Dalam kasus ini, terserah kepada anggota staf yang ditugaskan untuk menentukan tindakan terbaik.
Persyaratan Kontrak
Pastikan untuk memiliki kontrak standar dengan vendor yang mencakup hal-hal seperti perjanjian tingkat layanan (SLA) untuk memastikan bahwa vendor benar-benar berkewajiban untuk menyediakan layanan yang dibeli dari mereka. Tanpa SLA, organisasi memiliki sedikit bantuan jika vendor mengalami pemadaman jangka panjang, atau gagal memberikan layanan yang dijanjikan.
Secara internal, persyaratan ini harus dipantau oleh tim atau karyawan tertentu (terbuka di tab baru) yang bekerja dengan vendor ini secara teratur. Staf yang menggunakan sistem atau bekerja dengan vendor akan berada di tempat terbaik untuk mengetahui ketidaknormalan atau kegagalan kontrak.
Kesimpulan
Manajemen vendor adalah tugas yang kompleks dan intensif waktu yang banyak organisasi tidak dan – dalam banyak kasus – tidak dapat mendedikasikan waktu dan sumber daya untuk mengelola. Tapi itu tidak boleh diremehkan sebagai landasan keamanan siber apa pun (terbuka di tab baru) prakarsa. Untuk perusahaan dengan jumlah vendor yang sedikit, hal ini dapat dikelola, tetapi sebagian besar organisasi memerlukan dukungan tambahan untuk membuat dan menerapkan program manajemen vendor secara efektif. Dengan mendedikasikan sumber daya (terbuka di tab baru) untuk mengembangkan program, organisasi dapat mulai memahami dan bekerja untuk menghilangkan ancaman yang ditimbulkan oleh pihak ketiga mereka.
- Perlu melindungi bisnis Anda secara online? Kami menampilkan keamanan titik akhir terbaik.