データ保護、アクセス管理、クラウド セキュリティ、インシデントの検出と処理、およびビジネス継続性: CyberVadis の調査により、サードパーティ リスクの増加につながる潜在的なギャップが明らかになりました。
サードパーティのサイバーセキュリティ リスク評価の大手企業である CyberVadis は、CyberVadis の証拠に基づく評価に対して、企業が宣言したサイバーセキュリティ対策を分析するための新しい研究を発表しました。 このレポートは、サイバーセキュリティの XNUMX つの重要な領域 (データ保護、アクセス管理、クラウド セキュリティ、インシデントの検出と対応、ビジネス継続性) に焦点を当て、認定されていない評価によるサードパーティ リスクの増加につながる潜在的なギャップを明らかにします。
サードパーティのサイバーセキュリティ リスク評価
CyberVadis は、自動化のスピードと専門家チームの正確さを組み合わせ、サイバーセキュリティ評価にベンダーを直接関与させます。 CyberVadis は、セキュリティ アナリストのチームで結果を検証し、IT セキュリティを強化するための詳細な改善計画と共に、他の企業と共有できるサイバーセキュリティ評価を作成します。
サードパーティのサービスを使用する企業が増えるにつれて、機密データのリスクが高まります。 しかし、多くの企業は、サプライ チェーンのセキュリティ体制を適切に理解または監視していません。 リソースの減少または時間の不足は、この欠乏の決定的な要因です。 このレポートのために、CyberVadis は 1.200 を超える組織から自己宣言されたサイバーセキュリティ コントロールを収集し、その結果を、それらのコントロールの完全で認定されたデモンストレーションに基づく独自の評価と比較しました。
レポートの主な調査結果は次のとおりです。
データ保護のデューデリジェンスは、必ずしも調達にまで及ぶとは限りません
ほとんどの組織は GDPR の要件を認識していますが、あまりにも多くの組織が内部データ処理ポリシーに注目し、サード パーティによる脅威を見落としています。 CyberVadis のアナリストによると、データ保護規制への違反の可能性に関連するリスクを評価した企業は 29 社に 49 社未満 (22%) でした。 組織の XNUMX% が適切なプライバシー慣行について従業員をトレーニングしていますが、調達プロセスにコンプライアンスとプライバシーのための専用の管理が含まれていることを確実にしている組織は XNUMX% にすぎません。
組織はリモート アクセスを許可していますが、常に安全であるとは限りません
COVID-19 のパンデミックによってリモート オペレーションへの移行が加速したため、組織の 62 分の 44 (37%) がシステムへのリモート アクセスを許可していると述べています。 CyberVadis によると、安全なリモート アクセス ソリューションを展開しているのは 25% のみでした。 もう少し心配なのは、XNUMX% のみが高特権アカウント用の高度な認証方法を実装しており、評価された組織の XNUMX% だけがサードパーティのアクセス管理を定義していることです.
クラウドプロバイダーの調達と管理に改善の余地あり
クラウドへの迅速な移行を示す別の例として、組織の 81% が現在クラウド モデルを使用していると述べています。 ただし、クラウドの構成ミスによる悪意のあるセキュリティ侵害の重大なリスクがあり、レポートでは、これが最も改善が必要な領域であることがわかりました。 CyberVadis の評価によると、クラウド プロバイダーに関連するリスクを管理している組織はわずか 26% であり、30% はクラウド プロバイダーがインシデント対応戦略を実施していることを確認しており、34% はクラウド プロバイダーが事業継続計画を持っていることを確認しています。
インシデント管理プロセスに SIEM が含まれていない、または再発を防止していない
今日の組織にとって、データ侵害は「もし」ではなく「いつ」の問題であるため、適切に準備する必要があります。 その中心にあるのは、永続的な損害が発生する前に、サイバー攻撃を早期に封じ込めることを可能にする強力なインシデント検出および対応機能です。 心強いことに、評価された組織の 75% がインシデント管理プロセスを定義していますが、セキュリティ情報およびイベント管理 (SIEM) ソリューションを実装しているのは 32% のみであり、インシデントの根本原因を特定するための「教訓」プロセスを備えているのは 32% のみです。再発の可能性を特定して軽減します。
危機管理は全面的に欠けていますが、組織はそれを支持しています
2020 年は、計画外の出来事を予測し、危機的な状況に対処するために必要な行動を取ることの重要性を示しています。 それにもかかわらず、レポートは、評価された組織における危機管理のさまざまな欠点を明らかにしています。 最初の自己評価で、95% の会社の管理者がこれを改善の可能性として挙げています。 CyberVadis のレビューでは、評価された企業の 44% のみが事業継続計画を定義しており、22% が計画を定期的にテストしているため、これが確認されています。 CyberVadis のアナリストはまた、評価対象の企業のうち、危機管理を定義しているのは 24% のみであり、定期的な危機演習を行っているのは 4% のみであることも発見しました。 優れた危機管理計画では、専任チームが十分に訓練されており、大規模なイベントが発生した場合に迅速に対応する準備ができている必要があるため、これは心配です.
レポートの方法論
CyberVadis は、米国、EMEA、APAC の 1.289 の組織によって宣言されたサイバーセキュリティ管理に関するデータを収集し、CyberVadis プラットフォームを介して標準化され、アナリストによって検証された監査を使用して評価しました。 完全なレポートはオンラインで読むことができ、ダウンロードすることもできます。
詳しくは CyberVadis.com をご覧ください
サイバーバディスについて
CyberVadis は、サードパーティのサイバーセキュリティ リスク評価のための、費用対効果が高くスケーラブルなソリューションを企業に提供します。 定額の年会費で、CyberVadis プラットフォームを介して無制限の数の証拠に基づく評価を実施します。 当社の直感的で使いやすいプラットフォームは、NIST、ISO 27001、GDPR、およびその他の多くのプライバシーおよびセキュリティ法を含むすべての主要な国際コンプライアンス基準に準拠する方法論に基づいています。 CyberVadis ソリューションは、自動化のスピードと専門家チームの正確性および有効性を兼ね備えています。