आज का साइबर सुरक्षा परिदृश्य तीसरे पक्ष के हमले की लगातार बढ़ती सतह से निपटने के लिए एक चुस्त और डेटा-संचालित जोखिम प्रबंधन रणनीति की आवश्यकता होती है।

जब कोई व्यवसाय डेटा और नेटवर्क एक्सेस साझा करके सेवाओं को आउटसोर्स करता है, तो वह अपने विक्रेताओं से अपने लोगों, प्रक्रियाओं, प्रौद्योगिकी और उस विक्रेता के तीसरे पक्ष से साइबर जोखिम प्राप्त करता है। विशिष्ट उद्यम औसतन लगभग 5,900 तृतीय पक्षों के साथ काम करता है, जिसका अर्थ है कि कंपनियों को भारी मात्रा में जोखिम का सामना करना पड़ता है, भले ही वे अपने स्वयं के ठिकानों को कितनी अच्छी तरह कवर करते हों।

उदाहरण के लिए, ब्लैक काइट की एक रिपोर्ट के अनुसार, 81 व्यक्तिगत तृतीय-पक्ष घटनाओं ने पूरे 2021 में 200 से अधिक सार्वजनिक रूप से प्रकट उल्लंघनों और हजारों लहर-प्रभाव उल्लंघनों का नेतृत्व किया।

तीसरे पक्ष के जोखिम के प्रबंधन के लिए मौजूदा बाहरी दृष्टिकोण अपर्याप्त है। इसके बजाय, उद्योग को बाहरी आकलन से परे बातचीत शुरू करके एक नए तीसरे पक्ष के जोखिम प्रबंधन दृष्टिकोण की ओर बढ़ने की जरूरत है। विशेष रूप से, व्यवसायों को सभी विक्रेताओं के लिए शून्य-विश्वास सिद्धांत स्थापित करना चाहिए, बाहरी और आंतरिक परिसंपत्तियों में जोखिम का आकलन अंदरूनी आकलन के साथ करना चाहिए और वास्तविक समय में साइबर जोखिम को मापना चाहिए।

इसका मुकाबला करने के लिए, उद्यमों को विक्रेताओं को अपने व्यवसाय के सबसेट के रूप में विचार करने की आवश्यकता है।

मंडरा रहा खतरा

एक उद्यम द्वारा अपने विक्रेताओं के साथ साझा किए जाने वाले डेटा और व्यवसाय-महत्वपूर्ण जानकारी की मात्रा चौंका देने वाली है। उदाहरण के लिए, एक कंपनी बौद्धिक संपदा को विनिर्माण भागीदारों के साथ साझा कर सकती है, बीमाकर्ताओं के साथ साझा करने के लिए क्लाउड सर्वर पर व्यक्तिगत स्वास्थ्य जानकारी (पीएचआई) स्टोर कर सकती है और मार्केटिंग एजेंसियों को ग्राहक डेटा और व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) तक पहुंच की अनुमति दे सकती है।

यह केवल हिमशैल का सिरा है, और अधिकांश व्यवसाय अक्सर नहीं जानते कि हिमशैल वास्तव में कितना बड़ा है। पोनमोन इंस्टीट्यूट द्वारा किए गए एक सर्वेक्षण में, सर्वेक्षण में शामिल 51% कंपनियों ने कहा कि वे गोपनीय जानकारी तक पहुंच की अनुमति देने से पहले तीसरे पक्ष के साइबर जोखिम की स्थिति का आकलन नहीं करती हैं। साथ ही, सर्वेक्षण में शामिल 63% कंपनियों ने कहा कि उनके पास इस बात की दृश्यता नहीं है कि विक्रेता किस डेटा और सिस्टम कॉन्फ़िगरेशन तक पहुंच सकते हैं, उनके पास इसकी पहुंच क्यों है, जिनके पास अनुमतियां हैं और डेटा कैसे संग्रहीत और साझा किया जाता है।

वास्तविक समय में जानकारी साझा करने वाले व्यवसायों के इस विशाल नेटवर्क के परिणामस्वरूप एक विशाल हमले की सतह होती है जिसे प्रबंधित करना कठिन होता जा रहा है। इस चुनौती को दूर करने के लिए, व्यवसाय अपनी तृतीय-पक्ष जोखिम प्रबंधन रणनीतियों में साइबर सुरक्षा पहल जैसे प्रश्नावली-आधारित ऑनबोर्डिंग सर्वेक्षण और सुरक्षा रेटिंग सेवाओं का उपयोग करते हैं।

जबकि इन उपकरणों के निश्चित उपयोग के मामले हैं, उनकी गंभीर सीमाएँ भी हैं।

साइबर सुरक्षा रेटिंग सेवाएं तीसरे पक्ष के जोखिम आकलन के लिए एक त्वरित और किफायती दृष्टिकोण है। उनकी सादगी – एक विक्रेता के साइबर जोखिम को एक स्कोर के रूप में प्रस्तुत करना, जैसे वित्तीय सेवाओं में क्रेडिट रेटिंग – उन्हें सीमाओं के बावजूद एक लोकप्रिय विकल्प बनाती है।