УГРОЗЫ БЕЗОПАСНОСТИ ПРИ АУДИТЕ ВЕНДОРАМИ СЕРВИС-ПРОВАЙДЕРОВ
Людмила Кантова (Ludmila Kantova), IBM, AM Software Center of Competence Manager
Перевод оригинальной статьи из ITAK. ©2020 IAITAM, Все права защищены.
(Reprint from ITAK. ©2020 IAITAM, All rights reserved.)
Огромное спасибо IAITAM (www.iaitam.org) за разрешение на перевод.
Риск несоблюдения условий лицензионных соглашений - не единственный риск, с которым сталкиваются сервис-провайдеры во время аудита вендоров. Менеджеры программных активов должны обладать глубокими знаниями о потенциальных рисках безопасности, когда данные о Заказчиках предоставляются поставщику программного обеспечения или аудитору. В этой статье я хотела бы поделиться подробностями о потенциальных рисках и лучших методах их предотвращения. Очень важно убедиться, что люди, участвующие в аудите, проводимом внешним поставщиком, осведомлены об этих рисках.
ОГРАНИЧЕНИЯ, СВЯЗАННЫЕ С ЗАКОНОДАТЕЛЬСТВОМ НЕКОТОРЫХ СТРАН
Контракт на аутсорсинг, подписанный между сервис-провайдером и Заказчиком, может ограничивать доступ к данным, принадлежащим и используемым Заказчиком, для лиц, находящихся в конкретной стране. Это ограничение может распространяться даже на контракт об аутсорсинге. Лицензионные соглашения, подписанные между сервис-провайдером и поставщиком программного обеспечения, обычно являются глобальными. Лучшая практика в этом случае - привлечь эксперта по безопасности, разбирающимся в ограничениях, справедливых для данной страны, который маскирует данные до их передачи группе аудита.
НЕУПОЛНОМОЧЕННАЯ СТОРОНА
Раскрытие информации может привести к получению фактов или данных, к которым неуполномоченная сторона не должна иметь доступа. Контракты на аутсорсинг становятся все более строгими, когда речь идет о данных, принадлежащих и используемых Заказчиком. Штрафы за нарушение законов о кибербезопасности и конфиденциальности данных могут быть огромными. Сервис-провайдеры должны рассмотреть возможность назначения эксперта по безопасности для оценки каждого контракта на аутсорсинг и документирования ограничений. Для Заказчиков, участвующих в аудите, проводимом внешним поставщиком, эксперт по безопасности должен маскировать данные перед их передачей группе аудита.
ИСПОЛЬЗОВАНИЕ СЦЕНАРИЕВ И ИНСТРУМЕНТОВ ВЕНДОРОВ, ПРИ ПРОВЕДЕНИИ АУДИТА
Сценарии и инструменты, используемые поставщиками программного обеспечения для обнаружения использования программного обеспечения, могут вызывать сбои в ИТ-инфраструктуре и сильно нагружать технические ресурсы. Лучшая практика - договариваться с поставщиком программного обеспечения об использовании альтернативных источников данных. Дополнительный риск, связанный с использованием этих сценариев и инструментов, заключается в раскрытии информации, в которой поставщик программного обеспечения не нуждается и не имеет права просматривать. Это может привести к нарушению законов о конфиденциальности данных и/или дать поставщику программного обеспечения конкурентное преимущество. В случае отсутствия альтернативного источника данных, данные должны быть очищены от информации, которую поставщик не имеет права просматривать, и при необходимости должно использоваться маскирование данных. Маскировке, как правило, подлежат имена Заказчиков, включая аббревиатуры, Имена серверов, имена кластеров, доменные имена и имена пользователей.
СЕРВИС-ПРОВАЙДЕР ПРОТИВ ЗАКАЗЧИКА
Сервис-провайдеры часто ограничены условиями лицензионных соглашений. Эти условия обычно применяются в мультитенантной среде - среде, в которой размещается более одного внешнего Заказчика. Часто бывает, что только часть среды лицензируется в соответствии с условиями лицензионного соглашения с сервис-провайдером. Обычно это инфраструктура, поддерживающая Заказчика с помощью инструментов, принадлежащих сервис-провайдеру (мониторинг, безопасность, инвентаризация и другие). В случае, если среда частично лицензирована сервис-провайдером и частично заказчиком, критически важно обеспечить безопасность архитектурной документации, которая четко описывает среду. Эта документация поможет сервис-провайдеру согласовать объем аудита с поставщиком программного обеспечения.
ГРУППА РЕАГИРОВАНИЯ НА ВНЕШНИЙ АУДИТ
Группа реагирования на внешний аудит должна состоять только из лиц, квалифицированных для проведения аудита. Как минимум, команда должна состоять из экспертов в следующих областях: управление взаимоотношениями с поставщиками, юриспруденция, управление программными активами и безопасность. В среде сервис-провайдера может потребоваться поддержка технических специалистов и представителей Заказчиков. В случае отсутствия группы реагирования высока вероятность того, что поставщик программного обеспечения напрямую свяжется с техническими специалистами с просьбой запустить их инструменты и сценарии. В таком случае технические специалисты могут предоставить данные напрямую поставщику без какой-либо проверки, что приводит к высокому риску безопасности.
Люди часто считают, что во внешнем аудите нет места для переговоров. Но опытные члены подобных команд могут согласовывать сроки проведения аудита и альтернативные источники данных.
ОБ АВТОРЕ:
Людмила Кантова возглавляет группу экспертов по обнаружению программного обеспечения, управлению конфигурациями и лицензированию программного обеспечения в IBM. За свою карьеру в IBM Людмила внедрила более 200 инновационных инструментов для сокращения ручного труда и обеспечения комплайенс.
Ссылка на оригинал статьи: https://itak.iaitam.org/security-risk-in-vendor-audit-conducted-on-service-provider/
