IG3

Pantau Cakupan dan Efektivitas Penyedia Layanan Secara Aman

Kelompok Kontrol: 15. Manajemen Penyedia Layanan

Jenis Aset: Data

Fungsi Keamanan: Deteksi

Deskripsi

Pantau cakupan dan efektivitas penyedia layanan secara aman. Contoh implementasi termasuk memantau pemindaian akun, laporan audit, tinjauan kontrak, dan pengendalian layanan penyedia.

Daftar Periksa Implementasi

1

Aktifkan pencatatan log pada semua sistem dalam lingkup

2

Konfigurasikan penerusan log ke SIEM terpusat

3

Tentukan periode retensi log sesuai kebijakan

4

Tetapkan jadwal dan prosedur peninjauan log

Rekomendasi Alat

ServiceNow Vendor Risk Management Gartner MQ Leader, IT Risk Management 2024

Manajemen risiko pihak ketiga dengan penilaian vendor otomatis, pemantauan berkelanjutan, dan penilaian risiko

ServiceNow · Langganan perusahaan

OneTrust Third-Party Risk Forrester Wave Leader, Privacy Management 2024

Platform manajemen risiko pihak ketiga dengan otomasi penilaian vendor, pemantauan berkelanjutan, dan pemetaan kepatuhan

OneTrust · Langganan perusahaan

BitSight Security Ratings Forrester Wave Leader, Security Ratings 2024

Platform peringkat keamanan yang menyediakan pemantauan berkelanjutan terhadap postur keamanan siber vendor dengan penilaian risiko berbasis data

BitSight · Langganan perusahaan

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Pelanggaran Penyedia Terdeteksi Berbulan-bulan Setelah Kejadian

Confidentiality

Penyedia layanan yang dipantau mengalami pelanggaran yang tidak ditemukan selama berbulan-bulan karena organisasi tidak memiliki program pemantauan berkelanjutan untuk melacak perubahan postur keamanan penyedia atau paparan dark web.

Kerentanan Kritis Penyedia Dibiarkan Tidak Ditambal Tanpa Pengetahuan Perusahaan

Integrity

Penyedia layanan utama menunda penambalan kerentanan kritis di platform mereka, dan organisasi tidak menyadari karena tidak memantau catatan rilis atau advisory keamanan penyedia.

Kredensial Perusahaan Ditemukan di Dark Web Terkait Pelanggaran Penyedia

Confidentiality

Kredensial pengguna perusahaan muncul di pasar dark web setelah kompromi penyedia, tetapi organisasi tidak memiliki kemampuan pemantauan untuk mendeteksi paparan ini dan memicu rotasi kredensial.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Pemantauan Berkelanjutan terhadap Keamanan Penyedia Layanan

Tanpa pemantauan berkelanjutan, organisasi tidak dapat mendeteksi perubahan dalam postur keamanan penyedia, status kepatuhan, atau paparan terhadap pelanggaran di antara penilaian berkala.

Tidak Ada Pemantauan Dark Web atau Intelijen Ancaman untuk Paparan Penyedia

Ketiadaan pemantauan dark web berarti organisasi tidak dapat mendeteksi ketika kredensial, data, atau akses terkait penyedia diperdagangkan atau dieksploitasi oleh aktor ancaman.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Teknis	Dasbor SIEM yang menunjukkan sumber log dan status pengumpulan	Diambil setiap bulan
Catatan	Catatan peninjauan log dan temuan	Setiap siklus peninjauan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Risiko Pihak Ketiga

Control 15

Pengamanan Terkait di Kontrol 15

15.1 Tetapkan dan Pelihara Inventaris Penyedia Layanan

15.2 Tetapkan dan Pelihara Kebijakan Manajemen Penyedia Layanan

15.3 Pantau Penyedia Layanan

15.4 Pastikan Kontrak Penyedia Layanan Mencakup Persyaratan Keamanan

15.5 Evaluasi Penyedia Layanan

15.7 Penghentian Penyedia Layanan Secara Aman