企業對于第三方風險是否認真對待?
由于通常第三方需要對數據泄露事件負責,因此企業的內部安全標準必須超出其組織的邊界,以涵蓋供應商和其他外部合作伙伴。
在今年的數據泄露事件中,Capital One公司的1.06億條記錄對外泄露,Quest Diagnostics公司1190萬條記錄對外泄露,以及LabCorp公司的770萬條記錄對外泄露,這些只是大量泄露事件的其中幾個,那么這些事件有什么共同點?調查表明,在各種情況下,數據泄露事件都是由第三方造成的。在Capital One公司的數據泄漏事件中,其實是黑客利用其一個云計算合作伙伴服務器的配置漏洞進行了攻擊。而另外兩個數據泄露行為被追溯到同一個第三方——美國醫療收集機構(AMCA)系統。
數據泄露并不是什么新鮮事。僅在2018年就有超過50億條記錄對外泄露,而且經常發現第三方存在過錯。數據泄露的潛在成本是巨大的。即使在清理漏洞,并且漏洞被關閉之后,企業仍有可能面臨數百萬美元的罰款和處罰,其聲譽受損,并且可能會持續數年的時間。
通過適當的第三方風險管理策略,企業可以及時大幅降低數據泄露發生的可能性,并減少和避免對企業業務的不良影響。
這是一種期望不是一種選擇
在數據泄露的情況下,無知或不了解并不能作為企業進行辯解的理由。第三方是否應該受到指責并不重要——如果企業對數據負責,那么將被追究責任。美國和歐洲的監管機構已經明確表示,企業要對其收集和持有的數據負責。
遵守全球監管要求是一項不斷變化的挑戰。實施數據管理和安全非常重要。開始將合規性視為旅程而不是最終目的。
雖然第三方風險管理在醫療保健和金融行業中尤為重要,因為敏感數據和多個合作伙伴的合作都很重要,但這一建議也適用于從制造到零售再到娛樂等行業。企業將業務外包擴大了其潛在攻擊面,并增加了風險,因此必須從一開始就仔細檢查。
提出正確的問題
雖然企業可以深入了解美國國家標準與技術研究院(NIST)的網絡安全框架(CSF)和ISO 27001等技術指南,以幫助企業構建可靠的信息安全策略和措施,但降低第三方風險的優秀和最有效的方法是限制企業分享的內容。先從以下問題開始:
- 為什么要外包這個特定服務或數據?
- 共享的確切內容是什么?是否都需要共享?
- 企業是否正在盡一切可能加密或匿名化數據?
- 有關第三方是否轉包給其他方?
- 他們的數據中心在哪里?
- 企業有什么樣的合同?
- 如果發生數據泄露或服務故障,有哪些規定?
制定一個強有力的事件響應計劃至關重要,它應該清楚地描述處理可疑數據泄露的過程,其中包括誰負責,報告和補救的現實時間表,以及明確的溝通渠道。由于最初的警報沒有得到適當的標記或及時處理,因此往往一場相對較小的事故會演變為重大災難,這是很常見的。
定期供應商評估至關重要
企業不能信任第三方——必須對第三方進行徹底審查和定期評估。適當的第三方風險管理需要明確的文件,其中包括盡職調查、詳細的風險評估、第三方關系圖以及明確的事件響應要求。企業還應該生成性能報告,并進行定期審核。
必須在嚴密的服務等級協議(SLA)中列出所有內容,以確保企業完全符合法規要求。如果最壞的情況發生,那么企業就應該向監管機構展示其工作方式。如果不能正確地審查合同和第三方實踐,或者不能持續地對其進行監督,那么就會再次出錯。
傳統供應商評估的問題在于,他們傾向于依靠評級系統來為企業提供易于理解的評分或等級,但任意數字并不能告訴企業足夠的潛在風險或如何處理。每年只進行一次評審也很常見,但如果希望更放心的話,需要實時的可見性。
采取行動
成功管理第三方風險的最后一個重要組成部分是根據企業收集的信息采取行動。企業定期審核其供應商甚至建立持續監控都是良好的措施,但除非企業見解是可行的,否則它不會產生積極的影響。每次失敗都必須有一個補救計劃,而且還必須對補救工作進行評估,以確保問題得到充分處理。
在極端情況下,如果補救措施不成功或供應商多次未能達到企業認同的標準,企業的合同應該規定可以終止合同,而不會受到懲罰,并找到更好的合作伙伴。如果企業沒有認真對待第三方風險,并確保其標準涵蓋內部和外部數據,那么企業將會破壞其安全工作,并且很有可能最終會為此付出高昂的代價。
