据infosecurity 1月4日报道,起源于第三方网络——如Fiserv, Sears, Delta, Saks, Lord & Taylor等网站的数据泄露事件继续成为全球新闻头条。因此,各地的组织都更加关注第三方供应商和承包商的安全,并开展第三方风险管理(TPRM)计划,来帮助他们避免成为下一个数据泄露受害者。
TPRM计划是抵御网络威胁入侵的重要防御手段。但更重要的是,企业需要实施正确的计划来有效地保护自己——首先要弄清楚TPRM的实际作用。
从网络规模要求和合规性因素,到供应商通信和数据源,近年来存在一些关于实施第三方风险计划的误区。
误区1 :TPRM仅适用于拥有庞大供应商网络的公司
一些人认为,一个组织拥有的供应商越多,数据泄露的可能性就越高;但实际只要有一个供应商就能造成数据泄露。所有组织需要保护敏感数据,需要考虑与第三方合作的风险。
安全领导者需要了解他们的整个第三方生态系统,以及哪些供应商与敏感数据交互。对于第三方较少的组织来说,这一过程比较容易,但无论公司或第三方网络规模如何,都不应忽视这一点。
误区2 : TPRM不是董事会的问题
根据Gartner预测,到2020年,75 %的世界500强公司将把供应商风险管理视为董事会层面的举措。不让董事会参与TPRM决策可能会导致缺乏支持和资源。成功的项目应获董事会的认可,并应持续报告TPRM计划。
误区3 :合规性是任何TPRM计划的首要目标
虽然合规性很重要,它应是TPRM计划的一个目标,但不应是唯一的目标。保持合规性并不能确保数据的安全性。结合全球和区域网络安全法规是个不错的选择,但只能确保最低标准。TPRM计划应该关注风险管理,而不是简单地用“对号入座”的方法。
此外,法规不常更新,但风险在不断变化。即使在过去一年内通过了更新的法规,也可能会出现无数新的风险。持续的研究和监控是制定强有力和有效的TPRM计划的必要条件。
误区4 :较长的供应商调查问卷会提高安全性
传统上,为了评估供应商的安全绩效,组织常使用网络风险问卷。随着网络威胁形势变得越来越复杂,人们有一种冲动,就是让问题变得更长,以期变得更全面。但实际上,这些冗长的调查问卷对供应商来说更令人恼火、更难分析。
更好的办法是根据潜在风险对供应商进行分级,并用持续监测数据补充调查问卷。这减少了他们需要向第三方询问的问题数量,使得TPRM计划总体上更加高效。
误区5 :组织不能影响第三方的网络安全实践
安全领导者可以使用许多工具来影响其供应商的安全性能。对大多数企业来说,影响第三方的最有效方式是通过契约关系。通过安全绩效的量化,组织可以在合同中包含明确的关键绩效指标。
有时,仅仅让他们意识到自己的安全失误或漏洞就足以引起改变。许多供应商没有意识到他们的网络风险。提供基于数据的解决方案能采取相应的行动来解决问题,这能保护两个企业并促进两者更好地合作。
误区6 :不可能对第三方的网络安全态势有一个全面的新看法
调查问卷、渗透测试和现场访问等工具只能在某个时间点提供安全性能视图。在这些评估之间,会出现大量新的安全威胁,供应商的安全做法可能会改变。使用连续监控可以用近乎实时的更新来填补这些空白。这可以让安全领导者更全面地了解第三方在任何时候的风险状况。
影响第三方IT基础架构的数据泄露可能会使企业损失数百万美元以上,企业无法承受因不当处理第三方风险带来的后果。通过打破这些误区,专注于持续监控,通过合作达到第三方安全性能,并让第三方风险成为董事会的问题,组织将会拥有更强大、更有效的TPRM计划,这一计划会像最新的威胁一样迅速发展。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
