第三方是您的業務生態系統中不可避免的重要組成部分。他們是您的供應商、合作伙伴和承包商。它們提高了效率,擴大了您的影響范圍,并使提供最好的產品和服務成為可能。然而,從安全角度來看,它們也帶來了很大的風險。第三方云的錯誤配置可能導致供應鏈數據泄露風險。這些常見的第三方風險可能會使組織在聲譽、法律費用和收入損失方面付出代價。
供應鏈中存在哪些數據泄露風險?
隨著您添加更多軟件即服務 (SaaS) 應用程序以簡化業務運營,管理您的供應鏈變得越來越困難。
2022 年數據泄露調查報告發現
有四種關鍵的妥協途徑:
- 證書
- 網絡釣魚
- 利用漏洞
- 僵尸網絡
82% 的違規行為涉及人為因素(憑據被盜、網絡釣魚等)
供應鏈在 2021 年造成了 62% 的系統入侵事件
發現IBM 的2021 年數據泄露成本報告
數據泄露的平均總成本為 424 萬美元
損失的業務占違規成本的最大份額,平均總成本為 159 萬美元
*業務成本包括客戶流失率增加、系統停機導致收入損失以及聲譽下降導致獲得新業務的成本增加
識別和遏制數據泄露的平均天數為 287 天
然而,這種風險是可以控制的。一個可靠的第三方風險管理框架將幫助您了解您與第三方承擔的風險并限制您的責任。以下是您在選擇風險管理框架時需要了解的內容。
選擇供應商風險管理框架的5個步驟
1. 審查您的合規風險
當您擴展生態系統的成員使您面臨風險時,您需要承擔責任。如果不是你自己的錯也沒關系。根據大多數美國數據保護法,數據所有者而不是數據持有者應對數據泄露和暴露負責。根據通用數據保護條例 (GDPR)也是如此,該條例要求公司跟蹤和保護他們處理的數據,即使第三方正在存儲這些數據。為了盡量減少您的責任,您必須能夠證明您已盡職盡責。這就是風險管理框架的用武之地。
2. 了解風險管理框架
第三方風險管理框架為整個組織(包括擴展企業)提供一組基準、策略和標準。這樣的框架側重于第三方以及對組織構成最大風險的活動。
大多數框架要求組織執行以下操作:
- 盤點組織的第三方
- 第三方可能使組織面臨的網絡安全風險目錄
- 按風險評估和細分第三方
- 專注于關鍵活動
- 開發基于規則的盡職調查,以專注于風險最高的第三方
- 成立決策小組,自主治理
- 審查關鍵活動,為第三方風險管理框架設定基準
- 定義三道防線,包括企業主、第三方監督和內部審計團隊
使用多種風險管理框架,可能很難選擇正確的一種。
3. 了解哪些框架適用于您的組織
并非每個風險管理框架都適用于每個組織。一些框架是專門為某些行業設計的,而另一些則用于某些地理區域。許多可以一起使用。
兩個最廣泛使用的風險框架是來自美國國家標準與技術研究院(NIST) 和國際標準組織 (ISO) 的風險框架。其他的,例如信息和相關技術的控制目標 (COBIT),通常在歐洲使用。一些標準被用作法規的基礎,例如 NIST 800-53,它是許多聯邦監管的網絡安全要求的基礎。
了解哪些框架適用于您的組織取決于您的行業以及您的規模。由于大多數都采用基于風險的方法,因此您需要審查第三方風險,但您也可能會發現需求會根據您公司的獨特需求而變化。
4. 準備好使用多個框架
在某些情況下,使用多個風險管理框架是有意義的。如果您使用多個框架,則需要確保您使用的框架相互映射,以便他們根據您組織的需求評估風險并實施控制,而不會在合規性方面留下任何差距。
選擇框架(或多個框架)的標準將取決于貴公司的具體需求。例如,醫療保健組織需要滿足醫療保健便攜性和責任法案 (HIPAA) 合規性要求。如果它接受付款,還需要滿足支付卡行業數據安全標準 (PCI DSS) 的要求。
在整合多個第三方供應商風險管理框架時,您需要從您的業務目標開始,以確保您根據滿足這些業務目標所需的合規性要求進行選擇。您還需要考慮您負責的人員,例如股東、董事會成員或監管機構。
5. 智能管理第三方風險
公司看待風險的方式正在發生變化。根據德勤的擴展企業風險管理調查,組織越來越多地使用擴展企業風險管理來“利用風險的好處”,利用與第三方的合作伙伴關系來提高組織效率和品牌信心,同時變得更加創新和敏捷。良好的第三方風險管理框架可以保護組織的客戶、員工、知識產權和業務運營。實施一個并不是要完全消除風險,而是要知道最高風險在哪里并適當地管理它。
