第三方是您的業(yè)務(wù)生態(tài)系統(tǒng)中不可避免的重要組成部分。他們是您的供應(yīng)商、合作伙伴和承包商。它們提高了效率,擴(kuò)大了您的影響范圍,并使提供最好的產(chǎn)品和服務(wù)成為可能。然而,從安全角度來(lái)看,它們也帶來(lái)了很大的風(fēng)險(xiǎn)。第三方云的錯(cuò)誤配置可能導(dǎo)致供應(yīng)鏈數(shù)據(jù)泄露風(fēng)險(xiǎn)。這些常見(jiàn)的第三方風(fēng)險(xiǎn)可能會(huì)使組織在聲譽(yù)、法律費(fèi)用和收入損失方面付出代價(jià)。
供應(yīng)鏈中存在哪些數(shù)據(jù)泄露風(fēng)險(xiǎn)?
隨著您添加更多軟件即服務(wù) (SaaS) 應(yīng)用程序以簡(jiǎn)化業(yè)務(wù)運(yùn)營(yíng),管理您的供應(yīng)鏈變得越來(lái)越困難。
2022 年數(shù)據(jù)泄露調(diào)查報(bào)告發(fā)現(xiàn)
有四種關(guān)鍵的妥協(xié)途徑:
- 證書(shū)
- 網(wǎng)絡(luò)釣魚(yú)
- 利用漏洞
- 僵尸網(wǎng)絡(luò)
82% 的違規(guī)行為涉及人為因素(憑據(jù)被盜、網(wǎng)絡(luò)釣魚(yú)等)
供應(yīng)鏈在 2021 年造成了 62% 的系統(tǒng)入侵事件
發(fā)現(xiàn)IBM 的2021 年數(shù)據(jù)泄露成本報(bào)告
數(shù)據(jù)泄露的平均總成本為 424 萬(wàn)美元
損失的業(yè)務(wù)占違規(guī)成本的最大份額,平均總成本為 159 萬(wàn)美元
*業(yè)務(wù)成本包括客戶流失率增加、系統(tǒng)停機(jī)導(dǎo)致收入損失以及聲譽(yù)下降導(dǎo)致獲得新業(yè)務(wù)的成本增加
識(shí)別和遏制數(shù)據(jù)泄露的平均天數(shù)為 287 天
然而,這種風(fēng)險(xiǎn)是可以控制的。一個(gè)可靠的第三方風(fēng)險(xiǎn)管理框架將幫助您了解您與第三方承擔(dān)的風(fēng)險(xiǎn)并限制您的責(zé)任。以下是您在選擇風(fēng)險(xiǎn)管理框架時(shí)需要了解的內(nèi)容。
選擇供應(yīng)商風(fēng)險(xiǎn)管理框架的5個(gè)步驟
1. 審查您的合規(guī)風(fēng)險(xiǎn)
當(dāng)您擴(kuò)展生態(tài)系統(tǒng)的成員使您面臨風(fēng)險(xiǎn)時(shí),您需要承擔(dān)責(zé)任。如果不是你自己的錯(cuò)也沒(méi)關(guān)系。根據(jù)大多數(shù)美國(guó)數(shù)據(jù)保護(hù)法,數(shù)據(jù)所有者而不是數(shù)據(jù)持有者應(yīng)對(duì)數(shù)據(jù)泄露和暴露負(fù)責(zé)。根據(jù)通用數(shù)據(jù)保護(hù)條例 (GDPR)也是如此,該條例要求公司跟蹤和保護(hù)他們處理的數(shù)據(jù),即使第三方正在存儲(chǔ)這些數(shù)據(jù)。為了盡量減少您的責(zé)任,您必須能夠證明您已盡職盡責(zé)。這就是風(fēng)險(xiǎn)管理框架的用武之地。
2. 了解風(fēng)險(xiǎn)管理框架
第三方風(fēng)險(xiǎn)管理框架為整個(gè)組織(包括擴(kuò)展企業(yè))提供一組基準(zhǔn)、策略和標(biāo)準(zhǔn)。這樣的框架側(cè)重于第三方以及對(duì)組織構(gòu)成最大風(fēng)險(xiǎn)的活動(dòng)。
大多數(shù)框架要求組織執(zhí)行以下操作:
- 盤點(diǎn)組織的第三方
- 第三方可能使組織面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)目錄
- 按風(fēng)險(xiǎn)評(píng)估和細(xì)分第三方
- 專注于關(guān)鍵活動(dòng)
- 開(kāi)發(fā)基于規(guī)則的盡職調(diào)查,以專注于風(fēng)險(xiǎn)最高的第三方
- 成立決策小組,自主治理
- 審查關(guān)鍵活動(dòng),為第三方風(fēng)險(xiǎn)管理框架設(shè)定基準(zhǔn)
- 定義三道防線,包括企業(yè)主、第三方監(jiān)督和內(nèi)部審計(jì)團(tuán)隊(duì)
使用多種風(fēng)險(xiǎn)管理框架,可能很難選擇正確的一種。
3. 了解哪些框架適用于您的組織
并非每個(gè)風(fēng)險(xiǎn)管理框架都適用于每個(gè)組織。一些框架是專門為某些行業(yè)設(shè)計(jì)的,而另一些則用于某些地理區(qū)域。許多可以一起使用。
兩個(gè)最廣泛使用的風(fēng)險(xiǎn)框架是來(lái)自美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST) 和國(guó)際標(biāo)準(zhǔn)組織 (ISO) 的風(fēng)險(xiǎn)框架。其他的,例如信息和相關(guān)技術(shù)的控制目標(biāo) (COBIT),通常在歐洲使用。一些標(biāo)準(zhǔn)被用作法規(guī)的基礎(chǔ),例如 NIST 800-53,它是許多聯(lián)邦監(jiān)管的網(wǎng)絡(luò)安全要求的基礎(chǔ)。
了解哪些框架適用于您的組織取決于您的行業(yè)以及您的規(guī)模。由于大多數(shù)都采用基于風(fēng)險(xiǎn)的方法,因此您需要審查第三方風(fēng)險(xiǎn),但您也可能會(huì)發(fā)現(xiàn)需求會(huì)根據(jù)您公司的獨(dú)特需求而變化。
4. 準(zhǔn)備好使用多個(gè)框架
在某些情況下,使用多個(gè)風(fēng)險(xiǎn)管理框架是有意義的。如果您使用多個(gè)框架,則需要確保您使用的框架相互映射,以便他們根據(jù)您組織的需求評(píng)估風(fēng)險(xiǎn)并實(shí)施控制,而不會(huì)在合規(guī)性方面留下任何差距。
選擇框架(或多個(gè)框架)的標(biāo)準(zhǔn)將取決于貴公司的具體需求。例如,醫(yī)療保健組織需要滿足醫(yī)療保健便攜性和責(zé)任法案 (HIPAA) 合規(guī)性要求。如果它接受付款,還需要滿足支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS) 的要求。
在整合多個(gè)第三方供應(yīng)商風(fēng)險(xiǎn)管理框架時(shí),您需要從您的業(yè)務(wù)目標(biāo)開(kāi)始,以確保您根據(jù)滿足這些業(yè)務(wù)目標(biāo)所需的合規(guī)性要求進(jìn)行選擇。您還需要考慮您負(fù)責(zé)的人員,例如股東、董事會(huì)成員或監(jiān)管機(jī)構(gòu)。
5. 智能管理第三方風(fēng)險(xiǎn)
公司看待風(fēng)險(xiǎn)的方式正在發(fā)生變化。根據(jù)德勤的擴(kuò)展企業(yè)風(fēng)險(xiǎn)管理調(diào)查,組織越來(lái)越多地使用擴(kuò)展企業(yè)風(fēng)險(xiǎn)管理來(lái)“利用風(fēng)險(xiǎn)的好處”,利用與第三方的合作伙伴關(guān)系來(lái)提高組織效率和品牌信心,同時(shí)變得更加創(chuàng)新和敏捷。良好的第三方風(fēng)險(xiǎn)管理框架可以保護(hù)組織的客戶、員工、知識(shí)產(chǎn)權(quán)和業(yè)務(wù)運(yùn)營(yíng)。實(shí)施一個(gè)并不是要完全消除風(fēng)險(xiǎn),而是要知道最高風(fēng)險(xiǎn)在哪里并適當(dāng)?shù)毓芾硭?/p>
