企業(yè)對于第三方風(fēng)險(xiǎn)是否認(rèn)真對待?
由于通常第三方需要對數(shù)據(jù)泄露事件負(fù)責(zé),因此企業(yè)的內(nèi)部安全標(biāo)準(zhǔn)必須超出其組織的邊界,以涵蓋供應(yīng)商和其他外部合作伙伴。
在今年的數(shù)據(jù)泄露事件中,Capital One公司的1.06億條記錄對外泄露,Quest Diagnostics公司1190萬條記錄對外泄露,以及LabCorp公司的770萬條記錄對外泄露,這些只是大量泄露事件的其中幾個,那么這些事件有什么共同點(diǎn)?調(diào)查表明,在各種情況下,數(shù)據(jù)泄露事件都是由第三方造成的。在Capital One公司的數(shù)據(jù)泄漏事件中,其實(shí)是黑客利用其一個云計(jì)算合作伙伴服務(wù)器的配置漏洞進(jìn)行了攻擊。而另外兩個數(shù)據(jù)泄露行為被追溯到同一個第三方——美國醫(yī)療收集機(jī)構(gòu)(AMCA)系統(tǒng)。
數(shù)據(jù)泄露并不是什么新鮮事。僅在2018年就有超過50億條記錄對外泄露,而且經(jīng)常發(fā)現(xiàn)第三方存在過錯。數(shù)據(jù)泄露的潛在成本是巨大的。即使在清理漏洞,并且漏洞被關(guān)閉之后,企業(yè)仍有可能面臨數(shù)百萬美元的罰款和處罰,其聲譽(yù)受損,并且可能會持續(xù)數(shù)年的時間。
通過適當(dāng)?shù)牡谌斤L(fēng)險(xiǎn)管理策略,企業(yè)可以及時大幅降低數(shù)據(jù)泄露發(fā)生的可能性,并減少和避免對企業(yè)業(yè)務(wù)的不良影響。
這是一種期望不是一種選擇
在數(shù)據(jù)泄露的情況下,無知或不了解并不能作為企業(yè)進(jìn)行辯解的理由。第三方是否應(yīng)該受到指責(zé)并不重要——如果企業(yè)對數(shù)據(jù)負(fù)責(zé),那么將被追究責(zé)任。美國和歐洲的監(jiān)管機(jī)構(gòu)已經(jīng)明確表示,企業(yè)要對其收集和持有的數(shù)據(jù)負(fù)責(zé)。
遵守全球監(jiān)管要求是一項(xiàng)不斷變化的挑戰(zhàn)。實(shí)施數(shù)據(jù)管理和安全非常重要。開始將合規(guī)性視為旅程而不是最終目的。
雖然第三方風(fēng)險(xiǎn)管理在醫(yī)療保健和金融行業(yè)中尤為重要,因?yàn)槊舾袛?shù)據(jù)和多個合作伙伴的合作都很重要,但這一建議也適用于從制造到零售再到娛樂等行業(yè)。企業(yè)將業(yè)務(wù)外包擴(kuò)大了其潛在攻擊面,并增加了風(fēng)險(xiǎn),因此必須從一開始就仔細(xì)檢查。
提出正確的問題
雖然企業(yè)可以深入了解美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的網(wǎng)絡(luò)安全框架(CSF)和ISO 27001等技術(shù)指南,以幫助企業(yè)構(gòu)建可靠的信息安全策略和措施,但降低第三方風(fēng)險(xiǎn)的優(yōu)秀和最有效的方法是限制企業(yè)分享的內(nèi)容。先從以下問題開始:
- 為什么要外包這個特定服務(wù)或數(shù)據(jù)?
- 共享的確切內(nèi)容是什么?是否都需要共享?
- 企業(yè)是否正在盡一切可能加密或匿名化數(shù)據(jù)?
- 有關(guān)第三方是否轉(zhuǎn)包給其他方?
- 他們的數(shù)據(jù)中心在哪里?
- 企業(yè)有什么樣的合同?
- 如果發(fā)生數(shù)據(jù)泄露或服務(wù)故障,有哪些規(guī)定?
制定一個強(qiáng)有力的事件響應(yīng)計(jì)劃至關(guān)重要,它應(yīng)該清楚地描述處理可疑數(shù)據(jù)泄露的過程,其中包括誰負(fù)責(zé),報(bào)告和補(bǔ)救的現(xiàn)實(shí)時間表,以及明確的溝通渠道。由于最初的警報(bào)沒有得到適當(dāng)?shù)臉?biāo)記或及時處理,因此往往一場相對較小的事故會演變?yōu)橹卮鬄?zāi)難,這是很常見的。
定期供應(yīng)商評估至關(guān)重要
企業(yè)不能信任第三方——必須對第三方進(jìn)行徹底審查和定期評估。適當(dāng)?shù)牡谌斤L(fēng)險(xiǎn)管理需要明確的文件,其中包括盡職調(diào)查、詳細(xì)的風(fēng)險(xiǎn)評估、第三方關(guān)系圖以及明確的事件響應(yīng)要求。企業(yè)還應(yīng)該生成性能報(bào)告,并進(jìn)行定期審核。
必須在嚴(yán)密的服務(wù)等級協(xié)議(SLA)中列出所有內(nèi)容,以確保企業(yè)完全符合法規(guī)要求。如果最壞的情況發(fā)生,那么企業(yè)就應(yīng)該向監(jiān)管機(jī)構(gòu)展示其工作方式。如果不能正確地審查合同和第三方實(shí)踐,或者不能持續(xù)地對其進(jìn)行監(jiān)督,那么就會再次出錯。
傳統(tǒng)供應(yīng)商評估的問題在于,他們傾向于依靠評級系統(tǒng)來為企業(yè)提供易于理解的評分或等級,但任意數(shù)字并不能告訴企業(yè)足夠的潛在風(fēng)險(xiǎn)或如何處理。每年只進(jìn)行一次評審也很常見,但如果希望更放心的話,需要實(shí)時的可見性。
采取行動
成功管理第三方風(fēng)險(xiǎn)的最后一個重要組成部分是根據(jù)企業(yè)收集的信息采取行動。企業(yè)定期審核其供應(yīng)商甚至建立持續(xù)監(jiān)控都是良好的措施,但除非企業(yè)見解是可行的,否則它不會產(chǎn)生積極的影響。每次失敗都必須有一個補(bǔ)救計(jì)劃,而且還必須對補(bǔ)救工作進(jìn)行評估,以確保問題得到充分處理。
在極端情況下,如果補(bǔ)救措施不成功或供應(yīng)商多次未能達(dá)到企業(yè)認(rèn)同的標(biāo)準(zhǔn),企業(yè)的合同應(yīng)該規(guī)定可以終止合同,而不會受到懲罰,并找到更好的合作伙伴。如果企業(yè)沒有認(rèn)真對待第三方風(fēng)險(xiǎn),并確保其標(biāo)準(zhǔn)涵蓋內(nèi)部和外部數(shù)據(jù),那么企業(yè)將會破壞其安全工作,并且很有可能最終會為此付出高昂的代價(jià)。
