网络安全准备有很多好处,但除非有适当的控制措施,否则这些知识不会阻止恶意角色破坏组织的安全墙。
根据2019年Juniper的一份研究报告,预计到2024年,数据泄露的成本将从每年的3万亿美元上升到5万亿美元。这对于依赖第三方服务进行核心运营的大型组织来说尤为重要。Opus和Ponemon Institute于2018年进行的一项研究发现,近60%的公司遭遇了与第三方供应商相关的数据泄露。
例如,2019年,Quest Diagnostics宣布通过其第三方账单收集机构泄露1190万患者信息。最近的一个例子来自数字银行提供商Dave,该公司在7月份披露了一个涉及750万用户信息的漏洞。该公司表示,违规行为是由其一家前第三方供应商造成的。
最终,数据泄露会给受影响公司造成重大的财务损失和声誉损失。对第三方企业的威胁和风险进行审查,以使第三方企业的风险最小化。
以下是企业在选择新供应商时应认真对待第三方威胁和网络安全问题的原因。
更多供应商导致第三方网络威胁增加
今天,组织通常依赖许多第三方供应商来支持他们并顺利地执行他们的操作。例如,苹果2019年的供应商名单包括200家与其供应链相关的公司。
在许多情况下,网络风险源于供应商的安全漏洞。例如,加密货币钱包应用程序Agama由于其第三方JavaScript库中存在严重漏洞而遭到黑客攻击。
组织在管理第三方网络威胁时面临的主要挑战是其合作伙伴的安全协议超出了公司的直接控制范围。企业投资资金和有技能的人员来保护其信息系统不受数据泄露的影响,但这通常只会影响其内部环境,并使它们对其服务提供商实施的安全措施控制有限。
选择供应商时要问什么
为了帮助确定潜在的合作伙伴是否认真对待安全问题,以下是在为公司评估新供应商时要问自己的八个问题。
1.他们是否有安全联系人或首席信息安全官?
如果第三方部署专用资源来管理风险和保护其关键信息,则表明他们以极其严肃的态度采取了安全措施。
2.他们是否有行业认证,或者他们是否与NIST等行业框架保持一致?
虽然行业认证不一定表明第三方安全控制的有效性,但它确实为供应商保护其系统和客户信息的承诺提供了额外的保证。
3.他们是否有成熟的威胁管理和情报计划?
确定他们的安全控制的有效性是很重要的。这可以通过审查独立的安全审计报告来评估供应商的漏洞管理、安全软件开发过程和威胁管理程序(如网络情报)来实现。
4.他们允许“审计权”吗?
根据第三方的风险状况,您可能需要考虑加入一项条款,规定有权审计第三方的系统,以确定其风险和风险敞口。
5.他们是否有成熟的事件响应计划,包括事件通知服务级别协议?
有关数据保护和隐私的法规变得越来越严格,组织有义务在规定的时间内披露重大违规行为。信息披露的责任在于数据所有者和保管人,因此您的组织需要与受影响的供应商密切合作,以满足这些时间表,以避免潜在的不合规或处罚。
6.他们是否遭受过严重的网络攻击或数据泄露?
没有一个组织能够免受网络攻击;然而,当一个组织面临明显的漏洞时,明智的做法是了解失败的控制以及该组织如何处理这些控制以防止再次发生。
7.您的数据处理要求是否与供应商的产品一致?
组织可能有严格的要求或业务需要来处理或不处理特定位置或地区的数据。在选择供应商时,必须就这些要求达成一致,并对其进行持续监控。
8.他们的网络成绩好吗?
谨慎的做法是确定一个组织的风险敞口,以预测由于它们的暴露而导致潜在违规的可能性。有许多组织为供应商提供网络评分,并允许您将其与类似供应商进行比较。
【参考来源:forbes】