企業管理第三方風險的4種有效方法
隨著下一代技術的興起,企業可以獲得比以往更多的資料,並有更多機會對這些資料採取行動。為了管理大量資訊,企業將合作伙伴網路擴充套件到新的第三方供應商。雖然這樣做有助於改善資料量挑戰,但它也帶來了新的安全障礙。
過去幾年中一些最具破壞性的違規行為通常是第三方的過錯。以Equifax公司的漏洞為例:由於第三方供應商在其中一個網頁上執行惡意程式碼,因此有1.48億人受到影響。眾所周知,減輕第三方風險在金融行業至關重要,但問題在於第三方將資料置於風險之中會影響全球各地的組織——無論他們處於哪個行業。
那麼解決方案是什麼?企業現在是時候控制其供應商生態系統了。隨著企業給第三方供應商提供網路和資料訪問時遇到的各種風險,警惕性至關重要。以下最佳實踐可以幫助保護企業的業務網路,併為成功的第三方風險管理奠定基礎。
1.評估自身的安全性
根據波洛蒙研究所的調查研究,50%的組織不知道誰有權訪問他們的資料,他們如何使用它,或者採取什麼安全措施來緩解安全事件。此外,Bomgar公司的一份報告發現,66%的組織聲稱他們可能在過去一年內因第三方訪問而遭到攻擊和破壞,62%是由於內部人員的原因。這種情況主要是由於缺乏跟蹤第三方的資源、技術的複雜性以及人員之間的溝通中斷。在近年來發生一系列備受矚目的資料洩露事件後,例如Under Armour、TaskRabbit和MyHeritage等相繼出現洩露事件,因此組織積極防範資料洩露的需求從未如此強烈。
調研機構Gartner公司預測到2020年網路安全支出將達到1130億美元,但即使當今的一些企業比以往任何時候都花費更多的時間和成本來避免破壞性的攻擊,但這可能還不夠。如果企業對其發生的所有事情的“誰”、“什麼”和“何處”缺乏瞭解,那麼可能會成為一個流氓系統或未修補的應用程式,遠離災難性的破壞。
為了應對第三方威脅,首先要評估企業自身的安全性。首先,制定覆蓋整個企業的多層防禦策略:所有端點、移動裝置、應用程式,以及資料。這些層應包括對來自第三方的所有網路和資料訪問請求的加密和多因素身份驗證。企業永遠不會有太多的安全性,但除非其IT部門正在通過網路及時更新軟體和管理補丁,否則額外的安全層將無法正常執行。
2.選擇能夠提高安全性而不是危及安全性的第三方供應商
企業在選擇第三方提供商時,請務必花費時間和精力。評估企業對供應商、第三方和業務合作伙伴的依賴性。某些第三方供應商只需要訪問企業的網路,而其他供應商則需要訪問特定資料。企業的第三方評估應側重於以下專案:
•合規性:新法規增加了加強第三方盡職調查的壓力。僱用第三方的公司也負責監控、測量和測試其第三方風險和合規性違規行為。不遵守這些規定可能導致昂貴的罰款、處罰和起訴,更不用說聲譽受損。
•內部流程:第三方供應商必須對建立自己的安全流程負責。同樣重要的是,他們審查自己的員工,以確保全面監控和報告可能出現的問題。要求他們擁有最新的補丁和漏洞保護。確定他們是否在過去一年中發生過任何事件,需要他們是明確是否已經吸取了教訓。
•建立“最低許可權”策略:確認誰可以訪問企業的資料和網路,特別是他們可以訪問的內容。定期檢查與第三方的憑據使用情況,並確定誰在合作伙伴中使用它們。此外,需要限制臨時訪問,因為它增加了漏洞。
無論企業多麼信任第三方供應商或與其合作多久,企業都必須不斷評估供應商的安全標準和技術。具有強大盡職調查和第三方治理的公司將在許多方面受益。
3.進行網路釣魚和密碼培訓
如果企業的員工沒有接受最佳實踐培訓,那麼安全流程和技術將毫無用處。如果企業的員工可以訪問敏感資訊,請有效地將其政策和程式傳達給他們。在資料保護方面,每個人都應該瞭解自己的角色。
即使擁有最安全的技術和人員,組織安全性中最薄弱的環節也可能是自己的內部員工。不出所料,網路釣魚詐騙已成為困擾全球企業的主要威脅。超過90%的漏洞都歸咎於網路釣魚攻擊。這些攻擊的複雜程度不斷提高,精明的黑客正在考慮針對易受攻擊的員工進行攻擊。
教育和培訓是安全預防的關鍵:Wombat Security公司的調查結果顯示,近30%的員工不知道網路釣魚是什麼。此外,對於將近三分之二的企業員工來說,勒索軟體是一個未知的概念。確保企業和其第三方供應商不斷培訓員工識別和報告可疑電子郵件。這樣做可以有效地將企業的員工和供應商生態系統從最薄弱的環節轉變為強大的第一道防線。還要確保員工在開啟郵件和電子郵件之前對其進行評估。在開啟電子郵件之前仔細檢查網址,並確定首先出現電子郵件的原因是改進此過程的第一步。
4.瞭解監管方案
隨著更加嚴格的資料法規生效,組織必須重新考慮其合規流程。如果企業以任何方式處理資料,可能需要了解歐盟的通用資料保護法規(GDPR)及其對處理任何歐盟資料的公司的廣泛影響。儘管許多組織努力在2018年5月的最後期限之前達成合規,但還是遠遠不夠。但是企業的第三方供應商呢?現在企業是否已經採取必要的步驟來實現GDPR合規?
根據新規則,任何第三方處理器現在都直接負責其合規性。第三方的處理人員和處理資料的組織都有義務確定共享哪些資料?為什麼共享資料?其儲存原因是什麼?以及操作是否必須更改?
這是一項艱鉅的任務,但這是一項重要的任務。組織應限制第三方訪問敏感資料,完成資訊審計以確定向第三方的資料流,僅收集服務於合法目的的資料,並確保所有主要領導者保持一致。為了確保繼續遵守GDPR法規,他們必須超越自己的流程,確保他們的第三方做好監管準備。否則,企業可能會因監管罰款或第三方資料洩露的迫在眉睫的風險而陷入困境。
成功管理第三方供應商是持續的實踐,而不是一次性任務。各種規模和行業的組織都需要將其擴充套件網路視為其自身安全系列的一部分。雖然企業的要求可能與另一個企業的要求不同,但所有企業都有責任,其中包括他們自己和客戶,需要實施適合其獨特風險和需求的措施。