虽然组织可以评估和管理多个级别的风险,但第三方风险和缺乏强大的网络安全控制措施对业务弹性构成了强大的威胁。与这些风险领域相关的漏洞和服务中断导致许多企业的关键系统瘫痪。2021年,接受BlackKite调查的CISO中有53%表示他们至少经历过一次勒索软件攻击。值得重申的是:网络安全和第三方风险是企业长期生存面临的两个最大问题。企业需要能够处理这些风险向量,以全面了解其风险状况。跨职能流程对于管理这些风险领域之间的重叠以更好地保护企业和提高工作流程效率至关重要。确保供应商的网络安全实践符合组织的标准对于保护其系统和数据至关重要。事实上,它与业务的稳定性或产品和服务的交付一样重要。常见的第三方网络安全风险企业需要能够识别第三方风险的所有方面。以下是一些最常见的第三方网络安全漏洞,以及您如何与您的合作伙伴合作来缓解这些漏洞。数据泄露:勒索软件、网络钓鱼和对供应商或其系统的直接攻击威胁着企业的数据隐私。此外,组织安全性差且控制执行不力的供应商会给企业带来安全风险。服务中断:恶意软件和分布式拒绝服务攻击可能会破坏供应商的系统或提供给企业IT基础设施的服务。结果,这可能会使其系统暴露在外,或者企业无法为客户提供服务。合规风险:监管机构越来越多地让企业及其供应商参与网络安全合规。了解外部需要遵守的法规,并确保供应商遵守与其相关的法规。企业不断面临威胁,但降低风险需要的不仅仅是单一的防御手段。缺乏集成的网络安全和第三方风险管理(TPRM)系统可能会使组织无法预测、缓解或从漏洞中恢复。与第三方合作解决网络安全问题第三方风险管理(TPRM)和跨职能网络安全方法减少了重复工作,并为企业、供应商和合作伙伴提供了对企业风险的更深入洞察。在支持第三方风险管理(TPRM)工作时需要考虑以下一些行动:(1)弥合TPRM与网络安全之间的差距网络安全与TPRM的整合对于企业来说至关重要更好地理解和监控监管要求,控制以及内部政策和程序至关重要。组织应该明白,网络安全优先级的作用是确定供应商在第三方风险管理(TPRM)中遵守的监管标准和控制措施。集成这两种方法的组织将这两种功能从孤岛中解放出来,以减少工作流处理、报告以及更重要的风险决策制定中的重叠。企业必须了解第三方对其系统、数据和基础设施的访问。除此之外,努力确保采取充分和适当的措施和控制措施来保护这些系统和入口点。(2)进行深入的尽职调查一旦企业为网络安全控制和指标建立了坚实的内部基础,它就可以开始对新的和现有的供应商进行尽职调查。第三方风险管理(TPRM)团队应尽可能收集最相关的信息,以了解供应商固有和残留的网络安全风险,包括事件历史和未来状态展望。只有当他们的网络安全实践符合组织的政策时,才应选择和加入潜在的供应商,并且应该根据他们对组织构成的风险级别对他们进行分级。(3)持续的监控时间点评估不足以捕捉供应商不断变化的风险态势。通过持续监控供应商网络安全控制和状态的变化,定期评估供应商基础的安全性至关重要。在初始尽职调查期间完成的网络安全评级可以为供应商的安全评分,为组织的评估计划提供信息。根据供应商在一年、两年或三年时间范围内的总体风险评级,确定评估的范围和频率。了解并实施集成网络安全和第三方风险管理(TPRM)系统的组织可以全面了解其供应商的风险状况,为可能的威胁和违规行为做好充分准备,并与值得信赖的安全供应商建立联系。合作伙伴以改善业务成果。
