由于第三方通常要对数据泄露负责,因此组织的内部安全标准必须超越其组织边界,以包括供应商和其他外部合作伙伴。CapitalOne的1.06亿条记录、QuestDiagnostics的1190万条记录和LabCorp的770万条记录只是今年大量违规事件中的一小部分。那么这些事件有什么共同点呢?调查表明,在每种情况下,数据泄露都是由第三方造成的。在CapitalOne的数据泄露事件中,黑客利用了其云计算合作伙伴之一的服务器中的配置缺陷。另外两个数据泄露事件被追溯到同一个第三方,即美国医疗收集机构(AMCA)系统。数据泄露并不是什么新鲜事。仅2018年就有超过50亿条记录被泄露,并且经常发现第三方有过错。数据泄露的潜在成本是巨大的。即使漏洞被清除,漏洞被关闭,企业仍可能面临数百万美元的罚款和处罚,以及可能持续数年的声誉受损。通过适当的第三方风险管理策略,企业可以及时显着降低数据泄露的可能性,减少和避免对企业业务的不利影响。这是一种期待,而不是一种选择。在数据泄露的情况下,无知或缺乏知识不是企业的借口。第三方是否应该受到指责并不重要——如果企业对数据负责,它就会被追究责任。美国和欧洲的监管机构已明确表示,公司应对其收集和持有的数据负责。遵守全球监管要求是一项不断变化的挑战。实施数据治理和安全性非常重要。开始将合规视为一段旅程而不是终点。虽然第三方风险管理在医疗保健和金融行业尤为重要,因为在这些行业中敏感数据和与多个合作伙伴的协作很重要,但该建议适用于从制造业到零售业再到娱乐业的各个行业。外包业务会扩大其潜在的攻击面并增加风险,因此必须从一开始就仔细检查。提出正确的问题虽然企业可以深入了解美国国家标准技术研究院(NIST)网络安全框架(CSF)和ISO27001等技术指南,以帮助企业建立稳固的信息安全政策和措施,降低第三方风险最好的最有效的方法是限制企业共享的内容。从以下问题开始:为什么要外包此特定服务或数据?究竟分享了什么?是否需要全部共享?企业是否尽一切可能加密或匿名化数据?有问题的第三方是否分包给他人?您的数据中心位于何处?企业有什么样的合同?发生数据泄露或服务故障时有哪些规定?至关重要的是要有一个强有力的事件响应计划,该计划清楚地描述处理可疑数据泄露的过程,其中包括负责人、报告和补救的现实时间表以及清晰的沟通渠道。由于最初的警报没有正确标记或及时处理,相对较小的事件演变成重大灾难的情况并不少见。定期供应商评估至关重要企业不能信任第三方——他们必须经过彻底审查和定期评估。适当的第三方风险管理需要清晰的文档,包括尽职调查、详细的风险评估、第三方关系图和明确的事件响应要求。企业还应生成绩效报告并进行定期审计。一切都必须在严格的服务水平协议(SLA)中进行规定,以确保完全合规。如果最坏的情况发生,那么公司应该向监管机构展示他们是如何运作的。未能正确审查合同和第三方做法,或未能持续监控它们,将再次出错。传统供应商评估的问题在于,它们往往依赖评级系统为企业提供易于理解的分数或等级,但任意数字并不能充分告诉企业潜在风险或如何应对。每年只进行一次审核也很常见,但需要实时可见性才能让您更加安心。采取行动成功管理第三方风险的最后一个重要组成部分是根据企业收集的信息采取行动。企业定期审核其供应商甚至建立持续监控是一种很好的做法,但除非业务洞察力具有可操作性,否则不会产生积极影响。每个故障都必须有补救计划,并且必须评估补救工作以确保问题得到充分解决。在极端情况下,如果补救措施不成功或供应商多次未能达到公司商定的标准,公司的合同应规定解除合同而不受处罚并寻找更好的合作伙伴的可能性。如果组织不认真对待第三方风险并确保他们的标准涵盖内部和外部数据,他们将破坏他们的安全工作并很可能最终为此付出高昂的代价。
