过去几年中一些最具破坏性的违规行为通常是第三方的过错。以Equifax公司的漏洞为例:由于第三方供应商在其中一个网页上运行恶意代码,因此有1.48亿人受到影响。众所周知,减轻第三方风险在金融行业至关重要,但问题在于第三方将数据置于风险之中会影响全球各地的组织——无论他们处于哪个行业。
那么解决方案是什么?企业现在是时候控制其供应商生态系统了。随着企业给第三方供应商提供网络和数据访问时遇到的各种风险,警惕性至关重要。以下最佳实践可以帮助保护企业的业务网络,并为成功的第三方风险管理奠定基础。
1.评估自身的安全性
根据波洛蒙研究所的调查研究,50%的组织不知道谁有权访问他们的数据,他们如何使用它,或者采取什么安全措施来缓解安全事件。此外,Bomgar公司的一份报告发现,66%的组织声称他们可能在过去一年内因第三方访问而遭到攻击和破坏,62%是由于内部人员的原因。这种情况主要是由于缺乏跟踪第三方的资源、技术的复杂性以及人员之间的沟通中断。在近年来发生一系列备受瞩目的数据泄露事件后,例如Under Armour、TaskRabbit和MyHeritage等相继出现泄露事件,因此组织积极防范数据泄露的需求从未如此强烈。
调研机构Gartner公司预测到2020年网络安全支出将达到1130亿美元,但即使当今的一些企业比以往任何时候都花费更多的时间和成本来避免破坏性的攻击,但这可能还不够。如果企业对其发生的所有事情的“谁”、“什么”和“何处”缺乏了解,那么可能会成为一个流氓系统或未修补的应用程序,远离灾难性的破坏。
为了应对第三方威胁,首先要评估企业自身的安全性。首先,制定覆盖整个企业的多层防御策略:所有端点、移动设备、应用程序,以及数据。这些层应包括对来自第三方的所有网络和数据访问请求的加密和多因素身份验证。企业永远不会有太多的安全性,但除非其IT部门正在通过网络及时更新软件和管理补丁,否则额外的安全层将无法正常运行。
2.选择能够提高安全性而不是危及安全性的第三方供应商
企业在选择第三方提供商时,请务必花费时间和精力。评估企业对供应商、第三方和业务合作伙伴的依赖性。某些第三方供应商只需要访问企业的网络,而其他供应商则需要访问特定数据。企业的第三方评估应侧重于以下项目:
•合规性:新法规增加了加强第三方尽职调查的压力。雇用第三方的公司也负责监控、测量和测试其第三方风险和合规性违规行为。不遵守这些规定可能导致昂贵的罚款、处罚和起诉,更不用说声誉受损。
•内部流程:第三方供应商必须对建立自己的安全流程负责。同样重要的是,他们审查自己的员工,以确保全面监控和报告可能出现的问题。要求他们拥有最新的补丁和漏洞保护。确定他们是否在过去一年中发生过任何事件,需要他们是明确是否已经吸取了教训。
•建立“最低权限”策略:确认谁可以访问企业的数据和网络,特别是他们可以访问的内容。定期检查与第三方的凭据使用情况,并确定谁在合作伙伴中使用它们。此外,需要限制临时访问,因为它增加了漏洞。
无论企业多么信任第三方供应商或与其合作多久,企业都必须不断评估供应商的安全标准和技术。具有强大尽职调查和第三方治理的公司将在许多方面受益。
3.进行网络钓鱼和密码培训
如果企业的员工没有接受最佳实践培训,那么安全流程和技术将毫无用处。如果企业的员工可以访问敏感信息,请有效地将其政策和程序传达给他们。在数据保护方面,每个人都应该了解自己的角色。
即使拥有最安全的技术和人员,组织安全性中最薄弱的环节也可能是自己的内部员工。不出所料,网络钓鱼诈骗已成为困扰全球企业的主要威胁。超过90%的漏洞都归咎于网络钓鱼攻击。这些攻击的复杂程度不断提高,精明的黑客正在考虑针对易受攻击的员工进行攻击。
教育和培训是安全预防的关键:Wombat Security公司的调查结果显示,近30%的员工不知道网络钓鱼是什么。此外,对于将近三分之二的企业员工来说,勒索软件是一个未知的概念。确保企业和其第三方供应商不断培训员工识别和报告可疑电子邮件。这样做可以有效地将企业的员工和供应商生态系统从最薄弱的环节转变为强大的第一道防线。还要确保员工在打开邮件和电子邮件之前对其进行评估。在打开电子邮件之前仔细检查网址,并确定首先出现电子邮件的原因是改进此过程的第一步。
4.了解监管方案
随着更加严格的数据法规生效,组织必须重新考虑其合规流程。如果企业以任何方式处理数据,可能需要了解欧盟的通用数据保护法规(GDPR)及其对处理任何欧盟数据的公司的广泛影响。尽管许多组织努力在2018年5月的最后期限之前达成合规,但还是远远不够。但是企业的第三方供应商呢?现在企业是否已经采取必要的步骤来实现GDPR合规?
根据新规则,任何第三方处理器现在都直接负责其合规性。第三方的处理人员和处理数据的组织都有义务确定共享哪些数据?为什么共享数据?其存储原因是什么?以及操作是否必须更改?
这是一项艰巨的任务,但这是一项重要的任务。组织应限制第三方访问敏感数据,完成信息审计以确定向第三方的数据流,仅收集服务于合法目的的数据,并确保所有主要领导者保持一致。为了确保继续遵守GDPR法规,他们必须超越自己的流程,确保他们的第三方做好监管准备。否则,企业可能会因监管罚款或第三方数据泄露的迫在眉睫的风险而陷入困境。
成功管理第三方供应商是持续的实践,而不是一次性任务。各种规模和行业的组织都需要将其扩展网络视为其自身安全系列的一部分。虽然企业的要求可能与另一个企业的要求不同,但所有企业都有责任,其中包括他们自己和客户,需要实施适合其独特风险和需求的措施。
京公网安备 11010502049343号