随着业务流程变得越来越复杂,公司开始转向第三方来提高其提供关键服务(从云存储到数据管理再到安全)的能力。
这样做通常效率更高、成本更低,但使用第三方服务也会带来重大(通常是无法预见的)风险。
第三方可能成为入侵的门户,如果服务出现故障,会损害公司的声誉,使公司面临财务和监管问题,并引起世界各地不良行为者的关注。
与供应商分手管理不善也可能带来危险,导致无法访问第三方安装的系统、失去数据保管权或数据本身丢失。
什么是第三方风险管理?
第三方风险管理 (TPRM) 是一种风险管理学科,涉及识别、评估和减轻与使用外部方(例如合作伙伴、供应商、供应商、承包商和服务提供商)相关的风险。
此类第三方通常可以访问您组织的一系列系统和数据,并且他们通常是您组织关键业务运营的关键参与者。
因此,第三方可能会增加您的网络风险状况,因为他们可能引发的任何安全问题都可能对您的组织产生后续影响。
TPRM 也常被称为供应商风险管理,它为组织提供了一个框架,用于识别有权访问组织系统、数据和设施的所有第三方。
它还确保您的组织已根据第三方可以访问的内容、其安全实践以及可能面临的威胁评估了与其使用的每个第三方相关的风险。
为了降低第三方风险,组织必须与其依赖的第三方合作,对其安全实践进行安全评估和审计。
他们还必须建立明确的合同协议,阐明所有相关方的安全期望和责任。
成功的 TPRM 还需要持续的监控和监督,以确保第三方遵守商定的措施,并在出现任何问题时制定事件响应和补救策略。
为什么第三方风险管理很重要?
对第三方服务的依赖正在增加。因此,组织发现自己越来越容易受到其合作伙伴带来的潜在安全问题的影响。
组织越来越依赖第三方,例如技术和云供应商,它们存储敏感数据或访问关键系统。
如果第三方的网络安全控制不力,这种风险会更高。
第三方自己的供应商也有可能受到损害。如果数据或系统受到损害,则影响可能包括品牌和声誉受损、法律和监管罚款或处罚以及补救成本。
使用第三方是许多企业普遍接受的必要条件,但需要持续管理。
第三方合作伙伴关系将控制权转移到公司之外,因此具有固有的商业风险。
考虑到 98% 的全球组织都与至少一家第三方供应商有联系,而这些供应商在过去两年内遭到入侵,因此这一点尤为紧迫。
最大的第三方网络安全风险
以下是第三方服务给您带来的五大网络安全风险:
网络攻击导致客户和公司数据泄露
根据世界经济论坛的《2022 年全球网络安全展望》,间接网络攻击(通过第三方成功入侵公司)在过去几年中从 44% 上升至 61%。
造成这种情况的原因之一是许多公司没有适当的控制措施来有效地摆脱第三方供应商。
他们没有制定流程来控制这些账户的访问管理权限和配置,这为寻找仍然活跃的老账户的网络攻击者打开了方便之门。
威胁行为者可能会滥用从第三方泄露获得的数据来执行各种恶意活动,包括身份盗窃、欺诈、账户滥用和外部账户接管攻击。
威胁行为者经常使用从第三方甚至第四方泄露中获得的泄露凭证和数据来访问其他受害者的环境。
第三方可能会在托管公司数据时受到攻击,或者攻击者首先瞄准第三方,然后利用第三方进入您的 IT 系统。
尽职调查和整个供应商生命周期内对漏洞的持续监控将有助于降低这种风险。
实施纵深防御方法以限制第三方对组织网络的访问对于防止对手获得特权升级至关重要。
因此,公司在允许第三方供应商访问其系统之前必须对其进行全面审查,以确保他们实施了适当的安全协议。
当涉及到谁拥有我们的数据时,第三方始终是一个令人担忧的问题;这就是为什么我们会根据公司面临的网络风险不断评估新的和现有的第三方。
事故成本、业务损失造成的财务风险
入侵的成本可能非常高昂,如果公司没有以正确的方式保护其系统,网络安全保险并不总是能涵盖入侵行为。
财务损失是你的损失,但你的组织声誉也会受损。你会失去客户。
你会失去新客户的信任,你会失去现有客户的信任,因此,你会失去收入来源……而更换现有客户需要花费很多钱。因此,财务损失会迅速累积。
声誉受损,失去客户信任
虽然违规行为可能并非发生在公司内部,但涉及客户公司数据或其客户的第三方服务违规行为,该公司可能不得不发表声明或通知个人。
由于这种下游影响,声誉影响可能远远超过财务损失。
服务提供商违约带来的负面宣传可能会损害公司的声誉或声誉,而公众对企业的负面看法可能源于其供应商名单中的第三方的问题。
客户对第三方提供的服务的投诉是一个很好的迹象,表明存在潜在问题。
客户看不到你的组装、产品、服务以及与他们互动的能力是由第三方支持的。
他们只看到你的名字、你的品牌,以及你无法兑现[你对他们做出的]承诺。
许多组织采取主动措施,确保其第三方是有效的数据保管者。
然而,当第三方拥有自己的供应商供应链时,事情就会变得复杂得多。
随着你继续追踪你的供应商和你的供应商的供应商,你可能很难洞察所有这些实体以及第三方风险计划的成熟度,这些计划正在以你期望的严格程度保护敏感数据。
地缘政治风险
乌克兰战争凸显了组织机构密切关注政治发展并做好应对动荡局势的准备的必要性。
组织机构需要确保在受制裁管辖区内的所有供应商、合作伙伴和合资企业活动都已停止。
乌克兰战争以及俄罗斯和白俄罗斯的相关制裁并不是唯一需要考虑的地缘政治风险。
在容易发生政权动荡的国家开展业务的供应商,例如军事政变、暴力起义和系统性压迫少数民族,需要进行仔细和持续的监控。
政治动荡往往伴随着国家网络间谍活动的泛滥。组织需要确保第三方供应商彻底审查其承包商是否与已知从事此类活动的政府有联系。
第三方可能会在不知情的情况下雇佣国家派遣的自由职业 IT 远程工作者,为该国的独裁政权创造收入或进入公司网络。
尽管他们在工作期间可能不会参与任何恶意网络活动,但他们可能会利用特权访问从内部进行恶意网络入侵。这使得检测恶意活动变得困难。
监管合规风险
当第三方供应商违反政府法律、行业法规或公司内部流程时,它们也会使组织面临合规风险。
供应商不合规可能会使雇用他们的公司遭受巨额罚款。
例如,组织需要检查其第三方供应商是否符合 SOC2 审计标准。
SOC2 旨在确保第三方保护其客户的敏感数据免遭未经授权的访问。
组织还必须确保第三方遵守隐私和安全法律,例如欧盟的《 通用数据保护条例》(GDPR) 和 《加州隐私权法案》(CPRA)的要求。
合规性是一个巨大的风险,你可能合规并且实施了必要的控制措施,但突然间你把这些第三方也加进来了,如果你不评估[他们是否实施了控制措施],你可能会违反你的合规立场。
2193
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
