揭開關於第三方風險管理的常見誤區

更多全球網路安全資訊盡在E安全官網www.easyaq.com

小編來報：從網路規模要求和合規性因素，到供應商通信和數據源，近年來存在一些關於實施第三方風險計劃的誤區。

據infosecurity 1月4日報道，起源於第三方網路——如Fiserv, Sears, Delta, Saks, Lord & Taylor等網站的數據泄露事件繼續成為全球新聞頭條。因此，各地的組織都更加關注第三方供應商和承包商的安全，並開展第三方風險管理(TPRM)計劃，來幫助他們避免成為下一個數據泄露受害者。

TPRM計劃是抵禦網路威脅入侵的重要防禦手段。但更重要的是，企業需要實施正確的計劃來有效地保護自己——首先要弄清楚TPRM的實際作用。

誤區1 ：TPRM僅適用於擁有龐大供應商網路的公司

一些人認為，一個組織擁有的供應商越多，數據泄露的可能性就越高；但實際只要有一個供應商就能造成數據泄露。所有組織需要保護敏感數據，需要考慮與第三方合作的風險。

安全領導者需要了解他們的整個第三方生態系統，以及哪些供應商與敏感數據交互。對於第三方較少的組織來說，這一過程比較容易，但無論公司或第三方網路規模如何，都不應忽視這一點。

根據Gartner預測，到2020年，75 %的世界500強公司將把供應商風險管理視為董事會層面的舉措。不讓董事會參與TPRM決策可能會導致缺乏支持和資源。成功的項目應獲董事會的認可，並應持續報告TPRM計劃。

雖然合規性很重要，它應是TPRM計劃的一個目標，但不應是唯一的目標。保持合規性並不能確保數據的安全性。結合全球和區域網路安全法規是個不錯的選擇，但只能確保最低標準。TPRM計劃應該關注風險管理，而不是簡單地用「對號入座」的方法。

此外，法規不常更新，但風險在不斷變化。即使在過去一年內通過了更新的法規，也可能會出現無數新的風險。持續的研究和監控是制定強有力和有效的TPRM計劃的必要條件。

傳統上，為了評估供應商的安全績效，組織常使用網路風險問卷。隨著網路威脅形勢變得越來越複雜，人們有一種衝動，就是讓問題變得更長，以期變得更全面。但實際上，這些冗長的調查問卷對供應商來說更令人惱火、更難分析。

更好的辦法是根據潛在風險對供應商進行分級，並用持續監測數據補充調查問卷。這減少了他們需要向第三方詢問的問題數量，使得TPRM計劃總體上更加高效。

安全領導者可以使用許多工具來影響其供應商的安全性能。對大多數企業來說，影響第三方的最有效方式是通過契約關係。通過安全績效的量化，組織可以在合同中包含明確的關鍵績效指標。

有時，僅僅讓他們意識到自己的安全失誤或漏洞就足以引起改變。許多供應商沒有意識到他們的網路風險。提供基於數據的解決方案能採取相應的行動來解決問題，這能保護兩個企業並促進兩者更好地合作。

調查問卷、滲透測試和現場訪問等工具只能在某個時間點提供安全性能視圖。在這些評估之間，會出現大量新的安全威脅，供應商的安全做法可能會改變。使用連續監控可以用近乎實時的更新來填補這些空白。這可以讓安全領導者更全面地了解第三方在任何時候的風險狀況。

影響第三方IT基礎架構的數據泄露可能會使企業損失數百萬美元以上，企業無法承受因不當處理第三方風險帶來的後果。通過打破這些誤區，專註於持續監控，通過合作達到第三方安全性能，並讓第三方風險成為董事會的問題，組織將會擁有更強大、更有效的TPRM計劃，這一計劃會像最新的威脅一樣迅速發展。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！