第三方是您的业务生态系统中不可避免的重要组成部分。他们是您的供应商、合作伙伴和承包商。它们提高了效率,扩大了您的影响范围,并使提供最好的产品和服务成为可能。然而,从安全角度来看,它们也带来了很大的风险。第三方云的错误配置可能导致供应链数据泄露风险。这些常见的第三方风险可能会使组织在声誉、法律费用和收入损失方面付出代价。
供应链中存在哪些数据泄露风险?
随着您添加更多软件即服务 (SaaS) 应用程序以简化业务运营,管理您的供应链变得越来越困难。
2022 年数据泄露调查报告发现
有四种关键的妥协途径:
- 证书
- 网络钓鱼
- 利用漏洞
- 僵尸网络
82% 的违规行为涉及人为因素(凭据被盗、网络钓鱼等)
供应链在 2021 年造成了 62% 的系统入侵事件
发现IBM 的2021 年数据泄露成本报告
数据泄露的平均总成本为 424 万美元
损失的业务占违规成本的最大份额,平均总成本为 159 万美元
*业务成本包括客户流失率增加、系统停机导致收入损失以及声誉下降导致获得新业务的成本增加
识别和遏制数据泄露的平均天数为 287 天
然而,这种风险是可以控制的。一个可靠的第三方风险管理框架将帮助您了解您与第三方承担的风险并限制您的责任。以下是您在选择风险管理框架时需要了解的内容。
选择供应商风险管理框架的5个步骤
1. 审查您的合规风险
当您扩展生态系统的成员使您面临风险时,您需要承担责任。如果不是你自己的错也没关系。根据大多数美国数据保护法,数据所有者而不是数据持有者应对数据泄露和暴露负责。根据通用数据保护条例 (GDPR)也是如此,该条例要求公司跟踪和保护他们处理的数据,即使第三方正在存储这些数据。为了尽量减少您的责任,您必须能够证明您已尽职尽责。这就是风险管理框架的用武之地。
2. 了解风险管理框架
第三方风险管理框架为整个组织(包括扩展企业)提供一组基准、策略和标准。这样的框架侧重于第三方以及对组织构成最大风险的活动。
大多数框架要求组织执行以下操作:
- 盘点组织的第三方
- 第三方可能使组织面临的网络安全风险目录
- 按风险评估和细分第三方
- 专注于关键活动
- 开发基于规则的尽职调查,以专注于风险最高的第三方
- 成立决策小组,自主治理
- 审查关键活动,为第三方风险管理框架设定基准
- 定义三道防线,包括企业主、第三方监督和内部审计团队
使用多种风险管理框架,可能很难选择正确的一种。
3. 了解哪些框架适用于您的组织
并非每个风险管理框架都适用于每个组织。一些框架是专门为某些行业设计的,而另一些则用于某些地理区域。许多可以一起使用。
两个最广泛使用的风险框架是来自美国国家标准与技术研究院(NIST) 和国际标准组织 (ISO) 的风险框架。其他的,例如信息和相关技术的控制目标 (COBIT),通常在欧洲使用。一些标准被用作法规的基础,例如 NIST 800-53,它是许多联邦监管的网络安全要求的基础。
了解哪些框架适用于您的组织取决于您的行业以及您的规模。由于大多数都采用基于风险的方法,因此您需要审查第三方风险,但您也可能会发现需求会根据您公司的独特需求而变化。
4. 准备好使用多个框架
在某些情况下,使用多个风险管理框架是有意义的。如果您使用多个框架,则需要确保您使用的框架相互映射,以便他们根据您组织的需求评估风险并实施控制,而不会在合规性方面留下任何差距。
选择框架(或多个框架)的标准将取决于贵公司的具体需求。例如,医疗保健组织需要满足医疗保健便携性和责任法案 (HIPAA) 合规性要求。如果它接受付款,还需要满足支付卡行业数据安全标准 (PCI DSS) 的要求。
在整合多个第三方供应商风险管理框架时,您需要从您的业务目标开始,以确保您根据满足这些业务目标所需的合规性要求进行选择。您还需要考虑您负责的人员,例如股东、董事会成员或监管机构。
5. 智能管理第三方风险
公司看待风险的方式正在发生变化。根据德勤的扩展企业风险管理调查,组织越来越多地使用扩展企业风险管理来“利用风险的好处”,利用与第三方的合作伙伴关系来提高组织效率和品牌信心,同时变得更加创新和敏捷。良好的第三方风险管理框架可以保护组织的客户、员工、知识产权和业务运营。实施一个并不是要完全消除风险,而是要知道最高风险在哪里并适当地管理它。