博客
关于第三方风险的五件事
抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

It'不再足以仅仅确保您的组织'系统和企业Web的存在是安全的。您的风险管理计划需要超越组织的范围,以正确审查 第三方和第四方供应商 谁将有权访问您的数据而不受内部风险管理流程的约束。在您的供应链中使用第三方或进行数据处理会产生潜在的风险,这些风险可能会因这些第三方漏洞而变得更加复杂。 2013目标数据泄露, 从空调分包商开始,是一个众所周知的示例,但是存在 第三方供应商风险 has only increased. 越来越多的第三方违规被发现 比以往任何时候都。的学科 第三方风险管理 (或TPRM)已发展为可帮助管理这种新型风险敞口。

以下是有关供应商风险的五件事要了解:

1.风险从小开始

如果攻击者将目标对准大型组织,他们将需要一个不会引起怀疑的入口点。这意味着使用有效的入口点,当他们被掩盖为合法用户时可以访问。攻击者发现第三方的安全性较低-通常是较小的供应商,其安全协议不太严格。然后,他们利用这种访问权限进入价值更高的组织。例如,在 违反目标,攻击者开始使用 恶意软件 从空调分包商那里窃取凭证,然后就可以访问Target的供应商专用网络服务。

2.风险超越主要供应商

风险范围大于单个第三方关系所建议的范围,因为组织的第三方也可以拥有自己的第三方 第三方供应商, 被称为 第四方,或"second-tier" third-parties. 组织必须了解其第一级供应商如何管理自己的第三方。普华永道还指出,海外厂商面临着自己的挑战,即“法律,惯例和商业道德不同”。例如,美国以外的许多公司都受到数据主权法律的约束,这些法律禁止运送其 公民向美国的数据 由于隐私问题。第三方风险也无需涉及对供应商的黑客攻击或攻击。随着云存储使用的增加,由第三方管理的不安全云实例是数据泄露的常见原因。

3.对主要公司负责

对于客户而言,第三方关系的复杂性可以充分利用 网络安全风险 很难理解。即使安全风险归因于服务提供商'松懈的安全性,在客户心目中,它将是承担责任的主要组织。这也是法律上的考虑。该组织通常会发现很难证明它已采取足够的步骤通过尽职调查来管理第三方风险,并且会 被认为保留责任 即使第三方处理了其数据。这样做有一定道理:如果公司在内部采取了所有预防措施,但未能通过使用诸如此类的工具审核供应商的安全性来进行尽职调查 网络风险评估问卷,也可能根本没有采取任何预防措施。

4.必须在整个数据生命周期中降低风险

甚至以前的第三方关系也可能给组织带来风险。例如,TigerSwan的前招聘供应商 向公众公开敏感信息 在S3存储桶中直到最近。与供应商的合同于2017年2月终止时,数千份简历仍存储在Amazon S3子域“ tigerswanresumes”中。与第三方供应商进行业务往来时,不仅要了解敏感数据的存储方式,还需要了解当业务关系终止时如何处理敏感数据,这一点很重要。

5.传统的网络安全还不够

的  软件工程学院 指出“ [传统] 信息安全 实践有时将第三方风险管理视为孤立的安全活动的“附加项”。”组织通常通过简单地对出现的问题做出反应,就内部和第三方关系独立地管理风险领域。这种快速解决方案可能会在短期内发挥作用,但考虑到实时性 网络风险,它无法提供完整的图片,而留下只能通过持续监控来控制的危险风险水平。有什么需要 根据德勤,是一种将风险作为组织价值之源的积极方法。考虑到以下因素,它涵盖了所有类别的第三方和所有风险领域 操作 风险 factors […] with 名誉/财务 风险 factors […] and 法律/监管 风险[…]。

使韧性成为现实 

全面开发的管理第三方风险的方法涵盖了整个组织,解决了第三方行为和数字环境中的关系。它要求通过尽职调查程序审核供应商,使用 供应商风险评估问卷 为此,应执行最低安全标准,并持续监控供应商,这是整体风险管理计划的一部分。要达到这样的第三方管理水平具有挑战性。但是要感谢诸如 安全等级,以及解决该问题的新方法,下一代 供应商风险管理 触手可及。 

We'得益于美国OCC和美联储以及澳大利亚APRA等实体的监管要求的影响,金融服务业等行业开始主导管理第三方风险。在典型的金融机构中,董事会,高级管理人员,企业风险管理人员和内部审计的多个利益相关方被授权执行强大的风险评估流程,并提高其应对这一日益严重问题的能力。

免费电子书

买家'第三方风险管理指南

您是否正在寻找一种解决方案来帮助您的企业管理第三方供应商风险?了解了解网络风险,管理供应商并避免数据泄露所需的功能。
白色UpGuard徽标
买家'第三方风险管理指南
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状