博客
关于第三方风险的五件事
摘要形状摘要形状

It'不再足以简单地确保您的组织'S系统和企业网络存在是安全的。您的风险管理计划需要超越组织的周边,以正确验证 第三和第四党供应商 谁将在不受您的内部风险管理流程的情况下访问您的数据。指某东西的用途 供应链中的第三方或 对于数据处理产生可能被这些第三方弱点复合的潜在风险。 2013年目标数据泄露, 这开始在空调分包商,是一个众所周知的例子,但危险 第三方供应商风险 has only increased. 正在发现更多第三方违规行为 比以往任何时候都。纪律 第三方风险管理 (或TPRM)已经发展起来,以帮助管理这种新型风险曝光。

以下是关于供应商风险的五个关键信息:

风险开始小

如果攻击者要瞄准一个大型组织,他们会想要一个不会引起怀疑的入口点。这意味着使用有效的入口点,它们可以作为合法用户屏蔽时访问。攻击者找到第三方,这不太安全 - 通常是具有严格安全协议不太严格的较小的供应商。然后,他们利用这种访问闯入更高价值的组织。例如,在 目标违规行为,攻击者开始使用 恶意软件 从空调分包商中窃取凭证,从有权访问目标的供应商专用Web服务。

2.风险超越主要供应商

风险范围大于单一的第三方关系会建议,因为组织的第三方也可以拥有自己的第三方 第三方供应商, 被称为 第四派,或"second-tier" third-parties. 组织必须了解他们的第一层供应商如何管理自己的第三方。普华永道还指出,海外供应商具有自己的挑战,拥有“不同的法律,做法和商业道德”。例如,美国以外的许多公司受到阻止其运输的数据主权法律的约束 公民的数据到美国 因为隐私问题。第三方风险也不需要涉及对供应商的黑客或攻击。随着云存储使用的越来越多,第三方管理的不安全的云实例是数据曝光的常见原因。

3.主要公司负责

对于客户来说,第三方关系的复杂性可以完整的范围 网络安全风险 难以理解。即使安全风险是由于服务提供商'S LAX安全性,在客户的心灵中,它将是承担责任的主要组织。这也是一个法律考虑。该组织经常会发现很难表明通过尽职调查管理第三方风险需要足够的步骤,并将是 被认为留下责任 即使第三方处理其数据。对此有一些理由:如果公司在内部采取一次预防措施,但通过使用像一个这样的工具审核供应商的安全性,未能进行尽职调查 网络风险评估问卷,它可能也没有任何预防措施。

4.必须在整个数据生命周期中减轻风险

即使是前第三方的关系也可以为组织创造风险。例如,Tigerswan的前招聘供应商 公开可用的左敏感信息 在S3桶中直到最近。虽然与供应商的合同于2017年2月终止,但数千名恢复仍然存放在Amazon S3子域“Tigerswanresumes中。与第三方供应商进行业务时,不仅仅是如何存储敏感数据,还要了解如何在业务关系结束时处理。

5.传统的网络安全还不够

这 软件工程研究所 说“[传统] 信息安全 练习有时将第三方风险管理视为“附加”安全活动。“组织在内部和第三方关系中独立管理风险区域,通常只是因为在出现问题时才反应。这种快速解决方案可以在短期内工作,但鉴于实时性质 网络风险,它未能提供完整的图片,留下危险程度的风险暴露,只能通过正在进行的监控来控制。有必要的, 根据德勤,是一个主动风险作为组织价值的源的方法。这涵盖了所有类别的第三方和所有风险领域,考虑到 操作 风险 factors […] with 声誉/财务 风险 factors […] and 法律/监管 风险[...]。

使弹性成为现实 

管理第三方风险的完全开发的方法涵盖了整个组织,解决了第三方行为和数字环境中的关系。它需要审查供应商通过尽职调查过程,使用 供应商风险评估问卷 根据整体风险管理计划的一部分,执行最低安全标准,并持续监测供应商。实现第三方管理水平是挑战性的。但由于技术创新,如 安全评级和新的问题的新方法,下一代 供应商风险管理 is within reach. 

We'由于在美国的OCC和联邦储备等实体的影响,以及澳大利亚在澳大利亚的外国人,以及澳大利亚的外部,以及澳大利亚的外国人等监管要求的影响,获得金融服务业等部门开始引起管理第三方风险的指控。在一个典型的金融机构,正在授权来自董事会,高级管理人员,企业风险管理人员和内部审计的多个利益攸关方,以实施强大的风险评估流程,并提升他们的游戏来解决这种不断增长的问题。

免费电子书

买家'■第三方风险管理指南

了解您需要了解第三方风险,管理供应商的功能,并避免数据泄露。
白色upguard徽标
买家'■第三方风险管理指南
可用于下载的Upguard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色upguard徽标
电子书,报告& Whitepapers
可用于下载的Upguard免费资源
Upguard客户支持团队Upguard客户支持团队Upguard客户支持团队

见上upguard

通过我们的网络安全专家预订免费,个性化的船上呼叫。
摘要形状摘要形状

相关文章

了解有关网络安全中最新问题的更多信息。
提供图标

注册我们的时事通讯

每周获取您收件箱中的最新策划网络安全新闻,违反,活动和更新。
摘要形状摘要形状
免费即时安全分数

您的组织有多安全?

请求免费网络安全报告以发现您的网站,电子邮件,网络和品牌的关键风险。
  • 检查图标
    即时洞察力您可以立即采取行动
  • 检查图标
    数百个风险因素,包括电子邮件安全,SSL,DNS健康,开放式端口和常见漏洞
网站安全扫描结果网站安全扫描评级摘要形状
发布时间: 2021-05-11 03:35:23

最近发表