三大趨勢決定必須改善第三方網絡風險管理
作者:星期四, 五月 18, 20170

為了在危險重重的全球市場中生存壯大,企業越來越依賴可以提高市場投放效率的外包服務、云服務。

但是這種高效也帶來了網絡風險。由于企業對自身防御的重視,網絡罪犯已經意識到從第三方入手是最有效的攻擊捷徑。

一旦黑客們得償所愿,企業的數據、知識產權和商業秘密都將處于風險之中。怎樣才能既享受外包服務的高效便捷,同時又保護好企業的數據和商業秘密呢?

目前市面上的絕大多數的第三方網絡風險管理服務都缺乏規模、速度和效率。這些項目往往基于共享電子表格問卷或人工進程這類陳舊的方式。

但據普華永道發布的2016年全球信息安全報告,第三方承包商是最主要的企業外部安全事故誘因。

為什么企業仍然采用GRC工具、外部顧問、電子表格、內部資源拼湊起來的工作進程呢?

CyberGRX相信安全和風險專業人士需要適當的工具來對抗第三方網絡威脅。GRC工具、外部顧問、電子表格、內部資源拼湊起來的工作進程在老練的對手面前不堪一擊。

在2017年1月的一份報告中,SurfWatch實驗室發現“與第三方服務有關的網絡犯罪的比例在過去一年中幾乎翻了一番,況且這一數據僅包括已公開的安全事件。”

這里有促使企業改善第三方網絡風險管理(TPCRM)方案的趨勢:

1. 外包服務的爆炸性增長和第三方服務的消費漸增

系統依賴第三方服務來改進系統運作方式。這樣做合情合理。Deloitte的2016年全球外包服務調查發現,企業服務外包可以降低成本和推動創新。并且所有指標都顯示,外包已成定局。資產500強的企業們共有超過20000個不同的第三方供應商。2017年,企業們預計將有更多的第三方供應商,而這一趨勢在可預見的未來都不會變。

相反,安全專家們還沒有跟上這種爆炸性增長的步伐。根據普華永道的報告,74%的受訪者沒有對接觸敏感數據的第三方建立一個完備的表單。這某種程度上與企業對于“內部人員”的定義有關。

內部人員應囊括所有通過物理或遠程方式訪問企業資產的人。過去企業可以僅僅把員工視為“內部人員”。但是由于第三方服務商觸及黑客們垂涎已久的敏感數據,它們也已經成為了“內部人員”。舉幾個第三方作為內部人員的例子:

  • 授權生產的制造業合作伙伴;
  • 委托管理員工數據的人力資源服務商;
  • 委托處理公司財務的銀行;
  • 委托處理客戶數據的通訊中心;
  • 委托處理法律事務的律師事務所。

企業需要擴大“內部人員”的范疇,并采取適當的措施來保證網絡安全。

2. 伸向第三方的黑手

去年,針對第三方的網絡攻擊達到了一個高潮。全球企業共因黑客而受到了超過4000億美元的損失。統計數據顯示,50%的攻擊事件和第三方有關:

在德勤最近的一項涉及170個企業的調查里,87%的受訪者表示,過去兩到三年里他們曾經面對過災難性的第三方問題。

Ponemon Institute在2016年6月發布的一項報告顯示,55%的中小企業在12個月內經受過網絡攻擊,其中41%表示第三方的錯誤導致了攻擊。

普華永道的報告顯示,超過50%的泄露事件由第三方引起。

TechNewsWorld的報告則指出,80%的數據泄露源于供應鏈。

此外,2013年全球網絡安全報告中的450起數據泄露的63%與第三方的系統管理組件有關。

根據Ponemon和威瑞森的研究,預計有至少50%的企業泄露事件將由第三方引起。

3. 全方位、跨行業的制度壓力

各行業都有一系列安全法規,要求檢查企業是否遵守網絡安全法律。常見的法規包括:PCI、NERC FISMA、HIPAA、SOX、GLBA。最近外包服務和網絡犯罪的趨勢迫使行業法規向企業施壓,來更好地管理第三方網絡風險。

例如在2013年,美國貨幣監理署辦公室(OCC)發布了《第三方關系:風險管理指導》。在這個公告里,OCC明確指出,銀行必須對新的第三方合作者由有清晰完整的認識。貨幣監理署寫道:

“銀行董事會和高級管理層有責任確保通過一個安全的、徹底的方式開展業務,并符合相應法律,銀行對第三方的使用也應盡到這種責任。”

這類的指導方針已經覆蓋到所有行業。然而,大多數企業都無法實現法規要求的復雜性。企業必須確保他們的第三方遵守模糊的標準、實現不同的審計框架,并采取各種“最佳操作方式”。與此同時,還必須盡可能少得消耗內部資源。大多數企業覺得這樣管理第三方網絡風險過于浪費和復雜,法規迫切需要簡化和改進。

結論

為了修復當前大量企業采用的不完備的業務過程,企業需要關注四個方面:

  • 從每個第三方合作商了解你的內在風險;
  • 對投資組合進行分析,以了解最能影響企業的風險的成因;
  • 與第三方合作,來化解最能影響企業的風險;
  • 實時關注你的第三方伙伴的業務和網絡狀態的變化,包括可能會暴露你的資產和信息的擴張、資產剝離、漏洞和新攻擊。

就第三方而言:評估業務,并及時與多方分享。利用風險交換來建立規模化的反應能力,并推動業務的規模化,實現運營的低成本。

數字生態系統將持續演進,惡人們也將會繼續關注第三方這一“捕食”捷徑。企業需要確保采用了全面的、基于風險的管理方法,而不僅僅是符合規定。

相關閱讀

第三方訪問才是網絡安全的最大威脅
你是否還未關注第三方訪問導致的安全風險?

 


相關文章

寫一條評論

 

 

0條評論