2017年5月，AWS S3存儲(chǔ)桶數(shù)據(jù)倉(cāng)庫(kù)被爆，至少220萬(wàn)道瓊斯公司客戶信息半公開(kāi)。該錯(cuò)誤很簡(jiǎn)單：存儲(chǔ)桶權(quán)限設(shè)置失當(dāng)，讓免費(fèi)AWS賬戶都可以訪問(wèn)里面內(nèi)容。這次泄露暴露出：安全設(shè)置中很低級(jí)的錯(cuò)誤，都可輕易導(dǎo)致客戶個(gè)人信息受損。此類粗心大意的代價(jià)，包含監(jiān)管罰款、信譽(yù)受損和潛在的法律訴訟。

或許你會(huì)認(rèn)為在自己的照管之下不會(huì)發(fā)生這種事，但你的數(shù)據(jù)安全又有多少是真正在你掌控之中的呢?

你知道你的數(shù)據(jù)都存儲(chǔ)在哪里嗎?

很有可能你的公司采用數(shù)十上百家第三方SaaS應(yīng)用來(lái)處理各種事務(wù)，從管理發(fā)展前景和客戶，到幫助維護(hù)賬戶。這些應(yīng)用省下了你的業(yè)務(wù)時(shí)間和金錢開(kāi)銷，但它們同時(shí)也將你的數(shù)據(jù)放到了他人手中。

此類應(yīng)用大多將數(shù)據(jù)存在云端，就是道瓊斯數(shù)據(jù)泄露的那種數(shù)據(jù)倉(cāng)庫(kù)。你怎么能保證自己的數(shù)據(jù)沒(méi)有明文存儲(chǔ)，不會(huì)被意外公開(kāi)呢?

最大的數(shù)據(jù)安全錯(cuò)誤

多數(shù)公司把數(shù)據(jù)交給第三方的時(shí)候，總會(huì)錯(cuò)誤地以為第三方公司自然而然就有了保護(hù)數(shù)據(jù)安全的責(zé)任，壓根兒沒(méi)多想一下應(yīng)用上線之后的數(shù)據(jù)安全問(wèn)題。

盡管第三方應(yīng)該，也確實(shí)提供安全，但保護(hù)數(shù)據(jù)的總體責(zé)任依然落在你自己身上。如果數(shù)據(jù)被泄露，是你和你的團(tuán)隊(duì)要為股東和客戶負(fù)責(zé)，而不是第三方負(fù)責(zé)。

即便第三方實(shí)際上需要承擔(dān)數(shù)據(jù)安全問(wèn)題的開(kāi)銷，你依然負(fù)有監(jiān)管責(zé)任。

需要全面縱覽數(shù)據(jù)保管鏈

基本上缺乏第三方數(shù)據(jù)處理方式的具體信息，這意味著有很多沒(méi)得到解答的問(wèn)題：

他們都有哪些安全策略?

你的數(shù)據(jù)存儲(chǔ)在哪里?

他們經(jīng)常采用承包商嗎?這些人對(duì)你的數(shù)據(jù)都有哪些權(quán)限?

他們倚賴哪些其他第三方服務(wù)——還有其他公司可以訪問(wèn)你的數(shù)據(jù)嗎?

獲得這些信息存在兩方面的問(wèn)題：首先，第三方只可能透露合同要求的那點(diǎn)安全信息，但這或許會(huì)略去關(guān)鍵信息。其次，因?yàn)槎鄶?shù)公司使用很多第三方，跟蹤第三方的工作就變得相當(dāng)耗時(shí)且昂貴了。

實(shí)現(xiàn)第三方風(fēng)險(xiǎn)計(jì)劃

即便不是不可能，人工跟蹤第三方所用安全策略也是不現(xiàn)實(shí)的。所以我們需要一個(gè)能獲取各第三方公司最新風(fēng)險(xiǎn)評(píng)估的平臺(tái)。

通過(guò)外包和自動(dòng)化第三方風(fēng)險(xiǎn)評(píng)估，你的效率會(huì)得到大幅提升，開(kāi)銷和復(fù)雜性則相應(yīng)降低。這可使你輕松評(píng)估并減小風(fēng)險(xiǎn)暴露面，幫助確定哪些第三方可用，而哪些應(yīng)摒棄。

一個(gè)健壯的第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)管理計(jì)劃所剩下的時(shí)間與金錢，能讓你將更多資源投入到自身安全中，進(jìn)一步降低風(fēng)險(xiǎn)。