值得重申的是:網(wǎng)絡(luò)安全和第三方風(fēng)險是企業(yè)長期生存面臨的兩個最大問題。企業(yè)需要能夠處理這些風(fēng)險向量,以全面了解其風(fēng)險狀況??缏毮芰鞒虒τ诠芾磉@些風(fēng)險領(lǐng)域之間的重疊至關(guān)重要,以更好地保護企業(yè)并提高工作流效率。
確保供應(yīng)商的網(wǎng)絡(luò)安全實踐符合企業(yè)的標(biāo)準,這對于保護其系統(tǒng)和數(shù)據(jù)至關(guān)重要。事實上,它與業(yè)務(wù)的穩(wěn)定性或產(chǎn)品和服務(wù)的交付情況一樣重要。
常見的第三方網(wǎng)絡(luò)安全風(fēng)險
企業(yè)需要能夠識別第三方風(fēng)險的各個方面。以下是一些最常見的第三方網(wǎng)絡(luò)安全漏洞,以及如何與合作伙伴合作來緩解這些漏洞。
·數(shù)據(jù)泄露:勒索軟件、網(wǎng)絡(luò)釣魚和對供應(yīng)商或其系統(tǒng)的直接攻擊威脅企業(yè)的數(shù)據(jù)隱私。此外,供應(yīng)商的組織安全性差和控制執(zhí)行不力會給企業(yè)帶來安全風(fēng)險。
·服務(wù)中斷:惡意軟件和分布式拒絕服務(wù)攻擊可能會破壞供應(yīng)商的系統(tǒng)或為企業(yè)的IT基礎(chǔ)設(shè)施提供的服務(wù)。因此,這可能會使其系統(tǒng)暴露在外,或者企業(yè)無法向客戶提供服務(wù)。
·合規(guī)風(fēng)險:監(jiān)管機構(gòu)越來越多地讓企業(yè)及其供應(yīng)商參與網(wǎng)絡(luò)安全合規(guī)。了解需要在外部遵守的法規(guī),并確保供應(yīng)商遵守與其相關(guān)的法規(guī)。
企業(yè)面臨持續(xù)的威脅,但減輕風(fēng)險需要的不僅僅是單一的防御手段。缺乏集成的網(wǎng)絡(luò)安全和第三方風(fēng)險管理(TPRM)系統(tǒng)可能會使企業(yè)無法準備好預(yù)測、緩解或從漏洞中恢復(fù)。
與第三方一起解決網(wǎng)絡(luò)安全問題
第三方風(fēng)險管理(TPRM)和網(wǎng)絡(luò)安全的跨職能方法可以減少重復(fù)工作,并為企業(yè)、供應(yīng)商和合作伙伴提供更深入的企業(yè)風(fēng)險洞察。在支持第三方風(fēng)險管理(TPRM)工作時,需要考慮以下一些行動:
(1)彌合第三方風(fēng)險管理(TPRM)與網(wǎng)絡(luò)安全之間的差距
網(wǎng)絡(luò)安全和第三方風(fēng)險管理(TPRM)的集成對于企業(yè)更好地理解和監(jiān)控監(jiān)管要求、控制以及內(nèi)部政策和程序至關(guān)重要。企業(yè)應(yīng)了解網(wǎng)絡(luò)安全優(yōu)先事項的作用是確定供應(yīng)商在第三方風(fēng)險管理(TPRM)中遵守的監(jiān)管標(biāo)準和控制措施。整合這兩種方法的企業(yè)將這兩種功能從孤島中解放出來,以減少工作流處理、報告以及更重要的是風(fēng)險決策方面的重疊。
企業(yè)必須了解第三方對其系統(tǒng)、數(shù)據(jù)和基礎(chǔ)設(shè)施的訪問權(quán)限。除此之外,努力確保采取充分和適當(dāng)?shù)拇胧┖涂刂拼胧﹣肀Wo這些系統(tǒng)和入口點。
(2)進行深入的盡職調(diào)查
一旦企業(yè)為網(wǎng)絡(luò)安全控制和指標(biāo)建立了堅實的內(nèi)部基礎(chǔ),它就可以開始對新的和現(xiàn)有的供應(yīng)商進行盡職調(diào)查。第三方風(fēng)險管理(TPRM)團隊?wèi)?yīng)盡可能收集最相關(guān)的信息,以了解供應(yīng)商固有的和剩余的網(wǎng)絡(luò)安全風(fēng)險,包括他們的事件歷史和未來狀態(tài)展望。
僅當(dāng)潛在供應(yīng)商的網(wǎng)絡(luò)安全實踐符合企業(yè)的政策時,才應(yīng)選擇并加入他們,并且應(yīng)根據(jù)他們對企業(yè)構(gòu)成的風(fēng)險級別對他們進行分層。
(3)持續(xù)進行監(jiān)控
時間點評估不足以捕捉供應(yīng)商不斷變化的風(fēng)險態(tài)勢。通過執(zhí)行持續(xù)監(jiān)控以了解其網(wǎng)絡(luò)安全控制和狀態(tài)的變化,定期評估供應(yīng)商群體的安全性至關(guān)重要。在初始盡職調(diào)查期間完成的網(wǎng)絡(luò)安全評級可以提供供應(yīng)商安全性的評分,從而為企業(yè)的評估計劃提供信息。根據(jù)供應(yīng)商在一年、兩年或三年時間框架內(nèi)的總體風(fēng)險評級確定評估范圍和頻率。
了解并實施集成網(wǎng)絡(luò)安全和第三方風(fēng)險管理(TPRM)系統(tǒng)的企業(yè)可以全面了解其供應(yīng)商的風(fēng)險狀況,為可能的威脅和合規(guī)性違規(guī)行為做好全面的準備,并與值得信賴的安全供應(yīng)商一起改善業(yè)務(wù)成果。
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營18個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號