一个企业可以在各种第三方公司(也称为供应商)的帮助下运行。该企业可能会根据需要将其工作外包给代理机构,管理机构,私人安全公司等。这意味着该公司的敏感信息将交给供应商进行处理。如果第三方遇到数据泄露事件,只会使您的数据处于危险之中。作为解决方案,企业可以采用第三方风险管理程序来监督第三方安全入职的各个方面以及与供应商相关的所有形式的风险缓解。
使用第三方的企业非常普遍,因为并非所有企业都具有创建自己的软件的能力。如果需要,他们还会将大量工作外包给供应商。第三方使企业可以轻松地专注于重要工作并分配不必要的负载。这有助于提高企业的工作效率。但是,这也带来了与第三方供应商相关的风险。
什么是第三方风险管理?
第三方风险管理(TPRM)是一个术语,用于表示扫描,获取信息以及控制与第三方供应商和服务提供商相关的风险的行为。首席信息安全官(CISO)协调第三方风险管理程序,负责与供应商一起识别所有漏洞,检查漏洞的严重性,并尽早减轻风险以避免将来的麻烦。
植入第三方供应商风险管理的动机是为了减轻数据泄露风险,业务中断以及第三方供应商采取的不道德行为的任何可能性,这些行为可能导致业务运营下降。当只有16%的企业有效地减轻了第三方供应商的风险时,就需要TPRM。
什么是第三方风险评估?
第三方风险评估是指检查与第三方供应商相关的每项风险。目的是了解第三方可能给企业带来的所有漏洞。如果不加限制,则黑客很有可能将第三方厂商作为攻击目标,以获取对该企业的敏感信息的访问权限。这可能意味着业务中断和利润损失。数据泄露也可能严重影响企业在市场上的声誉。
要寻找的各种风险是操作风险,安全风险,业务失败和声誉风险。这些风险由企业的CISO识别。
第三方风险评估过程涉及的步骤是:
认识并发现与第三方关联可能导致的所有风险。分析供应商对您的网络,数据和系统的访问级别。这将确定每个第三方的风险严重性。查看服务水平协议(SLA),以确保第三方在其提供的准则内执行。根据每个供应商持有的敏感数据的重要性,检查并解决与各个供应商对您的企业有关的风险。不断监控风险,并及时了解处理风险的新行业标准和供应商带来的新漏洞。第三方风险的类型
必须了解与企业的供应商相关的风险类型。与供应商建立联系时,需要注意的一些第三方危险。
名誉风险:您的名誉取决于与您有联系的人。例如,供应商疏忽维护其声誉可能会导致对其员工的攻击以及抵制其产品的呼吁。操作风险:与失败的程序和系统相关的风险可能会导致业务中断。这在卖方备受关注的失败方面具有很高的风险。交易风险:交易中的安全漏洞可能导致未经授权的访问,数据滥用,将公司的敏感信息共享给供应商。黑客可以利用此敏感信息。战略风险:供应商业务决策失败的风险可能反映了企业的价值。供应商错误的决定会削弱公司的价值,这是致命的。法律风险:供应商违反法规可能会花费法律费用,甚至可能给企业造成诉讼。TPRM为什么重要?
第三方风险管理(TPRM)对于减少与第三方网络威胁相关的不必要的风险和成本至关重要。第三方提出了各种网络安全威胁,必须对其进行评估和缓解。第三方风险管理涵盖了其他许多方面,例如道德商业惯例,腐败,环境影响和安全程序。
第三方的运营会直接影响公司的声誉。第三方管理不仅仅是监视网络安全漏洞并提供第三方咨询服务。第三方风险管理还有助于使其他公司的合并和收购无风险,并确保交易的顺利进行。
第三方风险管理框架
企业需要制定完善的第三方风险管理政策,涵盖从初始风险评估到业务连续性的所有风险级别以及第三方生命周期的各个阶段。风险评估应成为组织控制的一部分,并且应包括供应链和外部各方进行的其他风险评估。建立第三方风险管理框架,无论其风险状况如何,都是内部审计和降低风险的重要组成部分。随着公司的权力下放,一致的第三方治理结构变得越来越重要。在许多组织中,尤其是在受控环境中运行的组织中,第三方风险是董事会议程上的主题。
TPRM的挑战
可见性降低:当今的第三方环境是如此之大和多样,以至于很难定义和管理相关的保护,访问,执行和弹性风险。监管责任:由于全球法规的限制,公司在应对第三方威胁方面面临越来越大的压力。数字扩展:随着企业虚拟扩展其第三方社区,网络犯罪分子会在这些社区中寻找漏洞。评估:更新第三方安排时要考虑到数据保护和保密条款。保护:将您的第三方链接到组织的标准。对于新供应商来说,这应该是必不可少的入门要素。投资:组织应考虑第三方并通过向第三方提供管理,文化,风险和信息安全来对其进行投资。沟通:与您的第三方保持经常联系并积极解决他们的问题,对于在困难时期建立并保持信心有很大帮助。缓解第三方风险的五个步骤
我们应始终确保供应商对组织的风险最小。确保充分缓解第三方风险的五个步骤是:
组织应聘请专家,即CISO,并建立供应商管理计划,以确保定期评估与第三方有关的风险。下一步涉及根据供应商对组织造成的风险级别对供应商进行排名。组织应进行行业确定的检查,以评估与第三方有关的严重性级别。第三方供应商强加的决定和规则应符合组织的利益。正确监控第三方工具和应用程序要求第三方工具符合行业标准,并且不会给公司带来业务中断的风险。至关重要的是,适当地检查第三方供应商和代理商,以减轻未来任何业务中断的风险。应该检查黑客可以利用的最小链接是否存在任何故障,即端点安全性。应该有适当的端点安全产品来监视网络使用情况并减轻与最终用户相关的任何风险。专家应保持最新状态,并准备好应对与供应商相关的任何新漏洞。应该使用提供有关当前漏洞的情报的第三方工具(例如国家漏洞数据库)来保持最新状态,以应对风险的可能性。
结论
第三方供应商这个词并不新鲜,而且已经存在了很长时间。与第三方供应商相关的风险已经存在了很长一段时间。
如果您与其他公司或个人或供应商建立关联,则不会隐藏它;供应商的风险也是您的风险。
不幸的是,供应商工作的中断将意味着您公司分配给供应商的工作的中断。第三方风险管理程序可确保所有这些问题都得到解决,并确保将来不会出现此类中断的可能性。CISO是一位经过培训的专家,精通第三方风险管理领域。
#网络安全#
