我们应该认识到第三方是数据泄露的主要途径之一。德勤在2017年的一份研究报告指出有20.6%的受访者经历了因第三方导致客户敏感数据的泄露。Ponemon Institute在去年5月的调查报告显示75%的IT和安全人员认为,从第三方泄露的风险正在持续增长,并且是非常严重的。
另一方面,Soha System的第三方咨询团队完成了一次调研,针对219个负责企业IT和安全管理人员、董事、高管做了一次调查,受访者代表22个行业类别,35%的组织中有超过10,000名雇员,全部是匿名回复的。调查发现,尽管企业数字化生态中的合作伙伴越来越多,网络安全威胁也越来越高,但只有不到2%的调查对象表示高度关注第三方接入与合作带来的安全问题。
下面我们来具体看一看,有哪些第三方风险的问题常被企业误读。
1. 对第三方风险的管理不是IT优先考虑的事情
数据泄露事件已经并不陌生,甚至我们感到又些麻木。个人和财务数据泄露近年来更是令人难以置信。有数据显示63%的数据泄露直接或间接地与第三方联系在一起。很多分销商、服务商或者供应商必须访问企业的应用数据来完成业务工作,它们成为了企业的风险短板。
虽然是一个重要的风险,调查显示,从基础设施到移动应用,再到对企业自身的安全保障,几乎每一类支出都获得了单独的预算。但只有2%的受访者认为第三方访问的安全性是他们比较关注的。
企业的合作伙伴会越来越多。调查报告中87%的IT人员说,自2013以来,他们组织的服务商使用量增加了49%,40%的人预计在未来3年内服务商数量会增加更多。
结论:虽然第三方带来了重大的风险,但企业能够在该方面投入的资源非常不足。
2. 第三方引起泄露事件同样严重,但业务部门比内部IT更关心
调查显示,很多高管仍然认为泄露事件会发生在竞争对手的组织,不是他们自己。有62%的受访者认为自己组织不会因为第三方访问而导致严重的数据泄露事件,但79%的人预计他们的竞争对手将来会出现严重的数据泄露。虽然受访者不认为他们的组织很容易受到第三方的攻击,但56%的人对自己安全管控能力和第三方的安全性非常担忧。
结论:组织和越来越多的第三方/合作伙伴之间共享业务数据,但IT和安全负责人只对企业自身的系统负责,没有人帮助业务部门了解第三方带来的风险。
3. 第三方数据泄露不等同于IT的工作失误
虽然一些数据泄露事件导致了一些企业CEO、CIO等高管的离职,但对于大多数来说,IT专家并不担心因发生泄露而失去工作。有趣的是,53%的受访者认为如果他们在工作中出现了数据泄露,他们会觉得自己有一定责任,因为他们认为这会反映出他们的工作不到位;但只有8%的人认为如果在他们的职责范围内发生数据泄露,他们可能会失去工作。这需要认真对待他们的工作,但目前还不清楚谁对数据泄露负主要责任,以及这种模糊性可能影响到态度和行为。
结论:大多数人不认为相信如果发生泄露,他们将承担个人后果。
很多正在进行数字化转型的企业意识到了个人隐私等敏感信息的重要性,并在对自身IT进行风险控制的同时开展第三方风险管理(TPRM)。
超过60%的数据泄露事件直接或间接与一个第三方有关,当提到风险管理的时候,安全和风险管理部门通常只关注合规性。合规是很重要的,但不能够解决第三方带来风险的核心问题。
企业进入数字化转型阶段,你需要在风险管理方面进行以下调整。
1. 实现自动化的风险管理过程,降低第三方带来的非受控的风险
随着为企业提供SaaS服务的公司增加,企业越来越依赖基于云的第三方服务。Gartner预测,在所有的公有云服务中SaaS应用将增长20%,到2019年将带来一个2040亿美元市场。
随着业务驱动的IT和基础设施的数字化转型,这种管理供应商的需求更加明显。在Ponemon Institute的第三方风险管理调查中,超过60%的受访者认为物联网增加了第三方的风险,68%的受访者认为云迁移也是原因之一。
然而,随着越来越多的第三方成为企业的供应商或者合作伙伴,由于缺乏资源和能力他们往往没有管理风险。如果这些第三方访问您网络内的个人身份信息(PII)或客户的敏感数据,难道他们不应该受到严格的风险评估和管理么?
但是,当第三方的数量越来越多,Gartner预测2018年业绩较好的组织在数字生态中的合作伙伴将达到平均143个。对每一个供应商/合作伙伴进行逐个评估往往是不可行的,这就需要有一个自动化的供应商评估的过程是一个可行的方法。它可以:
- 提高第三方管理的灵活性;
- 规范第三方管理流程;
- 统一的风险度量和报告;
- 数据驱动的流程决策机制;
- 进一步构建组织的第三方风险管理程序;
- 增加第三方责任感,提高意识;
- 提升综合的风险评估方法和减轻风险。
通过自动化方式实现一个标准化的过程,可以适用于所有的第三方,无论是现有的还是即将合作的。利用一些新技术和工具,对第三方供应商的信息采集和自动评估,建立自动化的第三方风险管理流程。你可以有效的优化资源和分配你和你的员工投入的时间。
2. 通过独立的风险评估加强和验证问卷自查报告
第三方风险评估经常通过问卷调查、现场评估或渗透测试的方法,每一种方法都有各自的优缺点。现场评估和渗透测试往往是需要投入大量资源,需要时间、金钱和专业人员,以便根据需求进行评估。这类评估不能适用于对所有第三方,而应针对风险较高的第三方。
问卷成为了对其它第三方的评估方法。然而,问卷是自评估的结果,这存在了“可信”和“可证实”的问题。在2016德勤关于第三方风险管理的研究中,93.5%的受访者表示对监测机制的信任程度并不高。没有一种方法来验证你的第三方的安全状况,你只能依靠第三方自己说的话,显而易见问卷中得到的往往都是正面的结果。
组织应找到独立的方法,能够为其第三方提供基于客观、可证实的风险评估,以验证调查问卷的调查结果,准确地反映第三方的状况。您应该研究解决方案是否准确地评估了第三方,并可以促进你和第三方之间就真实问题的交流,同时也将重点放在可能泄露信息的关键安全领域。
3. 利用持续监测优化定期的第三方评估
上一节提到的评估方法都有一个明显的缺陷,必须在一个特定的时间点评估第三方。很多时候,评估所收集的信息在你收到的时候已经过时了。当前的网络技术环境下,黑客的攻击和漏洞利用方法正以非常快的速度不断更新,这些定期的评估或者年度审查已经无法满足。
普华永道关于金融业的第三方风险管理报告指出,58%的受访者经历了第三方服务中断或数据泄露,而只有37%的受访者定期监测第三方。没有办法在需要的时候知道你的第三方安全的状况,在一年中的大部分时间,都处于高度威胁的环境中而无法察觉。
在第三方风险管理中实现连续的监测过程,是增加对关键第三方的安全态势的可见能力和反应时间一种方法。通过持续监测第三方的安全性,增强第三方的风险控制能力,从而将总体风险降低,避免出现潜在的安全事件。
国外自2011年开始已经有专门对第三方风险管理领域的产品。国内发展较慢一些。
这些基于数据驱动的第三方风险管理技术和工具已经逐步成熟,通过对外部大数据的采集,分析第三方供应商或者合作伙伴的安全事件和漏洞,并对其进行持续的监测、风险评估和安全评价,帮助企业在第三方风险方面实现基于等级测量的风险决策、将有效的资源投入在高风险的地方,并且与供应商/合作伙伴之间对风险进行基于事实依据的沟通。