因为有太多不同类型的第三方,确定他们是否拥有正确的基础设施或安全协议可能是一个挑战。此外,为审查第三方供应商而进行适当的尽职调查可能会花费高昂的成本和时间。
由于许多组织依赖于各种不同的提供商,第三方可以成为网络的网关。为了降低第三方违约的风险,企业需要设计一个审查流程,并理解服务级别协议的语言,以便最好地评估其合同。
[关于CSO:如何实现更好的第三方安全:让我们数一数]
网络风险管理公司(Cyber Risk Management)首席执行官周永刚(Yong Gon Chon)表示,“没有一家云服务提供商提供安全服务水平协议。正常运行时间,可见性,是的,但是没有安全性的等价物。大多数人说,对于这种数据泄露,我们有这么长的响应时间,如果发现这种漏洞,我们会在这么长的时间内通知您。”
Chon说,问题是安全是看不见的。”只有当事情出错时,它才变得切实可见,“如果企业知道当事情出错时他们会失去什么,他们可以在安全成为问题之前使安全变得更加切实。
“他们需要掌握自己业务中最有价值的数据资产是什么,”Chon说。
提出这样的问题:“如果这些信息被泄露、窃取或赎出组织,会发生什么?”?用户可以访问哪些内容?他们可以复制或删除什么?'将使企业清楚地了解信息如何在组织内部和外部流动。他说:“他们需要一份路线图,表明这是我们应该和不应该信任第三方的事情。”
当许多组织都希望迁移到云端时,并不能完全理解提供商会给他们什么,包括他们提供了什么安全性。Chon说,“他们需要了解他们向谁提供访问权限,他们需要了解管理这些权限的规则和条例。”
在那些带来更大风险的第三方和那些提供更高级别保障的第三方之间有一条分界线。这条线是第三方已经实现的保障措施和政策。
“这就是我所说的最低保障水平。遵循风险管理框架可以在一定程度上保证他们达到了一个标准,他们有正确的政策,他们正在培训他们的员工。有意识和能力保护他们的数据,他们对这些控制措施有一些认证或验证,”Chon说。
Chon说,真正领先的组织是那些监管严格的环境中的组织,但其他行业没有同样的监管环境,需要对第三方进行强有力的监督。因此,其他行业的这些组织正试图强调如何信任他们的第三方供应商。
因此,供应商希望能够突出他们作为可信赖的行业领导者的地位。如果安全性不是一开始就嵌入的,那么供应商是否真的专注于设计可信任的系统?
思科全球连锁价值首席安全官埃德娜•康威(Edna Conway)表示,在从端到端的角度设计架构时,需要考虑很多问题。”我的价值链是什么?是一个将推动设计和开发、规划、采购模式、质量、交付、可持续性和生命终结的问题。
服务提供商需要分层思考,因为安全是一个旅程,也是一种承诺,康威说,“大多数服务都是云提供商的生态系统,可能会使用2、3、5或12家其他公司来实现这些功能。”
向第三方供应商的转变并没有改变所有企业都易受外部人操纵的威胁格局,外部人未经授权就控制了企业的网络。康威说,了解来自工业国和民族国家的恶意行为体可能造成的物理或数字中断和更大损害的风险,服务提供商有责任优化和部署充分的商业模式。
康威说:“一个清晰的体系结构将所有领域融合在同一领域,包括安全领域、治理安全、运营和资产管理安全、事件管理安全、服务管理安全、物流和仓储安全、物理环境安全和人员安全。”。
即使是那些考虑采用这种分层和基于价值观的方法的供应商,人员安全仍将是安全的薄弱环节。对许多员工来说,通往地狱的道路是由良好的意愿铺就的。Digital Shadows首席执行官兼联合创始人阿拉斯泰尔•帕特森(Alastair Paterson)指出,许多漏洞都是人为错误造成的。
当涉及到一些服务时,公司数据中有很多不同的方面没有被公司跟踪,以至于他们甚至不知道外面有什么。”帕特森说:“你可以让承包商为你承包的任何服务工作,这会带来一点风险。
帕特森说:“我们看到的很多东西都是不经意和偶然的。他讲述了一个大银行利用第三方安装新ATM网络的事件,许多人认为这家大银行有很好的安全性。”帕特森说:“结果发现,一个在供应商那里工作的承包商在没有意识到的情况下备份了他的整个笔记本电脑,这使得他所掌握的有关银行的所有私人信息都公之于众。”。
依赖2万多家服务供应商的大型企业面临着跟踪最终结果的挑战。”“不过,这不仅仅是供应链的问题,”帕特森说越来越多的云服务。更多的信息被限制在边界之外,企业正在失去对信息存储位置的控制。”
帕特森说,对于那些意识到失去对信息存储位置控制的担忧的人来说,“接受所有这些新技术并继续外包是正确的,但你需要看看供应商,评估他们的安全性,并检查流出的数据。这是一个新的安全程序。”
为第三方供应商设计审核流程
康威表示,大多数大型供应商不会对其违约行为承担责任,但企业在进行尽职调查和选择外部供应商时应提出一些重要问题。
“问'你还在用谁?我的数据还能去哪里?其他服务能提供我所期望的安全吗?',"康威说,但企业必须时刻意识到他们在云端放了什么。”合同转移了风险,但它们不采用安全措施,”康威说。
Optiv信息风险管理副总裁James Christiansen表示:“在第三方方面,并不是一刀切的,但企业有能力定义他们所面临的风险,并将其与对该风险的尽职调查相匹配。”
企业应该寻找的是供应商安全实践的成熟度,但他们也需要向供应商传达他们的期望。Christiansen说,“合同中需要安全语言来追究他们的责任,我们确实看到了一些情况,在这些情况下,没有传达适当的控制措施,也没有给供应商适当的期望水平。”
这个故事,“第三方供应商背着靶子吗?”最初由CSO公司 .