第三方网络风险形势严峻,加强管理势在必行

企业服务数据
安全牛
Alfred.N
2017-05-19 10:50
[ 亿欧导读 ] 为了提高自身运行效率,各企业越来越依赖外包服务、云服务,但是这种高效也带来了网络风险。由于企业对自身防御的重视,网络罪犯已经转变方向将第三方视为最有效的攻击捷径,面对严峻形势,改善第三方网络监管势在必行。
网络安全,云服务,网络风险,外包服务 图片来自“视觉中国”

为了在危险重重的全球市场中生存壮大,企业越来越依赖可以提高市场投放效率的外包服务、云服务。

但是这种高效也带来了网络风险。由于企业对自身防御的重视,网络罪犯已经意识到从第三方入手是最有效的攻击捷径。

一旦黑客们得偿所愿,企业的数据、知识产权和商业秘密都将处于风险之中。怎样才能既享受外包服务的高效便捷,同时又保护好企业的数据和商业秘密呢?

目前市面上的绝大多数的第三方网络风险管理服务都缺乏规模、速度和效率。这些项目往往基于共享电子表格问卷或人工进程这类陈旧的方式。

但据普华永道发布的2016年全球信息安全报告,第三方承包商是最主要的企业外部安全事故诱因。

为什么企业仍然采用GRC工具、外部顾问、电子表格、内部资源拼凑起来的工作进程呢?

CyberGRX相信安全和风险专业人士需要适当的工具来对抗第三方网络威胁。GRC工具、外部顾问、电子表格、内部资源拼凑起来的工作进程在老练的对手面前不堪一击。

在2017年1月的一份报告中,SurfWatch实验室发现“与第三方服务有关的网络犯罪的比例在过去一年中几乎翻了一番,况且这一数据仅包括已公开的安全事件。”

这里有促使企业改善第三方网络风险管理(TPCRM)方案的趋势:

1、外包服务的爆炸性增长和第三方服务的消费渐增

系统依赖第三方服务来改进系统运作方式。这样做合情合理。Deloitte的2016年全球外包服务调查发现,企业服务外包可以降低成本和推动创新。并且所有指标都显示,外包已成定局。资产500强的企业们共有超过20000个不同的第三方供应商。2017年,企业们预计将有更多的第三方供应商,而这一趋势在可预见的未来都不会变。

相反,安全专家们还没有跟上这种爆炸性增长的步伐。根据普华永道的报告,74%的受访者没有对接触敏感数据的第三方建立一个完备的表单。这某种程度上与企业对于“内部人员”的定义有关。

内部人员应囊括所有通过物理或远程方式访问企业资产的人。过去企业可以仅仅把员工视为“内部人员”。但是由于第三方服务商触及黑客们垂涎已久的敏感数据,它们也已经成为了“内部人员”。举几个第三方作为内部人员的例子:

授权生产的制造业合作伙伴;

委托管理员工数据的人力资源服务商;

委托处理公司财务的银行;

委托处理客户数据的通讯中心;

委托处理法律事务的律师事务所。

企业需要扩大“内部人员”的范畴,并采取适当的措施来保证网络安全。

2、伸向第三方的黑手

去年,针对第三方的网络攻击达到了一个高潮。全球企业共因黑客而受到了超过4000亿美元的损失。统计数据显示,50%的攻击事件和第三方有关。

在德勤最近的一项涉及170个企业的调查里,87%的受访者表示,过去两到三年里他们曾经面对过灾难性的第三方问题。

Ponemon Institute在2016年6月发布的一项报告显示,55%的中小企业在12个月内经受过网络攻击,其中41%表示第三方的错误导致了攻击。

普华永道的报告显示,超过50%的泄露事件由第三方引起。

TechNewsWorld的报告则指出,80%的数据泄露源于供应链。

此外,2013年全球网络安全报告中的450起数据泄露的63%与第三方的系统管理组件有关。

根据Ponemon和威瑞森的研究,预计有至少50%的企业泄露事件将由第三方引起。

3、全方位、跨行业的制度压力

各行业都有一系列安全法规,要求检查企业是否遵守网络安全法律。常见的法规包括:PCI、NERC FISMA、HIPAA、SOX、GLBA。最近外包服务和网络犯罪的趋势迫使行业法规向企业施压,来更好地管理第三方网络风险。

例如在2013年,美国货币监理署办公室(OCC)发布了《第三方关系:风险管理指导》。在这个公告里,OCC明确指出,银行必须对新的第三方合作者由有清晰完整的认识。货币监理署写道:

“银行董事会和高级管理层有责任确保通过一个安全的、彻底的方式开展业务,并符合相应法律,银行对第三方的使用也应尽到这种责任。”

这类的指导方针已经覆盖到所有行业。然而,大多数企业都无法实现法规要求的复杂性。企业必须确保他们的第三方遵守模糊的标准、实现不同的审计框架,并采取各种“最佳操作方式”。与此同时,还必须尽可能少得消耗内部资源。大多数企业觉得这样管理第三方网络风险过于浪费和复杂,法规迫切需要简化和改进。

结论

为了修复当前大量企业采用的不完备的业务过程,企业需要关注四个方面:

从每个第三方合作商了解你的内在风险;

对投资组合进行分析,以了解最能影响企业的风险的成因;

与第三方合作,来化解最能影响企业的风险;

实时关注你的第三方伙伴的业务和网络状态的变化,包括可能会暴露你的资产和信息的扩张、资产剥离、漏洞和新攻击。

就第三方而言:评估业务,并及时与多方分享。利用风险交换来建立规模化的反应能力,并推动业务的规模化,实现运营的低成本。

数字生态系统将持续演进,恶人们也将会继续关注第三方这一“捕食”捷径。企业需要确保采用了全面的、基于风险的管理方法,而不仅仅是符合规定。


重磅福利!【2017中国互联网+新商业峰会】,6月15-16日两天3000人次,携程创始人梁建章,嘉御基金创始人、前阿里巴巴CEO卫哲,分众传媒创始人江南春等嘉宾已确认出席,期待你的参与,限量钜惠等你拿!

2017中国互联网+新商业峰会.jpg

品质生活,服务升级2017中国互联网+新商业峰会

全部评论

相关文章

关闭
  • 精彩推荐
  • WGDC2017
  • 2017投资界大健康投资峰会

快来扫描二维码,参与话题讨论吧!

发送验证码
发送验证码
如果你遇到下面的问题

我在注册/找回密码的过程中无法收到手机短信消

我先前用E-mail注册过亿欧网但是现在没有办法通过它登录,我想找回账号

其他问题导致我无法成功的登录/注册

请发送邮箱到service@iyiou.com,说明自己在登录过程中遇到的问题,工作人员将会第一时间为您提供帮助

意见反馈
意见反馈
亿欧公众号 亿欧公众号
小程序-亿欧plus 小程序-亿欧plus
返回顶部