日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
第三方風險管理的三個“秘密”

我們應該認識到第三方是數(shù)據(jù)泄露的主要途徑之一。德勤在2017年的一份研究報告指出有20.6%的受訪者經(jīng)歷了因第三方導致客戶敏感數(shù)據(jù)的泄露。Ponemon Institute在去年5月的調(diào)查報告顯示75%的IT和安全人員認為,從第三方泄露的風險正在持續(xù)增長,并且是非常嚴重的。

創(chuàng)新互聯(lián)建站2013年至今,先為吉隆等服務建站,吉隆等地企業(yè),進行企業(yè)商務咨詢服務。為吉隆企業(yè)網(wǎng)站制作PC+手機+微官網(wǎng)三網(wǎng)同步一站式服務解決您的所有建站問題。

另一方面,Soha System的第三方咨詢團隊完成了一次調(diào)研,針對219個負責企業(yè)IT和安全管理人員、董事、高管做了一次調(diào)查,受訪者代表22個行業(yè)類別,35%的組織中有超過10,000名雇員,全部是匿名回復的。調(diào)查發(fā)現(xiàn),盡管企業(yè)數(shù)字化生態(tài)中的合作伙伴越來越多,網(wǎng)絡安全威脅也越來越高,但只有不到2%的調(diào)查對象表示高度關(guān)注第三方接入與合作帶來的安全問題。

下面我們來具體看一看,有哪些第三方風險的問題常被企業(yè)誤讀。

1. 對第三方風險的管理不是IT優(yōu)先考慮的事情

數(shù)據(jù)泄露事件已經(jīng)并不陌生,甚至我們感到又些麻木。個人和財務數(shù)據(jù)泄露近年來更是令人難以置信。有數(shù)據(jù)顯示63%的數(shù)據(jù)泄露直接或間接地與第三方聯(lián)系在一起。很多分銷商、服務商或者供應商必須訪問企業(yè)的應用數(shù)據(jù)來完成業(yè)務工作,它們成為了企業(yè)的風險短板。

雖然是一個重要的風險,調(diào)查顯示,從基礎(chǔ)設施到移動應用,再到對企業(yè)自身的安全保障,幾乎每一類支出都獲得了單獨的預算。但只有2%的受訪者認為第三方訪問的安全性是他們比較關(guān)注的。

企業(yè)的合作伙伴會越來越多。調(diào)查報告中87%的IT人員說,自2013以來,他們組織的服務商使用量增加了49%,40%的人預計在未來3年內(nèi)服務商數(shù)量會增加更多。

結(jié)論:雖然第三方帶來了重大的風險,但企業(yè)能夠在該方面投入的資源非常不足。

2. 第三方引起泄露事件同樣嚴重,但業(yè)務部門比內(nèi)部IT更關(guān)心

調(diào)查顯示,很多高管仍然認為泄露事件會發(fā)生在競爭對手的組織,不是他們自己。有62%的受訪者認為自己組織不會因為第三方訪問而導致嚴重的數(shù)據(jù)泄露事件,但79%的人預計他們的競爭對手將來會出現(xiàn)嚴重的數(shù)據(jù)泄露。雖然受訪者不認為他們的組織很容易受到第三方的攻擊,但56%的人對自己安全管控能力和第三方的安全性非常擔憂。

結(jié)論:組織和越來越多的第三方/合作伙伴之間共享業(yè)務數(shù)據(jù),但IT和安全負責人只對企業(yè)自身的系統(tǒng)負責,沒有人幫助業(yè)務部門了解第三方帶來的風險。

3. 第三方數(shù)據(jù)泄露不等同于IT的工作失誤

雖然一些數(shù)據(jù)泄露事件導致了一些企業(yè)CEO、CIO等高管的離職,但對于大多數(shù)來說,IT專家并不擔心因發(fā)生泄露而失去工作。有趣的是,53%的受訪者認為如果他們在工作中出現(xiàn)了數(shù)據(jù)泄露,他們會覺得自己有一定責任,因為他們認為這會反映出他們的工作不到位;但只有8%的人認為如果在他們的職責范圍內(nèi)發(fā)生數(shù)據(jù)泄露,他們可能會失去工作。這需要認真對待他們的工作,但目前還不清楚誰對數(shù)據(jù)泄露負主要責任,以及這種模糊性可能影響到態(tài)度和行為。

結(jié)論:大多數(shù)人不認為相信如果發(fā)生泄露,他們將承擔個人后果。

很多正在進行數(shù)字化轉(zhuǎn)型的企業(yè)意識到了個人隱私等敏感信息的重要性,并在對自身IT進行風險控制的同時開展第三方風險管理(TPRM)。

超過60%的數(shù)據(jù)泄露事件直接或間接與一個第三方有關(guān),當提到風險管理的時候,安全和風險管理部門通常只關(guān)注合規(guī)性。合規(guī)是很重要的,但不能夠解決第三方帶來風險的核心問題。

企業(yè)進入數(shù)字化轉(zhuǎn)型階段,你需要在風險管理方面進行以下調(diào)整。

1. 實現(xiàn)自動化的風險管理過程,降低第三方帶來的非受控的風險

隨著為企業(yè)提供SaaS服務的公司增加,企業(yè)越來越依賴基于云的第三方服務。Gartner預測,在所有的公有云服務中SaaS應用將增長20%,到2019年將帶來一個2040億美元市場。

隨著業(yè)務驅(qū)動的IT和基礎(chǔ)設施的數(shù)字化轉(zhuǎn)型,這種管理供應商的需求更加明顯。在Ponemon Institute的第三方風險管理調(diào)查中,超過60%的受訪者認為物聯(lián)網(wǎng)增加了第三方的風險,68%的受訪者認為云遷移也是原因之一。

然而,隨著越來越多的第三方成為企業(yè)的供應商或者合作伙伴,由于缺乏資源和能力他們往往沒有管理風險。如果這些第三方訪問您網(wǎng)絡內(nèi)的個人身份信息(PII)或客戶的敏感數(shù)據(jù),難道他們不應該受到嚴格的風險評估和管理么?

但是,當?shù)谌降臄?shù)量越來越多,Gartner預測2018年業(yè)績較好的組織在數(shù)字生態(tài)中的合作伙伴將達到平均143個。對每一個供應商/合作伙伴進行逐個評估往往是不可行的,這就需要有一個自動化的供應商評估的過程是一個可行的方法。它可以:

  • 提高第三方管理的靈活性;
  • 規(guī)范第三方管理流程;
  • 統(tǒng)一的風險度量和報告;
  • 數(shù)據(jù)驅(qū)動的流程決策機制;
  • 進一步構(gòu)建組織的第三方風險管理程序;
  • 增加第三方責任感,提高意識;
  • 提升綜合的風險評估方法和減輕風險。

通過自動化方式實現(xiàn)一個標準化的過程,可以適用于所有的第三方,無論是現(xiàn)有的還是即將合作的。利用一些新技術(shù)和工具,對第三方供應商的信息采集和自動評估,建立自動化的第三方風險管理流程。你可以有效的優(yōu)化資源和分配你和你的員工投入的時間。

2. 通過獨立的風險評估加強和驗證問卷自查報告

第三方風險評估經(jīng)常通過問卷調(diào)查、現(xiàn)場評估或滲透測試的方法,每一種方法都有各自的優(yōu)缺點?,F(xiàn)場評估和滲透測試往往是需要投入大量資源,需要時間、金錢和專業(yè)人員,以便根據(jù)需求進行評估。這類評估不能適用于對所有第三方,而應針對風險較高的第三方。

問卷成為了對其它第三方的評估方法。然而,問卷是自評估的結(jié)果,這存在了“可信”和“可證實”的問題。在2016德勤關(guān)于第三方風險管理的研究中,93.5%的受訪者表示對監(jiān)測機制的信任程度并不高。沒有一種方法來驗證你的第三方的安全狀況,你只能依靠第三方自己說的話,顯而易見問卷中得到的往往都是正面的結(jié)果。

組織應找到獨立的方法,能夠為其第三方提供基于客觀、可證實的風險評估,以驗證調(diào)查問卷的調(diào)查結(jié)果,準確地反映第三方的狀況。您應該研究解決方案是否準確地評估了第三方,并可以促進你和第三方之間就真實問題的交流,同時也將重點放在可能泄露信息的關(guān)鍵安全領(lǐng)域。

3. 利用持續(xù)監(jiān)測優(yōu)化定期的第三方評估

上一節(jié)提到的評估方法都有一個明顯的缺陷,必須在一個特定的時間點評估第三方。很多時候,評估所收集的信息在你收到的時候已經(jīng)過時了。當前的網(wǎng)絡技術(shù)環(huán)境下,黑客的攻擊和漏洞利用方法正以非常快的速度不斷更新,這些定期的評估或者年度審查已經(jīng)無法滿足。

普華永道關(guān)于金融業(yè)的第三方風險管理報告指出,58%的受訪者經(jīng)歷了第三方服務中斷或數(shù)據(jù)泄露,而只有37%的受訪者定期監(jiān)測第三方。沒有辦法在需要的時候知道你的第三方安全的狀況,在一年中的大部分時間,都處于高度威脅的環(huán)境中而無法察覺。

在第三方風險管理中實現(xiàn)連續(xù)的監(jiān)測過程,是增加對關(guān)鍵第三方的安全態(tài)勢的可見能力和反應時間一種方法。通過持續(xù)監(jiān)測第三方的安全性,增強第三方的風險控制能力,從而將總體風險降低,避免出現(xiàn)潛在的安全事件。

國外自2011年開始已經(jīng)有專門對第三方風險管理領(lǐng)域的產(chǎn)品。國內(nèi)發(fā)展較慢一些。

這些基于數(shù)據(jù)驅(qū)動的第三方風險管理技術(shù)和工具已經(jīng)逐步成熟,通過對外部大數(shù)據(jù)的采集,分析第三方供應商或者合作伙伴的安全事件和漏洞,并對其進行持續(xù)的監(jiān)測、風險評估和安全評價,幫助企業(yè)在第三方風險方面實現(xiàn)基于等級測量的風險決策、將有效的資源投入在高風險的地方,并且與供應商/合作伙伴之間對風險進行基于事實依據(jù)的溝通。


網(wǎng)站題目:第三方風險管理的三個“秘密”
網(wǎng)頁URL:http://www.dlmjj.cn/article/cdoopce.html