评论
考虑到即将出台的大量法规以及网络犯罪分子日益先进的策略,降低第三方风险似乎令人畏惧。然而,大多数组织比他们想象的拥有更多的代理权和灵活性。第三方风险管理可以建立在公司当前实施的现有风险治理实践和安全控制之上。该模型令人放心的是,它意味着组织不必完全放弃现有的保护即可成功降低第三方风险,这鼓励了渐进、持续改进的文化。
第三方风险给组织带来了独特的挑战。从表面上看,第三方可能显得值得信赖。但是,如果第三方供应商的内部运作不完全透明,组织如何确保委托给他们的数据是安全的?
通常,由于组织与第三方供应商有着长期的关系,组织会淡化这个紧迫的问题。因为他们已经与第三方供应商合作了 15 年,所以他们认为没有理由要求“深入了解”,从而危及他们的关系。然而,这种想法是危险的——网络事件可能会在最意想不到的时间或地点发生。
不断变化的景观
当数据泄露发生时,不仅组织作为一个实体会被罚款,而且个人也可能会承担后果。去年, FDIC 收紧了有关第三方风险的指导方针,为其他行业效仿奠定了基础。随着人工智能等新技术的出现,第三方对数据管理不当的后果可能是可怕的。即将出台的法规将通过对那些没有制定强有力的控制措施的人实施严厉的处罚来反映这些严重后果。
除了新法规之外,第四方甚至第五方供应商的出现应该会激励组织保护其外部数据。软件不再像 10 年前那样简单,是内部实践——如今,数据经过许多人之手,随着数据链上每增加一个链接,安全威胁就会增加,而监管也变得更加困难。例如,如果经过审查的第三方将私人客户数据外包给疏忽的第四方并且组织对此一无所知,那么对第三方供应商进行适当的尽职调查就没有什么好处。
五个简单的开箱即用步骤
有了正确的路线图,组织 可以成功降低第三方风险。更好的是,昂贵且具有颠覆性的技术投资并不总是必要的。首先,组织在进行尽职调查时需要的是明智的计划、愿意接受的有能力的人员以及 IT、安全和业务团队之间加强的沟通。
第一步是彻底了解供应商情况。虽然这似乎是显而易见的,但许多组织,尤其是有外包预算的大公司,都忽视了这一关键步骤。虽然仓促建立第三方供应商关系可能会在短期内节省资金,但如果发生数据泄露并且组织面临巨额罚款,所有这些节省的资金都将化为乌有。
在研究了供应商情况后,组织应该确定哪些第三方角色是“关键”的——这些角色可能是运营上的关键角色或处理敏感数据。根据重要性,供应商应按级别进行分组,这样组织就可以灵活地评估、审查和管理供应商。
按供应商的重要性对供应商进行排序可以揭示组织可能对其第三方供应商的过度依赖。这些组织必须问自己:如果这种关系突然终止,我们有备用计划吗?我们如何在无缝地继续日常运营的同时替换此功能?
第三步是制定治理计划。组织的三个主要部门之间必须协同作用,才能有效地进行尽职调查和管理风险——安全团队发现供应商安全计划中的漏洞,法律团队确定法律风险,业务团队预测负面连锁反应如果数据或操作受到损害,则会对操作产生影响。创建可靠治理的关键是定制计划以满足组织的独特需求。这尤其适用于监管较少行业的组织。
治理步骤包括起草合同义务。例如,在云计算中,企业领导者常常会错误地仓促签署合同,而不了解某些安全措施可能包含也可能不包含在基线包中。合同义务通常取决于行业,但也应该制定标准化的安全条款。例如,如果我们正在评估一家交付公司,可能会较少关注供应商的软件开发生命周期 (SDLC) 流程,而更多地关注其弹性措施。然而,如果我们正在评估一家软件公司,我们将希望重点关注供应商的 SDLC 流程,例如如何审查代码以及推动生产的保障措施是什么样的。
最后,组织需要制定退出策略。组织如何与第三方彻底分离,同时确保其客户数据得到清理?在某些情况下,一家公司与供应商断绝了联系,但几年后却接到电话,通知他们前合作伙伴遭受了数据泄露,并且他们的客户数据被泄露——尽管假设这些数据已被删除。这个故事的寓意是:不要假设。除了意外的数据泄露之外,第三方供应商也有可能使用前合作伙伴的数据进行内部开发,例如使用该数据构建机器学习模型。组织必须通过明确、具体且具有法律约束力的条款来说明供应商在合作伙伴关系结束时将如何删除数据以及如果不这样做会产生什么后果,从而防止这种情况发生。
创建共同责任和持续改进的文化
采用团队方法进行尽职调查意味着首席信息安全官 (CISO) 不必完全承担降低第三方供应商风险的责任。这 SEC 对 SolarWinds 的指控 开创了一个令人担忧的先例——即使问题源于组织范围内的功能失调,首席信息安全官也可以承担责任。如果 IT 和业务团队支持 CISO 审查第三方供应商,就会为未来的跨团队协作奠定基础,提高组织的支持度,并在安全方面产生更好的结果。
