第三方挑戰(zhàn)

根據(jù)Ponemon Institute的數(shù)據(jù)統(tǒng)計(jì)，56%的組織都曾因第三方供應(yīng)商而遭遇數(shù)據(jù)泄露。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)稱第三方是最大的風(fēng)險(xiǎn)來(lái)源，部分原因是安全措施不完善。如果將第四方和第五方考慮在內(nèi)，風(fēng)險(xiǎn)將呈指數(shù)級(jí)增長(zhǎng)。那么，組織如何能夠確信在其業(yè)務(wù)操作中扮演關(guān)鍵角色的供應(yīng)商和分包商正在充分保護(hù)組織的敏感數(shù)據(jù)呢?

企業(yè)可以通過(guò)多種方式增強(qiáng)其第三方風(fēng)險(xiǎn)意識(shí):教育內(nèi)部利益相關(guān)者正確管理第三方風(fēng)險(xiǎn);通過(guò)對(duì)面向外部的系統(tǒng)的獨(dú)立審查，契約地實(shí)現(xiàn)第三方安全性能預(yù)期;在中央數(shù)據(jù)庫(kù)中跟蹤第三方風(fēng)險(xiǎn);并根據(jù)已知的優(yōu)缺點(diǎn)調(diào)整方法，僅舉幾個(gè)例子。然而，即使所有的措施都不能充分保護(hù)您的敏感數(shù)據(jù):組織應(yīng)該假設(shè)這些信息將被暴露，并采取措施檢測(cè)和補(bǔ)救這種損失。

罪犯走向“數(shù)字化”

隨著第三方生態(tài)系統(tǒng)的發(fā)展，越來(lái)越多的數(shù)據(jù)存儲(chǔ)在云上，員工們找到了新的在線參與方式，企業(yè)的敏感數(shù)據(jù)經(jīng)常暴露出來(lái)。知道這一點(diǎn)，對(duì)手就會(huì)利用這種不必要的暴露;利用帳戶接管憑證或知識(shí)產(chǎn)權(quán)進(jìn)行商業(yè)間諜活動(dòng)。

然而，它甚至還不止于此——網(wǎng)絡(luò)犯罪分子已經(jīng)注意到了這一點(diǎn)，并正在想方設(shè)法利用組織的數(shù)字轉(zhuǎn)型努力。一旦一家公司或銀行提供了一款新的移動(dòng)應(yīng)用程序來(lái)提高訪問(wèn)和效率，不法分子就會(huì)試圖設(shè)計(jì)一種方法來(lái)操縱它，達(dá)到自己的目的。

為了防范這些威脅，組織需要找到新的方法來(lái)檢測(cè)數(shù)據(jù)丟失，保護(hù)其在線品牌，減少攻擊面。

問(wèn)正確的問(wèn)題

數(shù)字技術(shù)對(duì)于企業(yè)變得更加敏捷、提高盈利能力和更好地回應(yīng)客戶的能力至關(guān)重要。但是，像大多數(shù)流程一樣，這是一個(gè)持續(xù)的過(guò)程，需要時(shí)間和關(guān)注。最終，為了在確保網(wǎng)絡(luò)安全的同時(shí)充分受益于這些創(chuàng)新的數(shù)字實(shí)踐和工具，企業(yè)必須做好持續(xù)規(guī)劃和持續(xù)合作的準(zhǔn)備，以提高自身和第三方實(shí)踐的透明度。我建議企業(yè)領(lǐng)導(dǎo)者問(wèn)問(wèn)自己以下三個(gè)問(wèn)題來(lái)減少這種數(shù)字風(fēng)險(xiǎn):

1. 誰(shuí)負(fù)責(zé)管理數(shù)字風(fēng)險(xiǎn)?我們是完全依賴CISO，還是風(fēng)險(xiǎn)超越孤島?

2. 我們是否正在將數(shù)字風(fēng)險(xiǎn)管理從公司擴(kuò)展到我們的合作伙伴和供應(yīng)商生態(tài)系統(tǒng)?在傳統(tǒng)范圍之外，組織有什么工具來(lái)檢測(cè)和糾正風(fēng)險(xiǎn)?

3.我們的CISO是否從業(yè)務(wù)風(fēng)險(xiǎn)的角度來(lái)處理安全問(wèn)題?我們是否根據(jù)業(yè)務(wù)風(fēng)險(xiǎn)來(lái)衡量安全團(tuán)隊(duì)的成功?

隨著數(shù)字化轉(zhuǎn)型的擴(kuò)大，組織的邊界將繼續(xù)受到侵蝕，但只要采取正確的風(fēng)險(xiǎn)保護(hù)策略，任何組織都可以在數(shù)字轉(zhuǎn)型時(shí)代取得成功。