张晓艺
由于通常第三方需要对数据泄露事件负责,因此企业的内部安全标准必须超出其组织的边界,以涵盖供应商和其他外部合作伙伴。
在今年的数据泄露事件中,Capital One公司的1.06亿条记录对外泄露,Quest Diagnostics公司1 190万条记录对外泄露,以及LabCorp公司的770万条记录对外泄露,这些只是大量泄露事件的其中几个,那么这些事件有什么共同点?调查表明,在各种情况下,数据泄露事件都是由第三方造成的。在Capital One公司的数据泄漏事件中,黑客利用一个云计算合作伙伴服务器的配置漏洞进行了攻击。而另外2个数据泄露行为被追溯到同一个第三方———美国医疗收集机构系统。
数据泄露并不是什么新鲜事。仅在2018年就有超过50亿条记录对外泄露,而且经常发现第三方存在过错。数据泄露的潜在成本是巨大的。即使在清理漏洞,并且漏洞被关闭之后,企业仍有可能面临数百万美元的罚款和处罚,致其声誉受损,并且可能会持续数年的时间。
通过适当的第三方风险管理策略,企业可以及时大幅降低数据泄露发生的可能性,并减少和避免对企业业务的不良影响。
这是一种期望不是一种选择
在数据泄露的情况下,无知或不了解并不能作为企业进行辩解的理由。第三方是否应该受到指责并不重要———如果企业对数据负责,那么将被追究责任。美国和欧洲的监管机构已经明确表示,企业要对其收集和持有的数据负责。
遵守全球监管要求是一项不断变化的挑战,实施数据管理和安全非常重要,需要一开始就将合规性视为旅程而不是最终目的。
虽然第三方风险管理在医疗保健和金融行业中尤为重要,因为敏感数据和多个合作伙伴的合作都很重要,但这一建议也适用于从制造到零售再到娱乐等行業。企业将业务外包也扩大了其潜在的攻击面,并增加了风险,因此必须从一开始就仔细检查。
提出正确的问题
虽然企业可以深入了解美国国家标准与技术研究院的网络安全框架和ISO 27001等技术指南,以帮助构建可靠的信息安全策略和措施,但降低第三方风险的最有效方法是限制企业分享的内容。首先从以下问题开始:
为什么要外包这个特定服务或数据;
共享的确切内容是什么,是否都需要共享;
企业是否正在尽一切可能加密或匿名化数据;
有关第三方是否转包给其他方;
他们的数据中心在哪里;
企业有什么样的合同;
如果发生数据泄露或服务故障,有哪些规定。
制定一个强有力的事件响应计划至关重要,它应该清楚地描述处理可疑数据泄露的过程,其中包括谁负责,报告和补救的现实时间表,以及明确的沟通渠道。由于最初的警报没有得到适当的标记或及时处理,往往一场相对较小的事故会演变为重大灾难,这是很常见的。
定期供应商评估至关重要
必须对第三方进行彻底审查和定期评估。适当的第三方风险管理需要明确的文件,其中包括尽职调查、详细的风险评估、第三方关系图以及明确的事件响应要求。企业还应该生成性能报告,并进行定期审核。
必须在严密的服务等级协议中列出所有内容,以确保企业完全符合法规要求。如果最坏的情况发生,企业就应该向监管机构展示其工作方式。如果不能正确地审查合同和第三方实践,或者不能持续地对其进行监督,那么就会再次出错。
传统供应商评估的问题在于,他们倾向于依靠评级系统来为企业提供易于理解的评分或等级,但任意数字并不能告诉企业足够的潜在风险或如何处理。每年只进行一次评审也很常见,但如果希望更放心的话,需要实时的可见性。
采取行动
成功管理第三方风险的最后一个重要组成部分是根据企业收集的信息采取行动。企业定期审核其供应商甚至建立持续监控都是良好的措施,但除非企业见解是可行的,否则它不会产生积极的影响。每次失败都必须有一个补救计划,还必须对补救工作进行评估,以确保问题得到充分处理。
在极端情况下,如果补救措施不成功或供应商多次未能达到企业认同的标准,企业的合同应该规定可以终止合同,而不会受到惩罚,并找到更好的合作伙伴。如果企业没有认真对待第三方风险,并确保其标准涵盖内部和外部数据,那么企业将会破坏其安全工作,并且很有可能最终会为此付出高昂的代价。