三大趨勢決定必須改善第三方網路風險管理
為了在危險重重的全球市場中生存壯大,企業越來越依賴可以提高市場投放效率的外包服務、雲服務。
但是這種高效也帶來了網路風險。由於企業對自身防禦的重視,網路罪犯已經意識到從第三方入手是最有效的攻擊捷徑。
一旦黑客們得償所願,企業的資料、智慧財產權和商業祕密都將處於風險之中。怎樣才能既享受外包服務的高效便捷,同時又保護好企業的資料和商業祕密呢?
目前市面上的絕大多數的第三方網路風險管理服務都缺乏規模、速度和效率。這些專案往往基於共享電子表格問卷或人工程式這類陳舊的方式。
但據普華永道釋出的2016年全球資訊保安報告,第三方承包商是最主要的企業外部安全事故誘因。
為什麼企業仍然採用GRC工具、外部顧問、電子表格、內部資源拼湊起來的工作程式呢?
CyberGRX相信安全和風險專業人士需要適當的工具來對抗第三方網路威脅。GRC工具、外部顧問、電子表格、內部資源拼湊起來的工作程式在老練的對手面前不堪一擊。
在2017年1月的一份報告中,SurfWatch實驗室發現“與第三方服務有關的網路犯罪的比例在過去一年中幾乎翻了一番,況且這一資料僅包括已公開的安全事件。”
這裡有促使企業改善第三方網路風險管理(TPCRM)方案的趨勢:
- 外包服務的爆炸性增長和第三方服務的消費漸增
系統依賴第三方服務來改進系統運作方式。這樣做合情合理。Deloitte的2016年全球外包服務調查發現,企業服務外包可以降低成本和推動創新。並且所有指標都顯示,外包已成定局。資產500強的企業們共有超過20000個不同的第三方供應商。2017年,企業們預計將有更多的第三方供應商,而這一趨勢在可預見的未來都不會變。
相反,安全專家們還沒有跟上這種爆炸性增長的步伐。根據普華永道的報告,74%的受訪者沒有對接觸敏感資料的第三方建立一個完備的表單。這某種程度上與企業對於“內部人員”的定義有關。
內部人員應囊括所有通過物理或遠端方式訪問企業資產的人。過去企業可以僅僅把員工視為“內部人員”。但是由於第三方服務商觸及黑客們垂涎已久的敏感資料,它們也已經成為了“內部人員”。舉幾個第三方作為內部人員的例子:
授權生產的製造業合作伙伴;委託管理員工資料的人力資源服務商;委託處理公司財務的銀行;委託處理客戶資料的通訊中心;委託處理法律事務的律師事務所。
企業需要擴大“內部人員”的範疇,並採取適當的措施來保證網路安全。
- 伸向第三方的黑手
去年,針對第三方的網路攻擊達到了一個高潮。全球企業共因黑客而受到了超過4000億美元的損失。統計資料顯示,50%的攻擊事件和第三方有關:
在德勤最近的一項涉及170個企業的調查裡,87%的受訪者表示,過去兩到三年裡他們曾經面對過災難性的第三方問題。
Ponemon Institute在2016年6月釋出的一項報告顯示,55%的中小企業在12個月內經受過網路攻擊,其中41%表示第三方的錯誤導致了攻擊。
普華永道的報告顯示,超過50%的洩露事件由第三方引起。
TechNewsWorld的報告則指出,80%的資料洩露源於供應鏈。
此外,2013年全球網路安全報告中的450起資料洩露的63%與第三方的系統管理元件有關。
根據Ponemon和威瑞森的研究,預計有至少50%的企業洩露事件將由第三方引起。
- 全方位、跨行業的制度壓力
各行業都有一系列安全法規,要求檢查企業是否遵守網路安全法律。常見的法規包括:PCI、NERC FISMA、HIPAA、SOX、GLBA。最近外包服務和網路犯罪的趨勢迫使行業法規向企業施壓,來更好地管理第三方網路風險。
例如在2013年,美國貨幣監理署辦公室(OCC)釋出了《第三方關係:風險管理指導》。在這個公告裡,OCC明確指出,銀行必須對新的第三方合作者由有清晰完整的認識。貨幣監理署寫道:
“銀行董事會和高階管理層有責任確保通過一個安全的、徹底的方式開展業務,並符合相應法律,銀行對第三方的使用也應盡到這種責任。”
這類的指導方針已經覆蓋到所有行業。然而,大多數企業都無法實現法規要求的複雜性。企業必須確保他們的第三方遵守模糊的標準、實現不同的審計框架,並採取各種“最佳操作方式”。與此同時,還必須儘可能少得消耗內部資源。大多數企業覺得這樣管理第三方網路風險過於浪費和複雜,法規迫切需要簡化和改進。
結論
為了修復當前大量企業採用的不完備的業務過程,企業需要關注四個方面:
從每個第三方合作商瞭解你的內在風險;對投資組合進行分析,以瞭解最能影響企業的風險的成因;與第三方合作,來化解最能影響企業的風險;實時關注你的第三方夥伴的業務和網路狀態的變化,包括可能會暴露你的資產和資訊的擴張、資產剝離、漏洞和新攻擊。
就第三方而言:評估業務,並及時與多方分享。利用風險交換來建立規模化的反應能力,並推動業務的規模化,實現運營的低成本。
數字生態系統將持續演進,惡人們也將會繼續關注第三方這一“捕食”捷徑。企業需要確保採用了全面的、基於風險的管理方法,而不僅僅是符合規定。
本文轉自d1net(轉載)
相關文章
- 未來做什麼才賺錢?必須要看的網際網路求職趨勢報告求職
- 13個網路管理員必須瞭解的網路監控工具
- 移動開發者必須瞭解的三大職業趨勢移動開發
- 網路安全趨勢一覽
- 大資料時代必須把握的未來七大趨勢大資料
- 大資料狂想:你必須把握的未來七大趨勢大資料
- 90後與大趨勢,社交APP必須順應的人性變革APP
- 【網路安全】你必須知道的幾個網路安全概念
- 【思考】網際網路產業發展趨勢產業
- 2021年Web開發必須知道的7大優秀趨勢Web
- 網路管理協議的發展歷史和新趨勢(轉)協議
- 2017年網際網路投資趨勢
- 網際網路品牌建設的新趨勢
- EMA報告:2018年網路管理六大趨勢
- 網路安全發展的趨勢及措施
- 又一國家做出判決:iOS必須開放第三方支付iOS
- 為什麼技術必須要學習Linux?Linux發展趨勢如何?Linux
- 大資料狂想:你必須把握的未來七大趨勢 【轉自 CIO】大資料
- 值得關注的網際網路行業趨勢行業
- 中金:網際網路金融十大趨勢
- 物聯網裝置殭屍網路趨勢分析
- Linux下必須知道的網路命令都有哪些?Linux
- 29個網路營銷必須知道的資料
- 網際網路時代,營銷人必須要掌握的能力
- 瑪麗·米克爾:“網際網路女皇”解析移動網際網路趨勢
- Marin:2022年網路廣告趨勢
- 網路安全趨勢的10大關鍵點
- 2017年網路營銷新趨勢
- 2019年全球網際網路IT業趨勢
- UC:移動網際網路的六大趨勢
- CNNIC:中國網際網路發展十大趨勢CNN
- 《全網網路傳媒》RocketMQ做叢集必須用Dledger嗎?MQ
- 前端必須懂的計算機網路知識—(HTTP)前端計算機網路HTTP
- 前端必須懂的計算機網路知識—(TCP)前端計算機網路TCP
- 必須要理解幾個linux命令(摘至網路)Linux
- 前端必須懂的計算機網路知識—(IP,MAC和網路模型)前端計算機網路Mac模型
- 《2023產業網際網路安全十大趨勢》釋出,研判產業安全新趨勢產業
- 機器學習如何改善網路安全?機器學習