第三方挑戰(zhàn)
根據(jù)Ponemon Institute的數(shù)據(jù)統(tǒng)計(jì),56%的組織都曾因第三方供應(yīng)商而遭遇數(shù)據(jù)泄露���。美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)稱第三方是最大的風(fēng)險(xiǎn)來源����,部分原因是安全措施不完善���。如果將第四方和第五方考慮在內(nèi),風(fēng)險(xiǎn)將呈指數(shù)級增長�。那么��,組織如何能夠確信在其業(yè)務(wù)操作中扮演關(guān)鍵角色的供應(yīng)商和分包商正在充分保護(hù)組織的敏感數(shù)據(jù)呢?
企業(yè)可以通過多種方式增強(qiáng)其第三方風(fēng)險(xiǎn)意識:教育內(nèi)部利益相關(guān)者正確管理第三方風(fēng)險(xiǎn);通過對面向外部的系統(tǒng)的獨(dú)立審查���,契約地實(shí)現(xiàn)第三方安全性能預(yù)期;在中央數(shù)據(jù)庫中跟蹤第三方風(fēng)險(xiǎn);并根據(jù)已知的優(yōu)缺點(diǎn)調(diào)整方法,僅舉幾個例子�。然而���,即使所有的措施都不能充分保護(hù)您的敏感數(shù)據(jù):組織應(yīng)該假設(shè)這些信息將被暴露�,并采取措施檢測和補(bǔ)救這種損失�����。
罪犯走向“數(shù)字化”
隨著第三方生態(tài)系統(tǒng)的發(fā)展��,越來越多的數(shù)據(jù)存儲在云上�,員工們找到了新的在線參與方式,企業(yè)的敏感數(shù)據(jù)經(jīng)常暴露出來����。知道這一點(diǎn),對手就會利用這種不必要的暴露;利用帳戶接管憑證或知識產(chǎn)權(quán)進(jìn)行商業(yè)間諜活動���。
然而�����,它甚至還不止于此——網(wǎng)絡(luò)犯罪分子已經(jīng)注意到了這一點(diǎn)�����,并正在想方設(shè)法利用組織的數(shù)字轉(zhuǎn)型努力�。一旦一家公司或銀行提供了一款新的移動應(yīng)用程序來提高訪問和效率,不法分子就會試圖設(shè)計(jì)一種方法來操縱它���,達(dá)到自己的目的��。
為了防范這些威脅���,組織需要找到新的方法來檢測數(shù)據(jù)丟失,保護(hù)其在線品牌����,減少攻擊面。
問正確的問題
數(shù)字技術(shù)對于企業(yè)變得更加敏捷����、提高盈利能力和更好地回應(yīng)客戶的能力至關(guān)重要。但是����,像大多數(shù)流程一樣���,這是一個持續(xù)的過程,需要時(shí)間和關(guān)注�����。最終�,為了在確保網(wǎng)絡(luò)安全的同時(shí)充分受益于這些創(chuàng)新的數(shù)字實(shí)踐和工具�,企業(yè)必須做好持續(xù)規(guī)劃和持續(xù)合作的準(zhǔn)備,以提高自身和第三方實(shí)踐的透明度�����。我建議企業(yè)領(lǐng)導(dǎo)者問問自己以下三個問題來減少這種數(shù)字風(fēng)險(xiǎn):
1. 誰負(fù)責(zé)管理數(shù)字風(fēng)險(xiǎn)?我們是完全依賴CISO����,還是風(fēng)險(xiǎn)超越孤島?
2. 我們是否正在將數(shù)字風(fēng)險(xiǎn)管理從公司擴(kuò)展到我們的合作伙伴和供應(yīng)商生態(tài)系統(tǒng)?在傳統(tǒng)范圍之外,組織有什么工具來檢測和糾正風(fēng)險(xiǎn)?
3.我們的CISO是否從業(yè)務(wù)風(fēng)險(xiǎn)的角度來處理安全問題?我們是否根據(jù)業(yè)務(wù)風(fēng)險(xiǎn)來衡量安全團(tuán)隊(duì)的成功?
隨著數(shù)字化轉(zhuǎn)型的擴(kuò)大�����,組織的邊界將繼續(xù)受到侵蝕����,但只要采取正確的風(fēng)險(xiǎn)保護(hù)策略��,任何組織都可以在數(shù)字轉(zhuǎn)型時(shí)代取得成功���。