第三方挑戰
根據Ponemon Institute的數據統計,56%的組織都曾因第三方供應商而遭遇數據泄露。美國國家標準與技術(shù)研究所(NIST)稱(chēng)第三方是最大的風(fēng)險來(lái)源,部分原因是安全措施不完善。如果將第四方和第五方考慮在內,風(fēng)險將呈指數級增長(cháng)。那么,組織如何能夠確信在其業(yè)務(wù)操作中扮演關(guān)鍵角色的供應商和分包商正在充分保護組織的敏感數據呢?
企業(yè)可以通過(guò)多種方式增強其第三方風(fēng)險意識:教育內部利益相關(guān)者正確管理第三方風(fēng)險;通過(guò)對面向外部的系統的獨立審查,契約地實(shí)現第三方安全性能預期;在中央數據庫中跟蹤第三方風(fēng)險;并根據已知的優(yōu)缺點(diǎn)調整方法,僅舉幾個(gè)例子。然而,即使所有的措施都不能充分保護您的敏感數據:組織應該假設這些信息將被暴露,并采取措施檢測和補救這種損失。
罪犯走向“數字化”
隨著(zhù)第三方生態(tài)系統的發(fā)展,越來(lái)越多的數據存儲在云上,員工們找到了新的在線(xiàn)參與方式,企業(yè)的敏感數據經(jīng)常暴露出來(lái)。知道這一點(diǎn),對手就會(huì )利用這種不必要的暴露;利用帳戶(hù)接管憑證或知識產(chǎn)權進(jìn)行商業(yè)間諜活動(dòng)。
然而,它甚至還不止于此——網(wǎng)絡(luò )犯罪分子已經(jīng)注意到了這一點(diǎn),并正在想方設法利用組織的數字轉型努力。一旦一家公司或銀行提供了一款新的移動(dòng)應用程序來(lái)提高訪(fǎng)問(wèn)和效率,不法分子就會(huì )試圖設計一種方法來(lái)操縱它,達到自己的目的。
為了防范這些威脅,組織需要找到新的方法來(lái)檢測數據丟失,保護其在線(xiàn)品牌,減少攻擊面。
問(wèn)正確的問(wèn)題
數字技術(shù)對于企業(yè)變得更加敏捷、提高盈利能力和更好地回應客戶(hù)的能力至關(guān)重要。但是,像大多數流程一樣,這是一個(gè)持續的過(guò)程,需要時(shí)間和關(guān)注。最終,為了在確保網(wǎng)絡(luò )安全的同時(shí)充分受益于這些創(chuàng )新的數字實(shí)踐和工具,企業(yè)必須做好持續規劃和持續合作的準備,以提高自身和第三方實(shí)踐的透明度。我建議企業(yè)領(lǐng)導者問(wèn)問(wèn)自己以下三個(gè)問(wèn)題來(lái)減少這種數字風(fēng)險:
1. 誰(shuí)負責管理數字風(fēng)險?我們是完全依賴(lài)CISO,還是風(fēng)險超越孤島?
2. 我們是否正在將數字風(fēng)險管理從公司擴展到我們的合作伙伴和供應商生態(tài)系統?在傳統范圍之外,組織有什么工具來(lái)檢測和糾正風(fēng)險?
3.我們的CISO是否從業(yè)務(wù)風(fēng)險的角度來(lái)處理安全問(wèn)題?我們是否根據業(yè)務(wù)風(fēng)險來(lái)衡量安全團隊的成功?
隨著(zhù)數字化轉型的擴大,組織的邊界將繼續受到侵蝕,但只要采取正確的風(fēng)險保護策略,任何組織都可以在數字轉型時(shí)代取得成功。