當(dāng)敏感數(shù)據(jù)從第三方供應(yīng)商處被盜，或者當(dāng)他們的系統(tǒng)被用來訪問和竊取存儲在您系統(tǒng)中的敏感信息時，就會發(fā)生第三方違規(guī)。在當(dāng)今的數(shù)字環(huán)境中，將業(yè)務(wù)流程外包給專門從事每個特定功能的供應(yīng)商已成為標(biāo)準(zhǔn)做法，無論是通過 SaaS 供應(yīng)商、第三方服務(wù)提供商還是承包商。

這些第三方通常不在您的組織的控制之下，并且它們不太可能提供完全透明的信息安全控制。一些供應(yīng)商可以擁有強(qiáng)大的安全標(biāo)準(zhǔn)和良好的風(fēng)險管理實(shí)踐，而其他供應(yīng)商則可能沒有。

2019 年eSentire 的一項 調(diào)查 發(fā)現(xiàn)，在所有接受調(diào)查的公司中，有 44% 的公司經(jīng)歷過由第三方供應(yīng)商造成的重大數(shù)據(jù)泄露。IBM 的數(shù)據(jù)泄露成本報告發(fā)現(xiàn)，第三方參與是五個最大的成本放大器之一，使平均成本增加超過 370,000 美元，達(dá)到 429 萬美元。這就是為什么 第三方風(fēng)險管理和供應(yīng)商風(fēng)險管理構(gòu)成任何組織的企業(yè)風(fēng)險管理戰(zhàn)略的重要組成部分。

1. 入職前評估您的供應(yīng)商

在不衡量他們引入的網(wǎng)絡(luò)安全風(fēng)險的情況下，讓可以訪問您的網(wǎng)絡(luò)和敏感數(shù)據(jù)的第三方供應(yīng)商入職是有風(fēng)險的。然而，太多的組織未能在供應(yīng)商選擇過程中進(jìn)行充分的盡職調(diào)查。

在不給供應(yīng)商管理團(tuán)隊帶來運(yùn)營開銷的情況下評估潛在供應(yīng)商的一種簡單方法是使用 安全評級。安全評級已被廣泛采用，因為它們補(bǔ)充并有時可以替代耗時的供應(yīng)商風(fēng)險評估技術(shù)，如問卷調(diào)查、現(xiàn)場訪問和 滲透測試。

安全評級讓您立即了解 潛在供應(yīng)商的 外部安全狀況以及 他們可能容易受到哪些網(wǎng)絡(luò)威脅。這大大減輕了TPRM團(tuán)隊在供應(yīng)商選擇、盡職調(diào)查、入職和監(jiān)控期間的運(yùn)營負(fù)擔(dān) 。此外，報告可以與供應(yīng)商共享并用于補(bǔ)救問題。結(jié)果是更準(zhǔn)確、實(shí)時地了解供應(yīng)商將給您的供應(yīng)鏈帶來的風(fēng)險，而無需花費(fèi)時間完成代價高昂的風(fēng)險評估、滲透測試或 漏洞 掃描。

2. 將風(fēng)險管理納入您的合同

將網(wǎng)絡(luò)風(fēng)險納入您的 供應(yīng)商風(fēng)險管理 計劃和供應(yīng)商合同中。雖然這不會阻止第三方數(shù)據(jù)泄露，但這意味著如果他們的安全狀況減弱，您的供應(yīng)商將被追究責(zé)任。

我們的許多客戶將安全評級納入他們的合同。例如，有些規(guī)定處理個人信息或信用卡的供應(yīng)商必須保持 900 以上的安全等級，否則有終止合同的風(fēng)險。

我們還建議將 SLA 納入您的合同，以便您可以引導(dǎo) 供應(yīng)商的網(wǎng)絡(luò)安全風(fēng)險管理行為并降低您的網(wǎng)絡(luò)安全風(fēng)險。考慮添加要求您的供應(yīng)商在特定時間范圍內(nèi)溝通甚至修復(fù)任何安全問題的語言，例如高風(fēng)險問題需要 72 小時。此外，考慮增加每季度一次要求完成安全調(diào)查問卷的權(quán)利，因為它們可以突出顯示外部安全掃描遺漏的問題。

3.保留您在用供應(yīng)商的庫存

在您能夠充分確定您的第三方供應(yīng)商帶來的風(fēng)險之前，您需要了解您所有的第三方都是誰，以及與他們每個人分擔(dān)了多少。如果沒有你的第三方關(guān)系清單，就不可能衡量供應(yīng)商引入的風(fēng)險水平。盡管如此， 只有 46% 的組織 對處理 敏感數(shù)據(jù)的供應(yīng)商 進(jìn)行 網(wǎng)絡(luò)安全風(fēng)險評估。聽起來很簡單，但了解您的組織使用的所有供應(yīng)商并不總是那么容易。特別是如果您在大型組織工作。

4.持續(xù)監(jiān)控供應(yīng)商的安全風(fēng)險

供應(yīng)商的安全狀況可以而且將會在您的合同過程中發(fā)生變化。這就是為什么 隨著時間的推移持續(xù)監(jiān)控他們的安全控制對您來說至關(guān)重要的原因。問題是，大多數(shù)組織不會持續(xù)監(jiān)控他們的供應(yīng)商。相反，他們依賴于時間點(diǎn)評估，例如審計或安全問卷，這些通常只是組織安全狀況的快照。

5.與您的供應(yīng)商合作

雖然您永遠(yuǎn)無法完全防止第三方未經(jīng)授權(quán)的訪問、 網(wǎng)絡(luò)攻擊和安全漏洞，但重要的是與供應(yīng)商合作而不是好斗，以降低風(fēng)險并快速修復(fù)安全問題。

例如，您可以使用我們的 投資組合風(fēng)險概況 來確定供應(yīng)商生態(tài)系統(tǒng)中最關(guān)鍵風(fēng)險的優(yōu)先級，并通過我們的平臺請求補(bǔ)救措施，以確保快速解決風(fēng)險并進(jìn)行審計跟蹤。這有助于外展，并讓您和您的供應(yīng)商了解需要修復(fù)的內(nèi)容以及為什么它會對最終用戶和個人數(shù)據(jù)構(gòu)成風(fēng)險。

6. 談?wù)劦谌斤L(fēng)險

表現(xiàn)最好的組織（那些在去年能夠避免違規(guī)的組織和那些擁有成熟的風(fēng)險管理計劃的組織）都參與了領(lǐng)導(dǎo)。根據(jù) Ponemon Insitute 的 第三方生態(tài)系統(tǒng)數(shù)據(jù)風(fēng)險 報告，53% 的高績效組織中的受訪者表示他們有董事會和高管級別的參與，而在經(jīng)歷過第三方的組織中只有 25% 的受訪者表示數(shù)據(jù)泄露。

這種參與意味著最高績效者的領(lǐng)導(dǎo)層意識到保護(hù)機(jī)密信息的重要性，以及在全球范圍內(nèi)引入通用數(shù)據(jù)保護(hù)法規(guī)（例如GDPR、 LGPD、 CCPA、 FIPA、 PIPEDA和 SHIELD 法案。通常，他們也會了解運(yùn)營安全性差和社交媒體上過度分享的風(fēng)險，網(wǎng)絡(luò)犯罪分子經(jīng)常利用這些風(fēng)險進(jìn)行 魚叉式網(wǎng)絡(luò)釣魚 和 捕鯨攻擊。

7. 與不良供應(yīng)商斷絕關(guān)系

如果小型企業(yè)或第三方供應(yīng)商無法滿足您的標(biāo)準(zhǔn)，或者如果他們遭受 勒索軟件攻擊 或 數(shù)據(jù)泄露，您是否愿意切斷聯(lián)系？如果您愿意，您是否有適當(dāng)?shù)牧鞒虂沓晒γ撾x供應(yīng)商而不會導(dǎo)致業(yè)務(wù)連續(xù)性問題？很多公司擅長招募供應(yīng)商，但很難正確地讓他們離開。最安全的組織關(guān)心細(xì)節(jié)，并了解適當(dāng)?shù)南戮€是 第三方風(fēng)險管理的重要組成部分。

8.衡量第四方風(fēng)險

了解您的第三方風(fēng)險很重要 ，了解您的第三方依賴誰也很重要。這些組織被稱為您的第四方供應(yīng)商，他們引入了第四方風(fēng)險。正如組織正在迅速采用多因素身份驗證一樣，我們看到我們最好的客戶通過合同要求供應(yīng)商在與第四方或第五方共享數(shù)據(jù)時通知他們。這使他們能夠跟蹤敏感信息共享并更好地了解誰有權(quán)訪問。

9.遵循最小特權(quán)原則（POLP）

許多第三方數(shù)據(jù)泄露事件的發(fā)生是因為第三方獲得的訪問權(quán)限超過了他們完成工作所需的訪問權(quán)限。考慮投資一個強(qiáng)大的 基于角色的訪問控制 系統(tǒng)，該系統(tǒng)遵循最小特權(quán)原則 (POLP)，這種做法將用戶、帳戶和計算進(jìn)程的訪問權(quán)限限制為僅那些需要完成手頭工作的人。