供應鏈中存在哪些數(shù)據(jù)泄露風險?選擇供應商風險管理框架的步驟
      
                                    
                                
      
                                
      
                                    
      第三方是您的業(yè)務生態(tài)系統(tǒng)中不可避免的重要組成部分。他們是您的供應商、合作伙伴和承包商。它們提高了效率,擴大了您的影響范圍,并使提供最好的產(chǎn)品和服務成為可能。然而,從安全角度來看,它們也帶來了很大的風險。第三方云的錯誤配置可能導致供應鏈數(shù)據(jù)泄露風險。這些常見的第三方風險可能會使組織在聲譽、法律費用和收入損失方面付出代價。
      

      供應鏈中存在哪些數(shù)據(jù)泄露風險?選擇供應商風險管理框架的步驟-南華中天
      

      供應鏈中存在哪些數(shù)據(jù)泄露風險?
      

      隨著您添加更多軟件即服務 (SaaS) 應用程序以簡化業(yè)務運營,管理您的供應鏈變得越來越困難。
      

      2022 年數(shù)據(jù)泄露調(diào)查報告發(fā)現(xiàn)
      

      有四種關鍵的妥協(xié)途徑:
      

        

      • 證書
        • 

      • 網(wǎng)絡釣魚
        • 

      • 利用漏洞
        • 

      • 僵尸網(wǎng)絡
        • 

      

      82% 的違規(guī)行為涉及人為因素(憑據(jù)被盜、網(wǎng)絡釣魚等)
      

      供應鏈在 2021 年造成了 62% 的系統(tǒng)入侵事件
      

      發(fā)現(xiàn)IBM 的2021 年數(shù)據(jù)泄露成本報告
      

      數(shù)據(jù)泄露的平均總成本為 424 萬美元
      

      損失的業(yè)務占違規(guī)成本的最大份額,平均總成本為 159 萬美元
      

      *業(yè)務成本包括客戶流失率增加、系統(tǒng)停機導致收入損失以及聲譽下降導致獲得新業(yè)務的成本增加
      

      識別和遏制數(shù)據(jù)泄露的平均天數(shù)為 287 天
      

      然而,這種風險是可以控制的。一個可靠的第三方風險管理框架將幫助您了解您與第三方承擔的風險并限制您的責任。以下是您在選擇風險管理框架時需要了解的內(nèi)容。
      

      供應鏈中存在哪些數(shù)據(jù)泄露風險?選擇供應商風險管理框架的步驟-南華中天
      

      選擇供應商風險管理框架的5個步驟
      

      1. 審查您的合規(guī)風險
      

      當您擴展生態(tài)系統(tǒng)的成員使您面臨風險時,您需要承擔責任。如果不是你自己的錯也沒關系。根據(jù)大多數(shù)美國數(shù)據(jù)保護法,數(shù)據(jù)所有者而不是數(shù)據(jù)持有者應對數(shù)據(jù)泄露和暴露負責。根據(jù)通用數(shù)據(jù)保護條例 (GDPR)也是如此,該條例要求公司跟蹤和保護他們處理的數(shù)據(jù),即使第三方正在存儲這些數(shù)據(jù)。為了盡量減少您的責任,您必須能夠證明您已盡職盡責。這就是風險管理框架的用武之地。
      

      2. 了解風險管理框架
      

      第三方風險管理框架為整個組織(包括擴展企業(yè))提供一組基準、策略和標準。這樣的框架側(cè)重于第三方以及對組織構(gòu)成最大風險的活動。
      

      大多數(shù)框架要求組織執(zhí)行以下操作:
      

        

      • 盤點組織的第三方
        • 

      • 第三方可能使組織面臨的網(wǎng)絡安全風險目錄
        • 

      • 按風險評估和細分第三方
        • 

      • 專注于關鍵活動
        • 

      • 開發(fā)基于規(guī)則的盡職調(diào)查,以專注于風險最高的第三方
        • 

      • 成立決策小組,自主治理
        • 

      • 審查關鍵活動,為第三方風險管理框架設定基準
        • 

      • 定義三道防線,包括企業(yè)主、第三方監(jiān)督和內(nèi)部審計團隊
        • 

      

      使用多種風險管理框架,可能很難選擇正確的一種。
      

      3. 了解哪些框架適用于您的組織
      

      并非每個風險管理框架都適用于每個組織。一些框架是專門為某些行業(yè)設計的,而另一些則用于某些地理區(qū)域。許多可以一起使用。
      

      供應鏈中存在哪些數(shù)據(jù)泄露風險?選擇供應商風險管理框架的步驟-南華中天
      

      兩個最廣泛使用的風險框架是來自美國國家標準與技術研究院(NIST) 和國際標準組織 (ISO) 的風險框架。其他的,例如信息和相關技術的控制目標 (COBIT),通常在歐洲使用。一些標準被用作法規(guī)的基礎,例如 NIST 800-53,它是許多聯(lián)邦監(jiān)管的網(wǎng)絡安全要求的基礎。
      

      了解哪些框架適用于您的組織取決于您的行業(yè)以及您的規(guī)模。由于大多數(shù)都采用基于風險的方法,因此您需要審查第三方風險,但您也可能會發(fā)現(xiàn)需求會根據(jù)您公司的獨特需求而變化。
      

      4. 準備好使用多個框架
      

      在某些情況下,使用多個風險管理框架是有意義的。如果您使用多個框架,則需要確保您使用的框架相互映射,以便他們根據(jù)您組織的需求評估風險并實施控制,而不會在合規(guī)性方面留下任何差距。
      

      選擇框架(或多個框架)的標準將取決于貴公司的具體需求。例如,醫(yī)療保健組織需要滿足醫(yī)療保健便攜性和責任法案 (HIPAA) 合規(guī)性要求。如果它接受付款,還需要滿足支付卡行業(yè)數(shù)據(jù)安全標準 (PCI DSS) 的要求。
      

      在整合多個第三方供應商風險管理框架時,您需要從您的業(yè)務目標開始,以確保您根據(jù)滿足這些業(yè)務目標所需的合規(guī)性要求進行選擇。您還需要考慮您負責的人員,例如股東、董事會成員或監(jiān)管機構(gòu)。
      

      5. 智能管理第三方風險
      

      公司看待風險的方式正在發(fā)生變化。根據(jù)德勤的擴展企業(yè)風險管理調(diào)查,組織越來越多地使用擴展企業(yè)風險管理來“利用風險的好處”,利用與第三方的合作伙伴關系來提高組織效率和品牌信心,同時變得更加創(chuàng)新和敏捷。良好的第三方風險管理框架可以保護組織的客戶、員工、知識產(chǎn)權(quán)和業(yè)務運營。實施一個并不是要完全消除風險,而是要知道最高風險在哪里并適當?shù)毓芾硭?/p>