首页。 / 资源 / 新闻及趋势 / 澳门赌场官方软件 / 2023 / 第三方风险管理:无人愿意讨论的安全盲点

第三方风险管理:无人愿意讨论的安全盲点

Michalis Kamprianis
作者: Michalis Kamprianis, CRISC, CCSK, CISSP, ISO 27001 LA
发表日期: 二零二三年十一月二十八日

在风险管理和网络安全学科中,最常讨论的话题之一是如何有效地管理供应链中不受信任的第三方带来的风险. 这是有充分理由的,因为最近涉及第三方的引人注目的事件.g.卡塞亚人;1 SolarWinds,2 Okta3 和微软4 事件)已经影响了许多澳门赌场官方下载,并清楚地表明与第三方相关的风险是巨大的.

尽管如此, 许多组织继续依赖无效的解决方案来管理第三方风险, 例如第三方风险分析服务或臭名昭著的客户安全调查问卷. 这些已经不够了, 因此, 有必要探索实现有效风险管理的替代解决方案.

第三方风险分析服务

第三方风险分析解决方案的低效率是由于它们依赖于不准确的数据. 在很多情况下, 这些解决方案试图利用互联网上随时可用的信息来评估澳门赌场官方下载的安全状况. 通常, 这些信息来自公共网站等来源, 电子邮件服务器设置和泄露的凭证, 所有这些都可能与组织提供的产品和服务无关.

除了某些软件即服务(SaaS)澳门赌场官方下载, 软件开发团队通常与组织的电子邮件服务器或在线状态关系不大. 相反,大多数组织外包或外部托管这些服务. 网站的漏洞或邮件服务器的设置与澳门赌场官方下载生产和分发的产品质量没有关系. 这一差距也存在于其他假定的安全态势指标(如.g., 暴露的凭证),这些凭证通常不与内部安全流程和策略相关联, 而是, 不相关的网站数据被泄露.

换句话说, 第三方风险分析平台和解决方案提供的澳门赌场官方下载所认为的安全态势指标,可能并不能准确反映澳门赌场官方下载的真实安全态势.

安全调查问卷

使用安全调查问卷也是分析组织安全状况的无效方法. 有几个因素导致它们缺乏功效,但最重要的是:

  • 有些问卷过于笼统. 例如, 当客户只使用内部部署软件时,询问组织的云实践,无法了解假定的风险, 但是为供应商和客户都带来了更多的工作.
  • 一些问卷类似于国际标准化组织(ISO)的ISO 27001标准5 距离太近. 那些认为认证意味着安全的人应该简单地请求证书,而不是依赖于问卷调查. 获得ISO认证比让未经培训的分析师审核ISO 27001部分更有效.
  • 有些问卷太详细了. 而不是解决风险本身, 它们需要诸如访问控制技术之类的技术保障, 密码复杂度设置和反病毒签名更新.

除了, 在这个过程中,任何时候都不能保证问卷上的答案是由一个知识渊博的人提供的,而不是一个过于热心的销售部门. 最后, 如果发生安全漏洞,大量问卷要求在24至48小时内通知. 期望小型初创公司和没有安全部门的组织能够如此迅速地扭转局面,这表明问卷调查只是一种检查表练习,而不是真正的风险管理.

期望小型初创公司和没有安全部门的组织能够如此迅速地扭转局面,这表明问卷调查只是一种检查表练习,而不是真正的风险管理.

这些固有的缺陷, 对组织安全状况的歪曲并不罕见, 成熟度和控制, 类似于销售人员非常渴望达成一笔交易,或者供应商认为网络安全只是交易完成前的一个复选框.

将调查问卷的结果作为合同的附录,以在合同上约束供应商的安全做法和承诺,可能是可行的, 但前提是合同没有典型的责任限制条款,其上限对于网络安全事件来说相当低.

有解决办法吗??

鉴于大多数组织目前的安全状况,连续的数据泄露证明了这一点, 很明显,这个问题没有简单的解决办法. 然而, 口语一般, 澳门赌场官方下载应该从单独评估与每个第三方相关的风险开始.

因为并不是每个外包服务或产品都将组织暴露在相同级别的风险中, 评估外包服务或产品不可用的可能性非常重要, 否则敏感信息就会泄露. 换句话说,组织必须进行标准的风险评估. 大多数时候, 第三方风险不能证明耗时完成安全调查问卷是合理的, 合同谈判和其他类似的任务. 如果风险评估没有发现任何重大风险,并且组织的安全认证是可接受的, 它们的存在和范围可以作为保证控制进行验证.

客户了解他们自己的能力是另一种避免安全调查问卷带来的负担和表演的方法. 问大型安全澳门赌场官方下载有意义吗, 例如, 当自己的能力和成熟程度有限时,填写问卷?

最后一个选项是对易受风险影响或导致风险的特定业务流程进行审计或讨论. 这需要在供应商和客户双方都有风险意识的人员, 这个练习, 类似于任何其他风险管理活动, 最终是否应该建立一个补救计划. 第三方合同可以将此计划纳入其中.

虽然没有普遍认可的标准来具体说明什么级别的安全被认为是适当的, 欧盟通用数据保护条例(GDPR)6 载有制裁的规定, 它可以被解释为“如果你没有为你提供的服务采取适当的安全措施,你将被罚款?.“这项规定允许数据保护机构(dpa)确定在每个案例中什么是合适的. GDPR仅适用于私人数据, 然而, 不包括违反非个人资料或其他安全事件. 尽管如此, 它仍然是最好的可用模型,并为未来的扩展提供了坚实的基础.

美国证券交易委员会(SEC)在2023年7月更新并颁布了与网络安全相关的新规则,做出了正确的选择. 比如美国的萨班斯-奥克斯利(SOX)法案7 这表明,向美国证券交易委员会做虚假陈述不是一件漫不经心的事情. 鉴于此, 该行业应该抓住机会,解决目前无效的第三方风险管理实践, 美国证券交易委员会应该对这些新规定施加一些压力.

尾注

1 山,米.; “Kaseya勒索软件攻击:时间轴,《澳门赌场官方软件》,2021年11月19日
2 FireEye。”高度规避攻击者利用太阳风供应链与Sunburst后门危及多个全球受害者2020年12月13日
3 页面中,C.; “Okta确认黑客窃取源代码后再次出现漏洞,” TechCrunch2022年12月22日
4 芦苇,J.; “从微软云漏洞中吸取的教训,《澳门赌场官方下载》,2023年8月24日
5 国际标准化组织(ISO)/国际电工委员会(IEC), ISO / IEC 27001 -资讯安全管理、瑞士
6 Gdpr-info.eu, 通用数据保护条例- GDPR
7 塞班斯法案.com”,萨班斯-奥克斯利法案

Michalis Kamprianis, CRISC, CCSK, CISSP, ISO 27001 LA

目前是否有网络安全主管在海克斯康制造智能公司担任网络安全主管. 在超过25年的职业生涯中,他在各个行业担任过重要职务. 他的专长是网络安全, 特别是在数字化和数字化转型计划方面. Kamprianis是公认的动态变革催化剂,能够组建高绩效的跨国团队. 他还积极指导和教育风险管理和网络安全领域的新兴人才.