2017年5月,AWS S3存儲(chǔ)桶數(shù)據(jù)倉(cāng)庫(kù)被爆,至少220萬(wàn)道瓊斯公司客戶(hù)信息半公開(kāi)。該錯(cuò)誤很簡(jiǎn)單:存儲(chǔ)桶權(quán)限設(shè)置失當(dāng),讓免費(fèi)AWS賬戶(hù)都可以訪問(wèn)里面內(nèi)容。這次泄露暴露出:安全設(shè)置中很低級(jí)的錯(cuò)誤,都可輕易導(dǎo)致客戶(hù)個(gè)人信息受損。此類(lèi)粗心大意的代價(jià),包含監(jiān)管罰款、信譽(yù)受損和潛在的法律訴訟。
或許你會(huì)認(rèn)為在自己的照管之下不會(huì)發(fā)生這種事,但你的數(shù)據(jù)安全又有多少是真正在你掌控之中的呢?
你知道你的數(shù)據(jù)都存儲(chǔ)在哪里嗎?
很有可能你的公司采用數(shù)十上百家第三方SaaS應(yīng)用來(lái)處理各種事務(wù),從管理發(fā)展前景和客戶(hù),到幫助維護(hù)賬戶(hù)。這些應(yīng)用省下了你的業(yè)務(wù)時(shí)間和金錢(qián)開(kāi)銷(xiāo),但它們同時(shí)也將你的數(shù)據(jù)放到了他人手中。
此類(lèi)應(yīng)用大多將數(shù)據(jù)存在云端,就是道瓊斯數(shù)據(jù)泄露的那種數(shù)據(jù)倉(cāng)庫(kù)。你怎么能保證自己的數(shù)據(jù)沒(méi)有明文存儲(chǔ),不會(huì)被意外公開(kāi)呢?
最大的數(shù)據(jù)安全錯(cuò)誤
多數(shù)公司把數(shù)據(jù)交給第三方的時(shí)候,總會(huì)錯(cuò)誤地以為第三方公司自然而然就有了保護(hù)數(shù)據(jù)安全的責(zé)任,壓根兒沒(méi)多想一下應(yīng)用上線之后的數(shù)據(jù)安全問(wèn)題。
盡管第三方應(yīng)該,也確實(shí)提供安全,但保護(hù)數(shù)據(jù)的總體責(zé)任依然落在你自己身上。如果數(shù)據(jù)被泄露,是你和你的團(tuán)隊(duì)要為股東和客戶(hù)負(fù)責(zé),而不是第三方負(fù)責(zé)。
即便第三方實(shí)際上需要承擔(dān)數(shù)據(jù)安全問(wèn)題的開(kāi)銷(xiāo),你依然負(fù)有監(jiān)管責(zé)任。
需要全面縱覽數(shù)據(jù)保管鏈
基本上缺乏第三方數(shù)據(jù)處理方式的具體信息,這意味著有很多沒(méi)得到解答的問(wèn)題:
他們都有哪些安全策略?
你的數(shù)據(jù)存儲(chǔ)在哪里?
他們經(jīng)常采用承包商嗎?這些人對(duì)你的數(shù)據(jù)都有哪些權(quán)限?
他們倚賴(lài)哪些其他第三方服務(wù)——還有其他公司可以訪問(wèn)你的數(shù)據(jù)嗎?
獲得這些信息存在兩方面的問(wèn)題:首先,第三方只可能透露合同要求的那點(diǎn)安全信息,但這或許會(huì)略去關(guān)鍵信息。其次,因?yàn)槎鄶?shù)公司使用很多第三方,跟蹤第三方的工作就變得相當(dāng)耗時(shí)且昂貴了。
實(shí)現(xiàn)第三方風(fēng)險(xiǎn)計(jì)劃
即便不是不可能,人工跟蹤第三方所用安全策略也是不現(xiàn)實(shí)的。所以我們需要一個(gè)能獲取各第三方公司最新風(fēng)險(xiǎn)評(píng)估的平臺(tái)。
通過(guò)外包和自動(dòng)化第三方風(fēng)險(xiǎn)評(píng)估,你的效率會(huì)得到大幅提升,開(kāi)銷(xiāo)和復(fù)雜性則相應(yīng)降低。這可使你輕松評(píng)估并減小風(fēng)險(xiǎn)暴露面,幫助確定哪些第三方可用,而哪些應(yīng)摒棄。
一個(gè)健壯的第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)管理計(jì)劃所剩下的時(shí)間與金錢(qián),能讓你將更多資源投入到自身安全中,進(jìn)一步降低風(fēng)險(xiǎn)。
京公網(wǎng)安備 11010502049343號(hào)