第三方要么是安全團隊的最佳小伙伴，要么是最令人頭痛的敵方小伙伴

第三方小伙伴數目龐大類型眾多，要鑒別出他們是否擁有合適的基礎設施或安全協議很是令人頭痛。而且，對第三方做強大的盡職調查有可能耗費大量時間和金錢。

由于太多的公司企業依賴各種不同的供應商，第三方很有可能成為進入網絡的門戶。為減少由第三方帶來的安全風險，企業需要設計出審查過程，理解服務水平協議(SLA)用語，對他們的合同進行最佳評估。

沒有哪家云服務提供商為安全擬定SLA的。正常運行時間，可見性這些倒是都有SLA，唯獨安全沒有。大多數提供商稱自己為數據泄露設了某個響應時限，或者一旦發現此類漏洞會在一定時間內通知客戶。

但問題在于，安全是不可見的，只有出事了才會切實感受到。如果企業清楚一旦事情不對他們將會失去什么，他們就可以在問題形成前讓安全更可感知。

他們得對自身最有價值數據資產進行妥善處理。

如果這些信息被泄露、被盜、被勒索，將會有什么后果？用戶到底能訪問哪些資源？他們可以拷貝或刪除的是哪些東西？——弄清這些問題可以讓企業清晰理解那些信息在公司內外的流向。應不應該信任第三方，是要拿出路線圖來證明的。

很多公司企業都想要向云端遷移，但對供應商將帶給他們的東西，以及需要包含何種安全，卻沒有一個完整的認知。他們需要了解自己在向誰敞開訪問大門，需要意識到管控這種訪問的規則和制度。

帶來更大風險和提供更高保障的第三方之間有一條分界線，那就是第三方實現的防護措施和策略。

有些防護措施可被稱為是最低水平的。遵循風險管理框架提供了某種程度上的保障，比如達到了某種標準，有正確的策略，對人員進行培訓等。他們有保護自身數據的意識的能力，也在此類控制上有某些認證或驗證。

真正引領風向的企業，是那些處于嚴格監管環境中的企業，但其他產業并沒有那種要求對第三方強力監管的環境。因此，這些其他產業的企業便想要強調怎樣信任他們的第三方提供商。

而廠商，則想要突出自己作為值得信賴的行業領導者的地位。但是，如果安全一開始便沒有嵌入進來，廠商真的注重設計可信系統嗎？

思科全球價值鏈首席安全官認為，從端到端的角度設計架構需要考慮很多方面。“我的價值鏈中有什么？”是一個能驅動設計與開發、計劃、采購模式、品質、交付、可持續性和產品末期的問題。

服務提供商需要以分層的模式思考，因為安全是一個過程，也是一種承諾。大多數產品都是多家云提供商組成的生態系統，采用幾家到十幾家其他公司來將功能整合推出。

轉向第三方廠商并不能改變企業可能會被非法取得網絡控制權的外部人士操縱的風險。認識到來自工業和民族國家的惡意行為人所帶來的風險能造成物理或數字崩壞乃至更深遠的破壞，服務提供商們有責任充分優化并部署商業模式。

一個清晰的架構要覆蓋所有同類領域，包括安全域、監管安全、操作和資產管理安全、事件管理安全、服務管理安全、物流和存儲安全、物理環境安全，以及人事安全。

即使對已經以層次化和基于價值的方式思考的提供商而言，人事安全依然是較為薄弱的一環。很多雇員都是渾然不覺之中踏進了數據泄露地獄的，人為錯誤是絕大多數安全事件的根本原因。

而涉及到某些服務的時候，公司數據有太多不同的方面由于根本不清楚有那么些數據的存在而沒有被公司追蹤。任何服務都有可能外包出去，那正是風險的來源之一。

大部分時候，令人震驚的數據泄露都是由于疏于大意引起的。比如說，某家很多人都認為很安全的大銀行，引入第三方安全新ATM網絡的時候就出了簍子。中標供應商的一位承包商在不知情的情況下備份了他的整臺筆記本電腦，導致他手里掌握的有關那家銀行的所有保密信息都泄露了出去。

服務供應商數量可達20000家的大型企業便遭遇到了信息跟蹤的挑戰。這不僅僅是供應鏈的問題。越來越多的服務以云的形式提供，越來越多的信息在企業邊界之外，企業正在喪失自身信息存儲的控制。

對理解了這一點的人而言，擁抱所有這些新技術并繼續勇敢外包是正確的做法，只是查驗廠商資質，評估他們的安全情況，檢查外流數據。這是云環境下安全項目中新增的一環。

設計第三方廠商審核過程

大多數大型提供商不會在自己合同中擬訂數據泄露責任條款，但企業在做盡職審查挑選外部提供商時有必要問幾個相當重要的問題。

“你們還用到了其他哪些人？我的數據還會流向哪里？其他服務能達到我希望的安全標準嗎？”不過，企業應該時刻關注的仍然是他們把哪些東西放到了云里。合同會轉移風險，但未必提供安全。

在第三方問題上沒有什么萬全之策，但企業有能力定義風險值，并作出相應的盡職調查。

企業應該找尋的，是廠商安全實踐的成熟度，但將自己的安全期許與廠商充分溝通也是企業的責任。合同里應有安全條款以備有據可循，畢竟恰當的控制沒有良好溝通，安全期望水平未告知提供商的案例屢見不鮮。