我們應該認識到第三方是數據泄露的主要途徑之一。德勤在2017年的一份研究報告指出有20.6%的受訪者經歷了因第三方導致客戶敏感數據的泄露。Ponemon Institute在去年5月的調查報告顯示75%的IT和安全人員認為，從第三方泄露的風險正在持續增長，并且是非常嚴重的。

另一方面，Soha System的第三方咨詢團隊完成了一次調研，針對219個負責企業IT和安全管理人員、董事、高管做了一次調查，受訪者代表22個行業類別，35%的組織中有超過10,000名雇員，全部是匿名回復的。調查發現，盡管企業數字化生態中的合作伙伴越來越多，網絡安全威脅也越來越高，但只有不到2%的調查對象表示高度關注第三方接入與合作帶來的安全問題。

　　下面我們來具體看一看，有哪些第三方風險的問題常被企業誤讀。

1. 對第三方風險的管理不是IT優先考慮的事情

數據泄露事件已經并不陌生，甚至我們感到又些麻木。個人和財務數據泄露近年來更是令人難以置信。有數據顯示63%的數據泄露直接或間接地與第三方聯系在一起。很多分銷商、服務商或者供應商必須訪問企業的應用數據來完成業務工作，它們成為了企業的風險短板。

雖然是一個重要的風險，調查顯示，從基礎設施到移動應用，再到對企業自身的安全保障，幾乎每一類支出都獲得了單獨的預算。但只有2%的受訪者認為第三方訪問的安全性是他們比較關注的。

企業的合作伙伴會越來越多。調查報告中87%的IT人員說，自2013以來，他們組織的服務商使用量增加了49%，40%的人預計在未來3年內服務商數量會增加更多。

結論：雖然第三方帶來了重大的風險，但企業能夠在該方面投入的資源非常不足。

2. 第三方引起泄露事件同樣嚴重，但業務部門比內部IT更關心

調查顯示，很多高管仍然認為泄露事件會發生在競爭對手的組織，不是他們自己。有62%的受訪者認為自己組織不會因為第三方訪問而導致嚴重的數據泄露事件，但79%的人預計他們的競爭對手將來會出現嚴重的數據泄露。雖然受訪者不認為他們的組織很容易受到第三方的攻擊，但56%的人對自己安全管控能力和第三方的安全性非常擔憂。

結論：組織和越來越多的第三方/合作伙伴之間共享業務數據，但IT和安全負責人只對企業自身的系統負責，沒有人幫助業務部門了解第三方帶來的風險。

3. 第三方數據泄露不等同于IT的工作失誤

雖然一些數據泄露事件導致了一些企業CEO、CIO等高管的離職，但對于大多數來說，IT專家并不擔心因發生泄露而失去工作。有趣的是，53%的受訪者認為如果他們在工作中出現了數據泄露，他們會覺得自己有一定責任，因為他們認為這會反映出他們的工作不到位；但只有8%的人認為如果在他們的職責范圍內發生數據泄露，他們可能會失去工作。這需要認真對待他們的工作，但目前還不清楚誰對數據泄露負主要責任，以及這種模糊性可能影響到態度和行為。

結論：大多數人不認為相信如果發生泄露，他們將承擔個人后果。

很多正在進行數字化轉型的企業意識到了個人隱私等敏感信息的重要性，并在對自身IT進行風險控制的同時開展第三方風險管理(TPRM)。

超過60%的數據泄露事件直接或間接與一個第三方有關，當提到風險管理的時候，安全和風險管理部門通常只關注合規性。合規是很重要的，但不能夠解決第三方帶來風險的核心問題。

企業進入數字化轉型階段，你需要在風險管理方面進行以下調整。

1. 實現自動化的風險管理過程，降低第三方帶來的非受控的風險

隨著為企業提供SaaS服務的公司增加，企業越來越依賴基于云的第三方服務。Gartner預測，在所有的公有云服務中SaaS應用將增長20%，到2019年將帶來一個2040億美元市場。

隨著業務驅動的IT和基礎設施的數字化轉型，這種管理供應商的需求更加明顯。在Ponemon Institute的第三方風險管理調查中，超過60%的受訪者認為物聯網增加了第三方的風險，68%的受訪者認為云遷移也是原因之一。

然而，隨著越來越多的第三方成為企業的供應商或者合作伙伴，由于缺乏資源和能力他們往往沒有管理風險。如果這些第三方訪問您網絡內的個人身份信息（PII）或客戶的敏感數據，難道他們不應該受到嚴格的風險評估和管理么？

但是，當第三方的數量越來越多，Gartner預測2018年業績較好的組織在數字生態中的合作伙伴將達到平均143個。對每一個供應商/合作伙伴進行逐個評估往往是不可行的，這就需要有一個自動化的供應商評估的過程是一個可行的方法。它可以：

提高第三方管理的靈活性；

規范第三方管理流程；

統一的風險度量和報告；

數據驅動的流程決策機制；

進一步構建組織的第三方風險管理程序；

增加第三方責任感，提高意識；

提升綜合的風險評估方法和減輕風險。

通過自動化方式實現一個標準化的過程，可以適用于所有的第三方，無論是現有的還是即將合作的。利用一些新技術和工具，對第三方供應商的信息采集和自動評估，建立自動化的第三方風險管理流程。你可以有效的優化資源和分配你和你的員工投入的時間。

2. 通過獨立的風險評估加強和驗證問卷自查報告

第三方風險評估經常通過問卷調查、現場評估或滲透測試的方法，每一種方法都有各自的優缺點。現場評估和滲透測試往往是需要投入大量資源，需要時間、金錢和專業人員，以便根據需求進行評估。這類評估不能適用于對所有第三方，而應針對風險較高的第三方。

問卷成為了對其它第三方的評估方法。然而，問卷是自評估的結果，這存在了“可信”和“可證實”的問題。在2016德勤關于第三方風險管理的研究中，93.5%的受訪者表示對監測機制的信任程度并不高。沒有一種方法來驗證你的第三方的安全狀況，你只能依靠第三方自己說的話，顯而易見問卷中得到的往往都是正面的結果。

組織應找到獨立的方法，能夠為其第三方提供基于客觀、可證實的風險評估，以驗證調查問卷的調查結果，準確地反映第三方的狀況。您應該研究解決方案是否準確地評估了第三方，并可以促進你和第三方之間就真實問題的交流，同時也將重點放在可能泄露信息的關鍵安全領域。

3. 利用持續監測優化定期的第三方評估

上一節提到的評估方法都有一個明顯的缺陷，必須在一個特定的時間點評估第三方。很多時候，評估所收集的信息在你收到的時候已經過時了。當前的網絡技術環境下，黑客的攻擊和漏洞利用方法正以非?？斓乃俣炔粩喔?，這些定期的評估或者年度審查已經無法滿足。

普華永道關于金融業的第三方風險管理報告指出，58%的受訪者經歷了第三方服務中斷或數據泄露，而只有37%的受訪者定期監測第三方。沒有辦法在需要的時候知道你的第三方安全的狀況，在一年中的大部分時間，都處于高度威脅的環境中而無法察覺。

在第三方風險管理中實現連續的監測過程，是增加對關鍵第三方的安全態勢的可見能力和反應時間一種方法。通過持續監測第三方的安全性，增強第三方的風險控制能力，從而將總體風險降低，避免出現潛在的安全事件。

國外自2011年開始已經有專門對第三方風險管理領域的產品。國內發展較慢一些，目前較好的實踐有“安全值”。

這些基于數據驅動的第三方風險管理技術和工具已經逐步成熟，通過對外部大數據的采集，分析第三方供應商或者合作伙伴的安全事件和漏洞，并對其進行持續的監測、風險評估和安全評價，幫助企業在第三方風險方面實現基于等級測量的風險決策、將有效的資源投入在高風險的地方，并且與供應商/合作伙伴之間對風險進行基于事實依據的溝通。

相關閱讀

安全領域新概念：安全評級服務的興起

數字化供應鏈帶來的機遇與挑戰——“第三方數字合作伙伴”新角色

作者：趙毅