值得重申的是:網絡安全和第三方風險是企業長期生存面臨的兩個最大問題。企業需要能夠處理這些風險向量,以全面了解其風險狀況。跨職能流程對于管理這些風險領域之間的重疊至關重要,以更好地保護企業并提高工作流效率。
確保供應商的網絡安全實踐符合企業的標準,這對于保護其系統和數據至關重要。事實上,它與業務的穩定性或產品和服務的交付情況一樣重要。
常見的第三方網絡安全風險
企業需要能夠識別第三方風險的各個方面。以下是一些最常見的第三方網絡安全漏洞,以及如何與合作伙伴合作來緩解這些漏洞。
·數據泄露:勒索軟件、網絡釣魚和對供應商或其系統的直接攻擊威脅企業的數據隱私。此外,供應商的組織安全性差和控制執行不力會給企業帶來安全風險。
·服務中斷:惡意軟件和分布式拒絕服務攻擊可能會破壞供應商的系統或為企業的IT基礎設施提供的服務。因此,這可能會使其系統暴露在外,或者企業無法向客戶提供服務。
·合規風險:監管機構越來越多地讓企業及其供應商參與網絡安全合規。了解需要在外部遵守的法規,并確保供應商遵守與其相關的法規。
企業面臨持續的威脅,但減輕風險需要的不僅僅是單一的防御手段。缺乏集成的網絡安全和第三方風險管理(TPRM)系統可能會使企業無法準備好預測、緩解或從漏洞中恢復。
與第三方一起解決網絡安全問題
第三方風險管理(TPRM)和網絡安全的跨職能方法可以減少重復工作,并為企業、供應商和合作伙伴提供更深入的企業風險洞察。在支持第三方風險管理(TPRM)工作時,需要考慮以下一些行動:
(1)彌合第三方風險管理(TPRM)與網絡安全之間的差距
網絡安全和第三方風險管理(TPRM)的集成對于企業更好地理解和監控監管要求、控制以及內部政策和程序至關重要。企業應了解網絡安全優先事項的作用是確定供應商在第三方風險管理(TPRM)中遵守的監管標準和控制措施。整合這兩種方法的企業將這兩種功能從孤島中解放出來,以減少工作流處理、報告以及更重要的是風險決策方面的重疊。
企業必須了解第三方對其系統、數據和基礎設施的訪問權限。除此之外,努力確保采取充分和適當的措施和控制措施來保護這些系統和入口點。
(2)進行深入的盡職調查
一旦企業為網絡安全控制和指標建立了堅實的內部基礎,它就可以開始對新的和現有的供應商進行盡職調查。第三方風險管理(TPRM)團隊應盡可能收集最相關的信息,以了解供應商固有的和剩余的網絡安全風險,包括他們的事件歷史和未來狀態展望。
僅當潛在供應商的網絡安全實踐符合企業的政策時,才應選擇并加入他們,并且應根據他們對企業構成的風險級別對他們進行分層。
(3)持續進行監控
時間點評估不足以捕捉供應商不斷變化的風險態勢。通過執行持續監控以了解其網絡安全控制和狀態的變化,定期評估供應商群體的安全性至關重要。在初始盡職調查期間完成的網絡安全評級可以提供供應商安全性的評分,從而為企業的評估計劃提供信息。根據供應商在一年、兩年或三年時間框架內的總體風險評級確定評估范圍和頻率。
了解并實施集成網絡安全和第三方風險管理(TPRM)系統的企業可以全面了解其供應商的風險狀況,為可能的威脅和合規性違規行為做好全面的準備,并與值得信賴的安全供應商一起改善業務成果。
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營18個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號