當敏感數(shù)據(jù)從第三方供應商處被盜，或者當他們的系統(tǒng)被用來訪問和竊取存儲在您系統(tǒng)中的敏感信息時，就會發(fā)生第三方違規(guī)。在當今的數(shù)字環(huán)境中，將業(yè)務流程外包給專門從事每個特定功能的供應商已成為標準做法，無論是通過 SaaS 供應商、第三方服務提供商還是承包商。

這些第三方通常不在您的組織的控制之下，并且它們不太可能提供完全透明的信息安全控制。一些供應商可以擁有強大的安全標準和良好的風險管理實踐，而其他供應商則可能沒有。

2019 年eSentire 的一項 調(diào)查 發(fā)現(xiàn)，在所有接受調(diào)查的公司中，有 44% 的公司經(jīng)歷過由第三方供應商造成的重大數(shù)據(jù)泄露。IBM 的數(shù)據(jù)泄露成本報告發(fā)現(xiàn)，第三方參與是五個最大的成本放大器之一，使平均成本增加超過 370,000 美元，達到 429 萬美元。這就是為什么 第三方風險管理和供應商風險管理構成任何組織的企業(yè)風險管理戰(zhàn)略的重要組成部分。

1. 入職前評估您的供應商

在不衡量他們引入的網(wǎng)絡安全風險的情況下，讓可以訪問您的網(wǎng)絡和敏感數(shù)據(jù)的第三方供應商入職是有風險的。然而，太多的組織未能在供應商選擇過程中進行充分的盡職調(diào)查。

在不給供應商管理團隊帶來運營開銷的情況下評估潛在供應商的一種簡單方法是使用 安全評級。安全評級已被廣泛采用，因為它們補充并有時可以替代耗時的供應商風險評估技術，如問卷調(diào)查、現(xiàn)場訪問和 滲透測試。

安全評級讓您立即了解 潛在供應商的 外部安全狀況以及 他們可能容易受到哪些網(wǎng)絡威脅。這大大減輕了TPRM團隊在供應商選擇、盡職調(diào)查、入職和監(jiān)控期間的運營負擔 。此外，報告可以與供應商共享并用于補救問題。結果是更準確、實時地了解供應商將給您的供應鏈帶來的風險，而無需花費時間完成代價高昂的風險評估、滲透測試或 漏洞 掃描。

2. 將風險管理納入您的合同

將網(wǎng)絡風險納入您的 供應商風險管理 計劃和供應商合同中。雖然這不會阻止第三方數(shù)據(jù)泄露，但這意味著如果他們的安全狀況減弱，您的供應商將被追究責任。

我們的許多客戶將安全評級納入他們的合同。例如，有些規(guī)定處理個人信息或信用卡的供應商必須保持 900 以上的安全等級，否則有終止合同的風險。

我們還建議將 SLA 納入您的合同，以便您可以引導 供應商的網(wǎng)絡安全風險管理行為并降低您的網(wǎng)絡安全風險?？紤]添加要求您的供應商在特定時間范圍內(nèi)溝通甚至修復任何安全問題的語言，例如高風險問題需要 72 小時。此外，考慮增加每季度一次要求完成安全調(diào)查問卷的權利，因為它們可以突出顯示外部安全掃描遺漏的問題。

3.保留您在用供應商的庫存

在您能夠充分確定您的第三方供應商帶來的風險之前，您需要了解您所有的第三方都是誰，以及與他們每個人分擔了多少。如果沒有你的第三方關系清單，就不可能衡量供應商引入的風險水平。盡管如此， 只有 46% 的組織 對處理 敏感數(shù)據(jù)的供應商 進行 網(wǎng)絡安全風險評估。聽起來很簡單，但了解您的組織使用的所有供應商并不總是那么容易。特別是如果您在大型組織工作。

4.持續(xù)監(jiān)控供應商的安全風險

供應商的安全狀況可以而且將會在您的合同過程中發(fā)生變化。這就是為什么 隨著時間的推移持續(xù)監(jiān)控他們的安全控制對您來說至關重要的原因。問題是，大多數(shù)組織不會持續(xù)監(jiān)控他們的供應商。相反，他們依賴于時間點評估，例如審計或安全問卷，這些通常只是組織安全狀況的快照。

5.與您的供應商合作

雖然您永遠無法完全防止第三方未經(jīng)授權的訪問、 網(wǎng)絡攻擊和安全漏洞，但重要的是與供應商合作而不是好斗，以降低風險并快速修復安全問題。

例如，您可以使用我們的 投資組合風險概況 來確定供應商生態(tài)系統(tǒng)中最關鍵風險的優(yōu)先級，并通過我們的平臺請求補救措施，以確?？焖俳鉀Q風險并進行審計跟蹤。這有助于外展，并讓您和您的供應商了解需要修復的內(nèi)容以及為什么它會對最終用戶和個人數(shù)據(jù)構成風險。

6. 談談第三方風險

表現(xiàn)最好的組織（那些在去年能夠避免違規(guī)的組織和那些擁有成熟的風險管理計劃的組織）都參與了領導。根據(jù) Ponemon Insitute 的 第三方生態(tài)系統(tǒng)數(shù)據(jù)風險 報告，53% 的高績效組織中的受訪者表示他們有董事會和高管級別的參與，而在經(jīng)歷過第三方的組織中只有 25% 的受訪者表示數(shù)據(jù)泄露。

這種參與意味著最高績效者的領導層意識到保護機密信息的重要性，以及在全球范圍內(nèi)引入通用數(shù)據(jù)保護法規(guī)（例如GDPR、 LGPD、 CCPA、 FIPA、 PIPEDA和 SHIELD 法案。通常，他們也會了解運營安全性差和社交媒體上過度分享的風險，網(wǎng)絡犯罪分子經(jīng)常利用這些風險進行 魚叉式網(wǎng)絡釣魚 和 捕鯨攻擊。

7. 與不良供應商斷絕關系

如果小型企業(yè)或第三方供應商無法滿足您的標準，或者如果他們遭受 勒索軟件攻擊 或 數(shù)據(jù)泄露，您是否愿意切斷聯(lián)系？如果您愿意，您是否有適當?shù)牧鞒虂沓晒γ撾x供應商而不會導致業(yè)務連續(xù)性問題？很多公司擅長招募供應商，但很難正確地讓他們離開。最安全的組織關心細節(jié)，并了解適當?shù)南戮€是 第三方風險管理的重要組成部分。

8.衡量第四方風險

了解您的第三方風險很重要 ，了解您的第三方依賴誰也很重要。這些組織被稱為您的第四方供應商，他們引入了第四方風險。正如組織正在迅速采用多因素身份驗證一樣，我們看到我們最好的客戶通過合同要求供應商在與第四方或第五方共享數(shù)據(jù)時通知他們。這使他們能夠跟蹤敏感信息共享并更好地了解誰有權訪問。

9.遵循最小特權原則（POLP）

許多第三方數(shù)據(jù)泄露事件的發(fā)生是因為第三方獲得的訪問權限超過了他們完成工作所需的訪問權限。考慮投資一個強大的 基于角色的訪問控制 系統(tǒng)，該系統(tǒng)遵循最小特權原則 (POLP)，這種做法將用戶、帳戶和計算進程的訪問權限限制為僅那些需要完成手頭工作的人。