我們應(yīng)該認(rèn)識(shí)到第三方是數(shù)據(jù)泄露的主要途徑之一。德勤在2017年的一份研究報(bào)告指出有20.6%的受訪者經(jīng)歷了因第三方導(dǎo)致客戶敏感數(shù)據(jù)的泄露。Ponemon Institute在去年5月的調(diào)查報(bào)告顯示75%的IT和安全人員認(rèn)為，從第三方泄露的風(fēng)險(xiǎn)正在持續(xù)增長(zhǎng)，并且是非常嚴(yán)重的。

另一方面，Soha System的第三方咨詢團(tuán)隊(duì)完成了一次調(diào)研，針對(duì)219個(gè)負(fù)責(zé)企業(yè)IT和安全管理人員、董事、高管做了一次調(diào)查，受訪者代表22個(gè)行業(yè)類別，35%的組織中有超過10,000名雇員，全部是匿名回復(fù)的。調(diào)查發(fā)現(xiàn)，盡管企業(yè)數(shù)字化生態(tài)中的合作伙伴越來越多，網(wǎng)絡(luò)安全威脅也越來越高，但只有不到2%的調(diào)查對(duì)象表示高度關(guān)注第三方接入與合作帶來的安全問題。

[[208224]]

下面我們來具體看一看，有哪些第三方風(fēng)險(xiǎn)的問題常被企業(yè)誤讀。

1. 對(duì)第三方風(fēng)險(xiǎn)的管理不是IT優(yōu)先考慮的事情

數(shù)據(jù)泄露事件已經(jīng)并不陌生，甚至我們感到又些麻木。個(gè)人和財(cái)務(wù)數(shù)據(jù)泄露近年來更是令人難以置信。有數(shù)據(jù)顯示63%的數(shù)據(jù)泄露直接或間接地與第三方聯(lián)系在一起。很多分銷商、服務(wù)商或者供應(yīng)商必須訪問企業(yè)的應(yīng)用數(shù)據(jù)來完成業(yè)務(wù)工作，它們成為了企業(yè)的風(fēng)險(xiǎn)短板。

雖然是一個(gè)重要的風(fēng)險(xiǎn)，調(diào)查顯示，從基礎(chǔ)設(shè)施到移動(dòng)應(yīng)用，再到對(duì)企業(yè)自身的安全保障，幾乎每一類支出都獲得了單獨(dú)的預(yù)算。但只有2%的受訪者認(rèn)為第三方訪問的安全性是他們比較關(guān)注的。

企業(yè)的合作伙伴會(huì)越來越多。調(diào)查報(bào)告中87%的IT人員說，自2013以來，他們組織的服務(wù)商使用量增加了49%，40%的人預(yù)計(jì)在未來3年內(nèi)服務(wù)商數(shù)量會(huì)增加更多。

結(jié)論：雖然第三方帶來了重大的風(fēng)險(xiǎn)，但企業(yè)能夠在該方面投入的資源非常不足。

2. 第三方引起泄露事件同樣嚴(yán)重，但業(yè)務(wù)部門比內(nèi)部IT更關(guān)心

調(diào)查顯示，很多高管仍然認(rèn)為泄露事件會(huì)發(fā)生在競(jìng)爭(zhēng)對(duì)手的組織，不是他們自己。有62%的受訪者認(rèn)為自己組織不會(huì)因?yàn)榈谌皆L問而導(dǎo)致嚴(yán)重的數(shù)據(jù)泄露事件，但79%的人預(yù)計(jì)他們的競(jìng)爭(zhēng)對(duì)手將來會(huì)出現(xiàn)嚴(yán)重的數(shù)據(jù)泄露。雖然受訪者不認(rèn)為他們的組織很容易受到第三方的攻擊，但56%的人對(duì)自己安全管控能力和第三方的安全性非常擔(dān)憂。

結(jié)論：組織和越來越多的第三方/合作伙伴之間共享業(yè)務(wù)數(shù)據(jù)，但I(xiàn)T和安全負(fù)責(zé)人只對(duì)企業(yè)自身的系統(tǒng)負(fù)責(zé)，沒有人幫助業(yè)務(wù)部門了解第三方帶來的風(fēng)險(xiǎn)。

3. 第三方數(shù)據(jù)泄露不等同于IT的工作失誤

雖然一些數(shù)據(jù)泄露事件導(dǎo)致了一些企業(yè)CEO、CIO等高管的離職，但對(duì)于大多數(shù)來說，IT專家并不擔(dān)心因發(fā)生泄露而失去工作。有趣的是，53%的受訪者認(rèn)為如果他們?cè)诠ぷ髦谐霈F(xiàn)了數(shù)據(jù)泄露，他們會(huì)覺得自己有一定責(zé)任，因?yàn)樗麄冋J(rèn)為這會(huì)反映出他們的工作不到位;但只有8%的人認(rèn)為如果在他們的職責(zé)范圍內(nèi)發(fā)生數(shù)據(jù)泄露，他們可能會(huì)失去工作。這需要認(rèn)真對(duì)待他們的工作，但目前還不清楚誰(shuí)對(duì)數(shù)據(jù)泄露負(fù)主要責(zé)任，以及這種模糊性可能影響到態(tài)度和行為。

結(jié)論：大多數(shù)人不認(rèn)為相信如果發(fā)生泄露，他們將承擔(dān)個(gè)人后果。

很多正在進(jìn)行數(shù)字化轉(zhuǎn)型的企業(yè)意識(shí)到了個(gè)人隱私等敏感信息的重要性，并在對(duì)自身IT進(jìn)行風(fēng)險(xiǎn)控制的同時(shí)開展第三方風(fēng)險(xiǎn)管理(TPRM)。

超過60%的數(shù)據(jù)泄露事件直接或間接與一個(gè)第三方有關(guān)，當(dāng)提到風(fēng)險(xiǎn)管理的時(shí)候，安全和風(fēng)險(xiǎn)管理部門通常只關(guān)注合規(guī)性。合規(guī)是很重要的，但不能夠解決第三方帶來風(fēng)險(xiǎn)的核心問題。

企業(yè)進(jìn)入數(shù)字化轉(zhuǎn)型階段，你需要在風(fēng)險(xiǎn)管理方面進(jìn)行以下調(diào)整。

1. 實(shí)現(xiàn)自動(dòng)化的風(fēng)險(xiǎn)管理過程，降低第三方帶來的非受控的風(fēng)險(xiǎn)

隨著為企業(yè)提供SaaS服務(wù)的公司增加，企業(yè)越來越依賴基于云的第三方服務(wù)。Gartner預(yù)測(cè)，在所有的公有云服務(wù)中SaaS應(yīng)用將增長(zhǎng)20%，到2019年將帶來一個(gè)2040億美元市場(chǎng)。

隨著業(yè)務(wù)驅(qū)動(dòng)的IT和基礎(chǔ)設(shè)施的數(shù)字化轉(zhuǎn)型，這種管理供應(yīng)商的需求更加明顯。在Ponemon Institute的第三方風(fēng)險(xiǎn)管理調(diào)查中，超過60%的受訪者認(rèn)為物聯(lián)網(wǎng)增加了第三方的風(fēng)險(xiǎn)，68%的受訪者認(rèn)為云遷移也是原因之一。

然而，隨著越來越多的第三方成為企業(yè)的供應(yīng)商或者合作伙伴，由于缺乏資源和能力他們往往沒有管理風(fēng)險(xiǎn)。如果這些第三方訪問您網(wǎng)絡(luò)內(nèi)的個(gè)人身份信息(PII)或客戶的敏感數(shù)據(jù)，難道他們不應(yīng)該受到嚴(yán)格的風(fēng)險(xiǎn)評(píng)估和管理么?

但是，當(dāng)?shù)谌降臄?shù)量越來越多，Gartner預(yù)測(cè)2018年業(yè)績(jī)較好的組織在數(shù)字生態(tài)中的合作伙伴將達(dá)到平均143個(gè)。對(duì)每一個(gè)供應(yīng)商/合作伙伴進(jìn)行逐個(gè)評(píng)估往往是不可行的，這就需要有一個(gè)自動(dòng)化的供應(yīng)商評(píng)估的過程是一個(gè)可行的方法。它可以：

• 提高第三方管理的靈活性;
• 規(guī)范第三方管理流程;
• 統(tǒng)一的風(fēng)險(xiǎn)度量和報(bào)告;
• 數(shù)據(jù)驅(qū)動(dòng)的流程決策機(jī)制;
• 進(jìn)一步構(gòu)建組織的第三方風(fēng)險(xiǎn)管理程序;
• 增加第三方責(zé)任感，提高意識(shí);
• 提升綜合的風(fēng)險(xiǎn)評(píng)估方法和減輕風(fēng)險(xiǎn)。

通過自動(dòng)化方式實(shí)現(xiàn)一個(gè)標(biāo)準(zhǔn)化的過程，可以適用于所有的第三方，無論是現(xiàn)有的還是即將合作的。利用一些新技術(shù)和工具，對(duì)第三方供應(yīng)商的信息采集和自動(dòng)評(píng)估，建立自動(dòng)化的第三方風(fēng)險(xiǎn)管理流程。你可以有效的優(yōu)化資源和分配你和你的員工投入的時(shí)間。

2. 通過獨(dú)立的風(fēng)險(xiǎn)評(píng)估加強(qiáng)和驗(yàn)證問卷自查報(bào)告

第三方風(fēng)險(xiǎn)評(píng)估經(jīng)常通過問卷調(diào)查、現(xiàn)場(chǎng)評(píng)估或滲透測(cè)試的方法，每一種方法都有各自的優(yōu)缺點(diǎn)。現(xiàn)場(chǎng)評(píng)估和滲透測(cè)試往往是需要投入大量資源，需要時(shí)間、金錢和專業(yè)人員，以便根據(jù)需求進(jìn)行評(píng)估。這類評(píng)估不能適用于對(duì)所有第三方，而應(yīng)針對(duì)風(fēng)險(xiǎn)較高的第三方。

問卷成為了對(duì)其它第三方的評(píng)估方法。然而，問卷是自評(píng)估的結(jié)果，這存在了“可信”和“可證實(shí)”的問題。在2016德勤關(guān)于第三方風(fēng)險(xiǎn)管理的研究中，93.5%的受訪者表示對(duì)監(jiān)測(cè)機(jī)制的信任程度并不高。沒有一種方法來驗(yàn)證你的第三方的安全狀況，你只能依靠第三方自己說的話，顯而易見問卷中得到的往往都是正面的結(jié)果。

組織應(yīng)找到獨(dú)立的方法，能夠?yàn)槠涞谌教峁┗诳陀^、可證實(shí)的風(fēng)險(xiǎn)評(píng)估，以驗(yàn)證調(diào)查問卷的調(diào)查結(jié)果，準(zhǔn)確地反映第三方的狀況。您應(yīng)該研究解決方案是否準(zhǔn)確地評(píng)估了第三方，并可以促進(jìn)你和第三方之間就真實(shí)問題的交流，同時(shí)也將重點(diǎn)放在可能泄露信息的關(guān)鍵安全領(lǐng)域。

3. 利用持續(xù)監(jiān)測(cè)優(yōu)化定期的第三方評(píng)估

上一節(jié)提到的評(píng)估方法都有一個(gè)明顯的缺陷，必須在一個(gè)特定的時(shí)間點(diǎn)評(píng)估第三方。很多時(shí)候，評(píng)估所收集的信息在你收到的時(shí)候已經(jīng)過時(shí)了。當(dāng)前的網(wǎng)絡(luò)技術(shù)環(huán)境下，黑客的攻擊和漏洞利用方法正以非?？斓乃俣炔粩喔?，這些定期的評(píng)估或者年度審查已經(jīng)無法滿足。

普華永道關(guān)于金融業(yè)的第三方風(fēng)險(xiǎn)管理報(bào)告指出，58%的受訪者經(jīng)歷了第三方服務(wù)中斷或數(shù)據(jù)泄露，而只有37%的受訪者定期監(jiān)測(cè)第三方。沒有辦法在需要的時(shí)候知道你的第三方安全的狀況，在一年中的大部分時(shí)間，都處于高度威脅的環(huán)境中而無法察覺。

在第三方風(fēng)險(xiǎn)管理中實(shí)現(xiàn)連續(xù)的監(jiān)測(cè)過程，是增加對(duì)關(guān)鍵第三方的安全態(tài)勢(shì)的可見能力和反應(yīng)時(shí)間一種方法。通過持續(xù)監(jiān)測(cè)第三方的安全性，增強(qiáng)第三方的風(fēng)險(xiǎn)控制能力，從而將總體風(fēng)險(xiǎn)降低，避免出現(xiàn)潛在的安全事件。

國(guó)外自2011年開始已經(jīng)有專門對(duì)第三方風(fēng)險(xiǎn)管理領(lǐng)域的產(chǎn)品。國(guó)內(nèi)發(fā)展較慢一些。

這些基于數(shù)據(jù)驅(qū)動(dòng)的第三方風(fēng)險(xiǎn)管理技術(shù)和工具已經(jīng)逐步成熟，通過對(duì)外部大數(shù)據(jù)的采集，分析第三方供應(yīng)商或者合作伙伴的安全事件和漏洞，并對(duì)其進(jìn)行持續(xù)的監(jiān)測(cè)、風(fēng)險(xiǎn)評(píng)估和安全評(píng)價(jià)，幫助企業(yè)在第三方風(fēng)險(xiǎn)方面實(shí)現(xiàn)基于等級(jí)測(cè)量的風(fēng)險(xiǎn)決策、將有效的資源投入在高風(fēng)險(xiǎn)的地方，并且與供應(yīng)商/合作伙伴之間對(duì)風(fēng)險(xiǎn)進(jìn)行基于事實(shí)依據(jù)的溝通。