三大趋势决定必须改善第三方网络风险管理

本文讲的是 三大趋势决定必须改善第三方网络风险管理,为了在危险重重的全球市场中生存壮大,企业越来越依赖可以提高市场投放效率的外包服务、云服务。

但是这种高效也带来了网络风险。由于企业对自身防御的重视,网络罪犯已经意识到从第三方入手是最有效的攻击捷径。

一旦黑客们得偿所愿,企业的数据、知识产权和商业秘密都将处于风险之中。怎样才能既享受外包服务的高效便捷,同时又保护好企业的数据和商业秘密呢?

目前市面上的绝大多数的第三方网络风险管理服务都缺乏规模、速度和效率。这些项目往往基于共享电子表格问卷或人工进程这类陈旧的方式。

但据普华永道发布的2016年全球信息安全报告,第三方承包商是最主要的企业外部安全事故诱因。

为什么企业仍然采用GRC工具、外部顾问、电子表格、内部资源拼凑起来的工作进程呢?

CyberGRX相信安全和风险专业人士需要适当的工具来对抗第三方网络威胁。GRC工具、外部顾问、电子表格、内部资源拼凑起来的工作进程在老练的对手面前不堪一击。

在2017年1月的一份报告中,SurfWatch实验室发现“与第三方服务有关的网络犯罪的比例在过去一年中几乎翻了一番,况且这一数据仅包括已公开的安全事件。”

这里有促使企业改善第三方网络风险管理(TPCRM)方案的趋势:

  1. 外包服务的爆炸性增长和第三方服务的消费渐增

系统依赖第三方服务来改进系统运作方式。这样做合情合理。Deloitte的2016年全球外包服务调查发现,企业服务外包可以降低成本和推动创新。并且所有指标都显示,外包已成定局。资产500强的企业们共有超过20000个不同的第三方供应商。2017年,企业们预计将有更多的第三方供应商,而这一趋势在可预见的未来都不会变。

相反,安全专家们还没有跟上这种爆炸性增长的步伐。根据普华永道的报告,74%的受访者没有对接触敏感数据的第三方建立一个完备的表单。这某种程度上与企业对于“内部人员”的定义有关。

内部人员应囊括所有通过物理或远程方式访问企业资产的人。过去企业可以仅仅把员工视为“内部人员”。但是由于第三方服务商触及黑客们垂涎已久的敏感数据,它们也已经成为了“内部人员”。举几个第三方作为内部人员的例子:

授权生产的制造业合作伙伴;
委托管理员工数据的人力资源服务商;
委托处理公司财务的银行;
委托处理客户数据的通讯中心;
委托处理法律事务的律师事务所。
企业需要扩大“内部人员”的范畴,并采取适当的措施来保证网络安全。

  1. 伸向第三方的黑手

去年,针对第三方的网络攻击达到了一个高潮。全球企业共因黑客而受到了超过4000亿美元的损失。统计数据显示,50%的攻击事件和第三方有关:

在德勤最近的一项涉及170个企业的调查里,87%的受访者表示,过去两到三年里他们曾经面对过灾难性的第三方问题。

Ponemon Institute在2016年6月发布的一项报告显示,55%的中小企业在12个月内经受过网络攻击,其中41%表示第三方的错误导致了攻击。

普华永道的报告显示,超过50%的泄露事件由第三方引起。

TechNewsWorld的报告则指出,80%的数据泄露源于供应链。

此外,2013年全球网络安全报告中的450起数据泄露的63%与第三方的系统管理组件有关。

根据Ponemon和威瑞森的研究,预计有至少50%的企业泄露事件将由第三方引起。

  1. 全方位、跨行业的制度压力

各行业都有一系列安全法规,要求检查企业是否遵守网络安全法律。常见的法规包括:PCI、NERC FISMA、HIPAA、SOX、GLBA。最近外包服务和网络犯罪的趋势迫使行业法规向企业施压,来更好地管理第三方网络风险。

例如在2013年,美国货币监理署办公室(OCC)发布了《第三方关系:风险管理指导》。在这个公告里,OCC明确指出,银行必须对新的第三方合作者由有清晰完整的认识。货币监理署写道:

“银行董事会和高级管理层有责任确保通过一个安全的、彻底的方式开展业务,并符合相应法律,银行对第三方的使用也应尽到这种责任。”

这类的指导方针已经覆盖到所有行业。然而,大多数企业都无法实现法规要求的复杂性。企业必须确保他们的第三方遵守模糊的标准、实现不同的审计框架,并采取各种“最佳操作方式”。与此同时,还必须尽可能少得消耗内部资源。大多数企业觉得这样管理第三方网络风险过于浪费和复杂,法规迫切需要简化和改进。

结论

为了修复当前大量企业采用的不完备的业务过程,企业需要关注四个方面:

从每个第三方合作商了解你的内在风险;
对投资组合进行分析,以了解最能影响企业的风险的成因;
与第三方合作,来化解最能影响企业的风险;
实时关注你的第三方伙伴的业务和网络状态的变化,包括可能会暴露你的资产和信息的扩张、资产剥离、漏洞和新攻击。
就第三方而言:评估业务,并及时与多方分享。利用风险交换来建立规模化的反应能力,并推动业务的规模化,实现运营的低成本。

数字生态系统将持续演进,恶人们也将会继续关注第三方这一“捕食”捷径。企业需要确保采用了全面的、基于风险的管理方法,而不仅仅是符合规定。

时间: 2024-10-23 14:06:06

三大趋势决定必须改善第三方网络风险管理的相关文章

第三方网络风险管理平台公司CyberGRX 获得900万美元A轮融资

  CyberGRX 是目前市场上第三方网络风险管理平台提供商之一,本周四(7月14日),该公司宣布获得了一笔 900 万美元的 A 轮融资,领投方是知名风投 Allegis Capital.此外,参与本轮融资的还包括 Blackstone.TenEleven Ventures.Rally Ventures.GV (前身是谷歌风投).MassMutual Ventures.以及一批战略投资人.据悉,该公司计划利用这笔投资扩大旗下 CyberGRX 平台的市场推广工作,该平台之前并未对外开放,仅允

《网络黑产年度报告》揭露网络欺诈三大趋势

人民网北京1月20日电 (记者 陈键)腾讯公司首次向外发布<雷霆行动网络黑色产业链年度报告>总结了当前网络黑产的主要犯罪手法和趋势,同时联合公安部网络安全保卫局公布2014年度腾讯雷霆行动联合警方打击网络黑产的10大案例,并向网民做出"四不"安全提醒. 腾讯雷霆行动是专项打击网络诈骗.色情.恶意信息的专项行动.自2014年上线110.qq.com反诈骗举报平台以来,共收到举报信息250万条,并通过这些举报信息为警方提供线索,同时联手全国各地警方打击黑产团伙200余个,累计向

中国母婴市场三大趋势网络将成母婴产品重要渠道

近日,北京数字100市场研究公司推出的"2009年一季度母婴产品市场监测报告"显示:进入2009年后,随着市场环境的变化,国内的母婴产品市场状况也出现了波动,不同产品呈现出了不同地域.不同环境和不同发展趋势的变化. 一.城市规模越大,母婴产品品类的渗透率越高 从不同的城市级别来看,城市规模越大,母婴产品品类的渗透率也就越高,这是调查中显示的结果.其中,纸尿裤和婴幼儿洗护用品的渗透率在不同级别城市中差别较大:玩具.书籍文具等在不同级别城市中渗透率差别较小. 另从不同区域来看,华东的各种母

大数据分析技术深度发展 智能交通呈现三大趋势

随着移动互联网.人工智能.大数据.云计算等新一代技术在汽车和交通领域的逐步应用,交通体系与出行方式变革已经开始.当前,新一轮科技革命蓄势待发,一大批以"绿色.智能.泛在"为特征的巨大技术变革正在孕育.物联网.大数据.云计算,移动互联网等新一代信息技术的快速发展,为道路智能交通提供了强大的技术支持. 大数据分析技术的深度应用,将驱动道路交通运输实现精准管理和信息服务,北斗定位导航.移动互联网,高精度地理信息等系统,将成为推动建设新一代道路智能交通系统的基础,交通运输行业新模式.新业态.新

浅谈智慧环卫发展三大趋势 助力智慧城市

本文从实施国家互联网+战略.智慧城市建设和环卫产业发展三个方面,探讨了智慧环卫发展的必要性,分析了所面临的信息孤岛.数据权属.全过程生命周期管控三大问题及其对策.并提出了我国智慧环卫发展的三大趋势:一利用物联网进行环卫产业智慧化升级增效;二智慧环卫管控平台化.数据资源化;三废弃资源的充分利用与循环利用. (一)实施国家互联网+战略的需要 "互联网+"战略由国家总理在两会上提出,并多次强调.会后不到半年时间,互联网+行动计划出台,并在全国形成了大众创业万众创新的氛围.各级政府组建了以互联

破坏性网络攻击的三大趋势

本文讲的是 破坏性网络攻击的三大趋势,不断增长国家支持极少用到超出基本工具之外的技术然而,对私营产业而言,更令人忧虑的,是缺乏对运动战术语中所谓"连带伤害"的关注度缺失. Cybereason,波士顿一家威胁狩猎公司,分析了35年来的破坏性网络攻击,从1982年软件触发的西伯利亚天然气管道大爆炸事件,到最近的NotPetya和Industroyer攻击.Cybereason的结论并未令业界放下心来. 攻击复杂度随时间变化图显示出了两个主要特征.大部分攻击自2012年起出现,且相对不算复

夏涛:中国外贸三大趋势

[http://www.aliyun.com/zixun/aggregation/32866.html">亿邦动力网讯]11月19日消息,商务部新闻发言人沈丹阳在16日的例行发布会上表示,我国的外贸面临的形势依然较为复杂,不确定因素较多.外贸电子商务资深营销专家夏涛在18日做客亿邦访谈时指出,国际形势不容乐观,放眼未来,中国出口面临三大趋势. 夏涛认为,中国出口的三大趋势是:1.中国是未来最大的市场,所以有更多的外贸产品转向内销,更多国外品牌引入国内,2.未来欧美市场的采购需求疲软,东欧和

未来计算:IT四律与三大趋势

 展望2012, 回避不了2011--在这个PC诞生的第30个年头里,许多伟大的IT英雄们相继辞世,其中我 们最为熟知的莫过于DEC创始人.以小型机挑战IBM的 肯尼斯·奥尔森(Kenneth H. Olsen),苹果的传奇创始人史蒂夫·乔布斯,以及C语言之父丹尼斯·里奇(Dennis M. Ritchie)-- 这些时代标志性人物的谢幕,让我们在哀悼和惋惜之余,也在思考一个问题,未来的计算将向何处去? 四大定律制约和引领产业发展   摩尔定律和贝尔定律.吉尔德定律. 麦特卡尔夫定律是制约同时也

三大趋势:Windows Azure开放拥抱云时代

本文讲的是三大趋势:Windows Azure开放拥抱云时代,云计算正引领一个新IT时代.作为全球IT技术的领导企业,微软敏锐地捕捉到以云为代表的全球发展的技术趋势,举全公司之力开启了自身历史上幅度最大.范围最广的一次转型.由世纪互联正式运营 的Windows Azure中国公众预览上线前一天,微软开发工具事业部全球资深副总裁 索马塞加(S. Somasegar)现身亚太研发集团总部,详细阐述了微软在云时代以软件为核心资产,打造开放的云平台,帮助全球用户迈入云时代的实力与决心. 全球技术的三大趋