企业对于第三方风险是否认真对待?

由于第三方通常对数据泄露负责，企业的内部安全标准必须超越其组织的边界，以涵盖供应商和其他外部合作伙伴。

在今年的数据泄露事件中，凯投宏观(Capital One)公司有1.06亿条记录泄露给外界，Quest Diagnostics公司有1190万条记录泄露给外界，LabCorp公司有770万条记录泄露给外界。这些只是大量泄漏事件中的几个。这些事件有什么共同点？调查显示，在各种情况下，数据泄漏事件是由第三方造成的。在Capital One的数据泄露事件中，实际上是黑客利用了其云计算合作伙伴服务器的配置缺陷。另外两次数据泄露都追溯到同一个第三方AMCA系统。

数据泄漏不是什么新鲜事。仅在2018年，就有超过50亿条记录被泄露到外部世界，第三方经常被发现有错。数据泄露的潜在成本是巨大的。即使漏洞被清除和关闭，企业仍可能面临数百万美元的罚款和处罚，其声誉可能受损，并可能持续数年。

通过适当的第三方风险管理策略，企业可以大大降低数据及时泄漏的可能性，减少和避免对业务的不利影响。

这是一种期望不是一种选择

在数据泄露的情况下，无知或无知不能作为企业的借口。是否应该责怪第三方并不重要——如果企业对数据负责，它将被起诉。美国和欧洲监管机构已经明确表示，公司对其收集和持有的数据负责。

遵守全球监管要求是一项不断变化的挑战。实施数据管理和安全性非常重要。开始将合规视为一次旅程，而不是目的本身。

虽然第三方风险管理在医疗保健和金融行业特别重要，因为敏感数据和多个合作伙伴的合作都很重要，但这一建议也适用于从制造业到零售业再到娱乐业的各个行业。企业通过外包扩大了潜在的攻击领域，增加了风险，因此必须从一开始就仔细检查。

提出正确的问题

虽然企业可以更多地了解NIST的网络安全框架(CSF)和国际标准化组织27001等技术指南，以帮助企业建立可靠的信息安全政策和措施，但降低第三方风险的最佳和最有效的方法是限制企业的份额。让我们从以下问题开始:“制定一个强有力的事件响应计划非常重要，该计划应明确描述处理可疑数据泄漏的过程，包括谁负责、报告和补救的现实时间表以及清晰的沟通渠道。由于最初的警报没有正确标记或及时处理，一个相对较小的事故会变成一场大灾难是很常见的。

定期供应商评估至关重要

采取行动

所有内容必须在严格的服务级别协议中列出，以确保企业完全符合法规要求。如果最坏的情况发生在最坏的时候，那么公司应该向监管者展示他们是如何工作的。如果合同和第三方的做法不能得到适当审查或持续监控，将会出现另一个错误。

传统供应商评估的问题在于，他们倾向于依赖评级系统为企业提供易于理解的评级，但任何数字都不能告诉企业足够的潜在风险或如何应对这些风险。每年只进行一次审查也很常见，但是如果希望获得更多保证，就需要实时可见性。

成功管理第三方风险的最后一个重要组成部分是根据企业收集的信息采取行动。对企业来说，定期审查供应商，甚至建立持续监控是一个很好的措施，但除非企业的意见是可行的，否则不会产生积极的影响。每一次失败都必须有补救计划，补救工作也必须进行评估，以确保问题得到充分解决。

在极端情况下，如果补救措施不成功或供应商多次未能达到企业批准的标准，企业的合同应规定合同可以不受惩罚地终止，并找到更好的合作伙伴。如果企业不认真对待第三方风险并确保其标准涵盖内部和外部数据，那么企业将会破坏其安全工作，最终可能会付出高昂的代价。