由于通常第三方需要對數(shù)據(jù)泄露事件負責，因此企業(yè)的內(nèi)部安全標準必須超出其組織的邊界，以涵蓋供應商和其他外部合作伙伴。

[[277500]]

在今年的數(shù)據(jù)泄露事件中，Capital One公司的1.06億條記錄對外泄露，Quest Diagnostics公司1190萬條記錄對外泄露，以及LabCorp公司的770萬條記錄對外泄露，這些只是大量泄露事件的其中幾個，那么這些事件有什么共同點?調(diào)查表明，在各種情況下，數(shù)據(jù)泄露事件都是由第三方造成的。在Capital One公司的數(shù)據(jù)泄漏事件中，其實是黑客利用其一個云計算合作伙伴服務器的配置漏洞進行了攻擊。而另外兩個數(shù)據(jù)泄露行為被追溯到同一個第三方——美國醫(yī)療收集機構(gòu)(AMCA)系統(tǒng)。

數(shù)據(jù)泄露并不是什么新鮮事。僅在2018年就有超過50億條記錄對外泄露，而且經(jīng)常發(fā)現(xiàn)第三方存在過錯。數(shù)據(jù)泄露的潛在成本是巨大的。即使在清理漏洞，并且漏洞被關閉之后，企業(yè)仍有可能面臨數(shù)百萬美元的罰款和處罰，其聲譽受損，并且可能會持續(xù)數(shù)年的時間。

通過適當?shù)牡谌斤L險管理策略，企業(yè)可以及時大幅降低數(shù)據(jù)泄露發(fā)生的可能性，并減少和避免對企業(yè)業(yè)務的不良影響。

這是一種期望不是一種選擇

在數(shù)據(jù)泄露的情況下，無知或不了解并不能作為企業(yè)進行辯解的理由。第三方是否應該受到指責并不重要——如果企業(yè)對數(shù)據(jù)負責，那么將被追究責任。美國和歐洲的監(jiān)管機構(gòu)已經(jīng)明確表示，企業(yè)要對其收集和持有的數(shù)據(jù)負責。

遵守全球監(jiān)管要求是一項不斷變化的挑戰(zhàn)。實施數(shù)據(jù)管理和安全非常重要。開始將合規(guī)性視為旅程而不是最終目的。

雖然第三方風險管理在醫(yī)療保健和金融行業(yè)中尤為重要，因為敏感數(shù)據(jù)和多個合作伙伴的合作都很重要，但這一建議也適用于從制造到零售再到娛樂等行業(yè)。企業(yè)將業(yè)務外包擴大了其潛在攻擊面，并增加了風險，因此必須從一開始就仔細檢查。

提出正確的問題

雖然企業(yè)可以深入了解美國國家標準與技術研究院(NIST)的網(wǎng)絡安全框架(CSF)和ISO 27001等技術指南，以幫助企業(yè)構(gòu)建可靠的信息安全策略和措施，但降低第三方風險的優(yōu)秀和最有效的方法是限制企業(yè)分享的內(nèi)容。先從以下問題開始：

• 為什么要外包這個特定服務或數(shù)據(jù)?
• 共享的確切內(nèi)容是什么?是否都需要共享?
• 企業(yè)是否正在盡一切可能加密或匿名化數(shù)據(jù)?
• 有關第三方是否轉(zhuǎn)包給其他方?
• 他們的數(shù)據(jù)中心在哪里?
• 企業(yè)有什么樣的合同?
• 如果發(fā)生數(shù)據(jù)泄露或服務故障，有哪些規(guī)定?

制定一個強有力的事件響應計劃至關重要，它應該清楚地描述處理可疑數(shù)據(jù)泄露的過程，其中包括誰負責，報告和補救的現(xiàn)實時間表，以及明確的溝通渠道。由于最初的警報沒有得到適當?shù)臉擞浕蚣皶r處理，因此往往一場相對較小的事故會演變?yōu)橹卮鬄碾y，這是很常見的。

定期供應商評估至關重要

企業(yè)不能信任第三方——必須對第三方進行徹底審查和定期評估。適當?shù)牡谌斤L險管理需要明確的文件，其中包括盡職調(diào)查、詳細的風險評估、第三方關系圖以及明確的事件響應要求。企業(yè)還應該生成性能報告，并進行定期審核。

必須在嚴密的服務等級協(xié)議(SLA)中列出所有內(nèi)容，以確保企業(yè)完全符合法規(guī)要求。如果最壞的情況發(fā)生，那么企業(yè)就應該向監(jiān)管機構(gòu)展示其工作方式。如果不能正確地審查合同和第三方實踐，或者不能持續(xù)地對其進行監(jiān)督，那么就會再次出錯。

傳統(tǒng)供應商評估的問題在于，他們傾向于依靠評級系統(tǒng)來為企業(yè)提供易于理解的評分或等級，但任意數(shù)字并不能告訴企業(yè)足夠的潛在風險或如何處理。每年只進行一次評審也很常見，但如果希望更放心的話，需要實時的可見性。

采取行動

成功管理第三方風險的最后一個重要組成部分是根據(jù)企業(yè)收集的信息采取行動。企業(yè)定期審核其供應商甚至建立持續(xù)監(jiān)控都是良好的措施，但除非企業(yè)見解是可行的，否則它不會產(chǎn)生積極的影響。每次失敗都必須有一個補救計劃，而且還必須對補救工作進行評估，以確保問題得到充分處理。

在極端情況下，如果補救措施不成功或供應商多次未能達到企業(yè)認同的標準，企業(yè)的合同應該規(guī)定可以終止合同，而不會受到懲罰，并找到更好的合作伙伴。如果企業(yè)沒有認真對待第三方風險，并確保其標準涵蓋內(nèi)部和外部數(shù)據(jù)，那么企業(yè)將會破壞其安全工作，并且很有可能最終會為此付出高昂的代價。