随着业务速度的提高,越来越多的企业寻求第三方服务以获得市场优势。随着企业扩大其供应商基础,迫切需要全面的第三方风险管理(TPRM) 和全面的网络安全措施以评估供应商构成的风险程度。
01 数据泄露:勒索软件、网络钓鱼和对供应商或其系统的直接攻击威胁企业的数据隐私。此外,供应商的组织安全性差和控制执行不力也会给企业带来安全风险。
02 服务中断:恶意软件和分布式拒绝服务(DDoS)攻击可能会破坏企业供应商的系统,从而无法为企业的 IT 基础设施提供服务。也因此,这可能会使企业系统暴露而受到攻击无法向客户提供相应服务。
03 合规风险:监管机构越来越多地让企业及其供应商参与网络安全合规。企业不仅需要遵守法规,并确保其供应商遵守相关法规。
01 整合网络安全和 TPRM
企业应了解网络安全优先事项的作用是确定供应商在 TPRM 中遵守的监管标准和控制措施。企业整合网络安全和 TPRM,以减少工作流程的处理以及风险决策方面的重叠。
网络安全和 TPRM 的整合对于企业来说,有以下几点好处:
● 控制第三方风险偏差,与自身保持同步;
● 降低合规成本,提高运营效率;
● 增强安全风险应对的能力。
企业还应了解第三方对其系统、数据和基础设施的访问权限。除此之外,企业要确保采取充分适当的应对措施和控制措施来确保这些系统的端口安全。
02 开展深入全面的尽职调查
一旦企业为网络安全控制和指标建立了坚实的内部基础,其便可以开始对新的和现有的供应商开展深入全面的尽职调查。TPRM 团队应尽可能收集高度相关信息,如供应商的历史事件和未来状态展望,以了解供应商网络安全风险。
仅当潜在供应商的网络安全实践符合企业规则时,才应与其合作,并且应根据供应商对企业构成的风险级别将其进行分层分类。
03 进行持续监控
仅对供应商开展尽职调查不足以捕捉其不断变化的风险态势。企业应通过进行持续监控以了解供应商网络安全控制和状态的变化。除此之外,定期评估供应商群体的安全性也十分重要。初始的尽职调查可以为企业展示供应商安全性的初始评分,企业应对供应商进行深入持续的安全性评分。企业可以根据供应商在年度、两年或三年时间框架内的总体风险来进行评分评级。
企业应与值得信赖的安全供应商一起改善业务,规避风险。这是企业的业务需求,更是双方共同的企愿。
END
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...