第三方挑战
根据Ponemon Institute的数据统计,56%的组织都曾因第三方供应商而遭遇数据泄露。美国国家标准与技术研究所(NIST)称第三方是最大的风险来源,部分原因是安全措施不完善。如果将第四方和第五方考虑在内,风险将呈指数级增长。那么,组织如何能够确信在其业务操作中扮演关键角色的供应商和分包商正在充分保护组织的敏感数据呢?
企业可以通过多种方式增强其第三方风险意识:教育内部利益相关者正确管理第三方风险;通过对面向外部的系统的独立审查,契约地实现第三方安全性能预期;在中央数据库中跟踪第三方风险;并根据已知的优缺点调整方法,仅举几个例子。然而,即使所有的措施都不能充分保护您的敏感数据:组织应该假设这些信息将被暴露,并采取措施检测和补救这种损失。
罪犯走向“数字化”
随着第三方生态系统的发展,越来越多的数据存储在云上,员工们找到了新的在线参与方式,企业的敏感数据经常暴露出来。知道这一点,对手就会利用这种不必要的暴露;利用帐户接管凭证或知识产权进行商业间谍活动。
然而,它甚至还不止于此——网络犯罪分子已经注意到了这一点,并正在想方设法利用组织的数字转型努力。一旦一家公司或银行提供了一款新的移动应用程序来提高访问和效率,不法分子就会试图设计一种方法来操纵它,达到自己的目的。
为了防范这些威胁,组织需要找到新的方法来检测数据丢失,保护其在线品牌,减少攻击面。
问正确的问题
数字技术对于企业变得更加敏捷、提高盈利能力和更好地回应客户的能力至关重要。但是,像大多数流程一样,这是一个持续的过程,需要时间和关注。最终,为了在确保网络安全的同时充分受益于这些创新的数字实践和工具,企业必须做好持续规划和持续合作的准备,以提高自身和第三方实践的透明度。我建议企业领导者问问自己以下三个问题来减少这种数字风险:
1. 谁负责管理数字风险?我们是完全依赖CISO,还是风险超越孤岛?
2. 我们是否正在将数字风险管理从公司扩展到我们的合作伙伴和供应商生态系统?在传统范围之外,组织有什么工具来检测和纠正风险?
3.我们的CISO是否从业务风险的角度来处理安全问题?我们是否根据业务风险来衡量安全团队的成功?
随着数字化转型的扩大,组织的边界将继续受到侵蚀,但只要采取正确的风险保护策略,任何组织都可以在数字转型时代取得成功。