🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
查看原文
其他

看美国运营商如何管理第三方风险

星云 数世咨询 2023-02-14
根据Ponemon Institute的《美国数据泄露成本研究(US Cost of a Data Breach Study)》显示,第三方组织需要对42%的泄露事件负有一定责任,相比2008年44%的比例只降低了一点点。而由于第三方因素会额外增加调查和咨询的费用,又使得它成为导致数据泄露的起因中成本最高的因素。由于各个公司连接的相关第三方组织数量的上升,以及网络攻击数量和风险因素的爆发式增加,第三方风险管理(third-party risk management, TPRM)获得了令人惊讶的新发展。
其中一个令人惊讶的变化,就是企业的网络风险团队不再对可能发生的泄露事件负责。在最近的一次由美国商会和FICO赞助的网络相关会议上,T-Mobile的网络风险主管Chris Wallace这样描述了他的方式:“我的团队需要在业务和安全之间寻求一个平衡。他们的宗旨是:‘采取基于风险考虑的方式,优化并处理事件。’每个人在对业务的操作达成一致后,就不再做更多的讨论。这也是我的目标——确保每个人的理解是一致的,并且每个人都清楚自己该做什么。”
基于风险对第三方供应商进行分类
无论组织的规模有多大或者多小,最佳的第三方风险管理都会有如下的基础元素:
  • 首先,对第三方供应商的分类构建一个框架:根据不同合作伙伴在自身业务中的角色、合作伙伴的规模和关系的重要性,识别哪些第三方需要进一步的安全评估。
  • 建立工作流,分析风险和严重度的交叉度:在分类框架的基础上,风险经理可以用风险量化工具对第三方建立信息组合,从而将网络风险和业务价值统一考虑。
  • 建立机制,对高影响的供应商频繁进行评估。
  • 确保风险转移:一般而言,通过保险进行风险转移。比较简单的方式,是基于供应商的风险度和关键度,在需要进一步防护的时候向供应商要求保险服务。另一种方法,则是通过加强第三方以及组织内其他方面的管控,来降低风险。
没有任何一家供应商会被完全执行相似的第三方风险管理方案——即使是同一个行业的两家供应商。举例而言,对一家拍摄已经发布产品的广告公司,和对一家针对未发布产品的媒体公司,会有截然不同的风险管理策略。换句话说,对某些供应商理应有更严格的控制。
质量评估同样重要
与传统上“做完打勾”的方式有所不同,如今的第三方风险管理最佳实践同时包括了对合作伙伴的质化和量化的评估。
Wallace在会上还表示:“这两种方式是互补的。在风险管理中,总会通过实际数据显示好和坏,将情况一分为二。风险模型需要将两者融合。基于实际数据和现实的情况,比如谁对某些数据有接入权限、有多少人有这权限、数据从何而来、数据流向何方,分析师可以进一步分析供应商的情况。而对于任何的供应商,分析师可以通过查看分析评分,或者对比最近该供应商合作过的其他同类组织对其的评分,进行进一步评估。所有这些信息,在平衡主观和客观的信息后,最终都需要被用于建立第三方的风险模型,以及威胁文档。我们会基于这些信息,进行决策。”
尽管说T-Mobile的生态体系中有上万名合作伙伴,但是他们使用的方法是值得所有规模的企业借鉴的。
关键词:风险管理;供应链安全

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存