我們應該認識到第三方是數(shù)據(jù)泄露的主要途徑之一。德勤在2017年的一份研究報告指出有20.6%的受訪者經(jīng)歷了因第三方導致客戶敏感數(shù)據(jù)的泄露。Ponemon Institute在去年5月的調(diào)查報告顯示75%的IT和安全人員認為，從第三方泄露的風險正在持續(xù)增長，并且是非常嚴重的。

另一方面，Soha System的第三方咨詢團隊完成了一次調(diào)研，針對219個負責企業(yè)IT和安全管理人員、董事、高管做了一次調(diào)查，受訪者代表22個行業(yè)類別，35%的組織中有超過10,000名雇員，全部是匿名回復的。調(diào)查發(fā)現(xiàn)，盡管企業(yè)數(shù)字化生態(tài)中的合作伙伴越來越多，網(wǎng)絡安全威脅也越來越高，但只有不到2%的調(diào)查對象表示高度關注第三方接入與合作帶來的安全問題。

[[208224]]

下面我們來具體看一看，有哪些第三方風險的問題常被企業(yè)誤讀。

1. 對第三方風險的管理不是IT優(yōu)先考慮的事情

數(shù)據(jù)泄露事件已經(jīng)并不陌生，甚至我們感到又些麻木。個人和財務數(shù)據(jù)泄露近年來更是令人難以置信。有數(shù)據(jù)顯示63%的數(shù)據(jù)泄露直接或間接地與第三方聯(lián)系在一起。很多分銷商、服務商或者供應商必須訪問企業(yè)的應用數(shù)據(jù)來完成業(yè)務工作，它們成為了企業(yè)的風險短板。

雖然是一個重要的風險，調(diào)查顯示，從基礎設施到移動應用，再到對企業(yè)自身的安全保障，幾乎每一類支出都獲得了單獨的預算。但只有2%的受訪者認為第三方訪問的安全性是他們比較關注的。

企業(yè)的合作伙伴會越來越多。調(diào)查報告中87%的IT人員說，自2013以來，他們組織的服務商使用量增加了49%，40%的人預計在未來3年內(nèi)服務商數(shù)量會增加更多。

結(jié)論：雖然第三方帶來了重大的風險，但企業(yè)能夠在該方面投入的資源非常不足。

2. 第三方引起泄露事件同樣嚴重，但業(yè)務部門比內(nèi)部IT更關心

調(diào)查顯示，很多高管仍然認為泄露事件會發(fā)生在競爭對手的組織，不是他們自己。有62%的受訪者認為自己組織不會因為第三方訪問而導致嚴重的數(shù)據(jù)泄露事件，但79%的人預計他們的競爭對手將來會出現(xiàn)嚴重的數(shù)據(jù)泄露。雖然受訪者不認為他們的組織很容易受到第三方的攻擊，但56%的人對自己安全管控能力和第三方的安全性非常擔憂。

結(jié)論：組織和越來越多的第三方/合作伙伴之間共享業(yè)務數(shù)據(jù)，但IT和安全負責人只對企業(yè)自身的系統(tǒng)負責，沒有人幫助業(yè)務部門了解第三方帶來的風險。

3. 第三方數(shù)據(jù)泄露不等同于IT的工作失誤

雖然一些數(shù)據(jù)泄露事件導致了一些企業(yè)CEO、CIO等高管的離職，但對于大多數(shù)來說，IT專家并不擔心因發(fā)生泄露而失去工作。有趣的是，53%的受訪者認為如果他們在工作中出現(xiàn)了數(shù)據(jù)泄露，他們會覺得自己有一定責任，因為他們認為這會反映出他們的工作不到位;但只有8%的人認為如果在他們的職責范圍內(nèi)發(fā)生數(shù)據(jù)泄露，他們可能會失去工作。這需要認真對待他們的工作，但目前還不清楚誰對數(shù)據(jù)泄露負主要責任，以及這種模糊性可能影響到態(tài)度和行為。

結(jié)論：大多數(shù)人不認為相信如果發(fā)生泄露，他們將承擔個人后果。

很多正在進行數(shù)字化轉(zhuǎn)型的企業(yè)意識到了個人隱私等敏感信息的重要性，并在對自身IT進行風險控制的同時開展第三方風險管理(TPRM)。

超過60%的數(shù)據(jù)泄露事件直接或間接與一個第三方有關，當提到風險管理的時候，安全和風險管理部門通常只關注合規(guī)性。合規(guī)是很重要的，但不能夠解決第三方帶來風險的核心問題。

企業(yè)進入數(shù)字化轉(zhuǎn)型階段，你需要在風險管理方面進行以下調(diào)整。

1. 實現(xiàn)自動化的風險管理過程，降低第三方帶來的非受控的風險

隨著為企業(yè)提供SaaS服務的公司增加，企業(yè)越來越依賴基于云的第三方服務。Gartner預測，在所有的公有云服務中SaaS應用將增長20%，到2019年將帶來一個2040億美元市場。

隨著業(yè)務驅(qū)動的IT和基礎設施的數(shù)字化轉(zhuǎn)型，這種管理供應商的需求更加明顯。在Ponemon Institute的第三方風險管理調(diào)查中，超過60%的受訪者認為物聯(lián)網(wǎng)增加了第三方的風險，68%的受訪者認為云遷移也是原因之一。

然而，隨著越來越多的第三方成為企業(yè)的供應商或者合作伙伴，由于缺乏資源和能力他們往往沒有管理風險。如果這些第三方訪問您網(wǎng)絡內(nèi)的個人身份信息(PII)或客戶的敏感數(shù)據(jù)，難道他們不應該受到嚴格的風險評估和管理么?

但是，當?shù)谌降臄?shù)量越來越多，Gartner預測2018年業(yè)績較好的組織在數(shù)字生態(tài)中的合作伙伴將達到平均143個。對每一個供應商/合作伙伴進行逐個評估往往是不可行的，這就需要有一個自動化的供應商評估的過程是一個可行的方法。它可以：

• 提高第三方管理的靈活性;
• 規(guī)范第三方管理流程;
• 統(tǒng)一的風險度量和報告;
• 數(shù)據(jù)驅(qū)動的流程決策機制;
• 進一步構建組織的第三方風險管理程序;
• 增加第三方責任感，提高意識;
• 提升綜合的風險評估方法和減輕風險。

通過自動化方式實現(xiàn)一個標準化的過程，可以適用于所有的第三方，無論是現(xiàn)有的還是即將合作的。利用一些新技術和工具，對第三方供應商的信息采集和自動評估，建立自動化的第三方風險管理流程。你可以有效的優(yōu)化資源和分配你和你的員工投入的時間。

2. 通過獨立的風險評估加強和驗證問卷自查報告

第三方風險評估經(jīng)常通過問卷調(diào)查、現(xiàn)場評估或滲透測試的方法，每一種方法都有各自的優(yōu)缺點?，F(xiàn)場評估和滲透測試往往是需要投入大量資源，需要時間、金錢和專業(yè)人員，以便根據(jù)需求進行評估。這類評估不能適用于對所有第三方，而應針對風險較高的第三方。

問卷成為了對其它第三方的評估方法。然而，問卷是自評估的結(jié)果，這存在了“可信”和“可證實”的問題。在2016德勤關于第三方風險管理的研究中，93.5%的受訪者表示對監(jiān)測機制的信任程度并不高。沒有一種方法來驗證你的第三方的安全狀況，你只能依靠第三方自己說的話，顯而易見問卷中得到的往往都是正面的結(jié)果。

組織應找到獨立的方法，能夠為其第三方提供基于客觀、可證實的風險評估，以驗證調(diào)查問卷的調(diào)查結(jié)果，準確地反映第三方的狀況。您應該研究解決方案是否準確地評估了第三方，并可以促進你和第三方之間就真實問題的交流，同時也將重點放在可能泄露信息的關鍵安全領域。

3. 利用持續(xù)監(jiān)測優(yōu)化定期的第三方評估

上一節(jié)提到的評估方法都有一個明顯的缺陷，必須在一個特定的時間點評估第三方。很多時候，評估所收集的信息在你收到的時候已經(jīng)過時了。當前的網(wǎng)絡技術環(huán)境下，黑客的攻擊和漏洞利用方法正以非?？斓乃俣炔粩喔?，這些定期的評估或者年度審查已經(jīng)無法滿足。

普華永道關于金融業(yè)的第三方風險管理報告指出，58%的受訪者經(jīng)歷了第三方服務中斷或數(shù)據(jù)泄露，而只有37%的受訪者定期監(jiān)測第三方。沒有辦法在需要的時候知道你的第三方安全的狀況，在一年中的大部分時間，都處于高度威脅的環(huán)境中而無法察覺。

在第三方風險管理中實現(xiàn)連續(xù)的監(jiān)測過程，是增加對關鍵第三方的安全態(tài)勢的可見能力和反應時間一種方法。通過持續(xù)監(jiān)測第三方的安全性，增強第三方的風險控制能力，從而將總體風險降低，避免出現(xiàn)潛在的安全事件。

國外自2011年開始已經(jīng)有專門對第三方風險管理領域的產(chǎn)品。國內(nèi)發(fā)展較慢一些。

這些基于數(shù)據(jù)驅(qū)動的第三方風險管理技術和工具已經(jīng)逐步成熟，通過對外部大數(shù)據(jù)的采集，分析第三方供應商或者合作伙伴的安全事件和漏洞，并對其進行持續(xù)的監(jiān)測、風險評估和安全評價，幫助企業(yè)在第三方風險方面實現(xiàn)基于等級測量的風險決策、將有效的資源投入在高風險的地方，并且與供應商/合作伙伴之間對風險進行基于事實依據(jù)的溝通。