由于通常第三方需要對數(shù)據(jù)泄露事件負責(zé)，因此企業(yè)的內(nèi)部安全標準必須超出其組織的邊界，以涵蓋供應(yīng)商和其他外部合作伙伴。

[[277500]]

在今年的數(shù)據(jù)泄露事件中，Capital One公司的1.06億條記錄對外泄露，Quest Diagnostics公司1190萬條記錄對外泄露，以及LabCorp公司的770萬條記錄對外泄露，這些只是大量泄露事件的其中幾個，那么這些事件有什么共同點?調(diào)查表明，在各種情況下，數(shù)據(jù)泄露事件都是由第三方造成的。在Capital One公司的數(shù)據(jù)泄漏事件中，其實是黑客利用其一個云計算合作伙伴服務(wù)器的配置漏洞進行了攻擊。而另外兩個數(shù)據(jù)泄露行為被追溯到同一個第三方——美國醫(yī)療收集機構(gòu)(AMCA)系統(tǒng)。

數(shù)據(jù)泄露并不是什么新鮮事。僅在2018年就有超過50億條記錄對外泄露，而且經(jīng)常發(fā)現(xiàn)第三方存在過錯。數(shù)據(jù)泄露的潛在成本是巨大的。即使在清理漏洞，并且漏洞被關(guān)閉之后，企業(yè)仍有可能面臨數(shù)百萬美元的罰款和處罰，其聲譽受損，并且可能會持續(xù)數(shù)年的時間。

通過適當?shù)牡谌斤L(fēng)險管理策略，企業(yè)可以及時大幅降低數(shù)據(jù)泄露發(fā)生的可能性，并減少和避免對企業(yè)業(yè)務(wù)的不良影響。

這是一種期望不是一種選擇

在數(shù)據(jù)泄露的情況下，無知或不了解并不能作為企業(yè)進行辯解的理由。第三方是否應(yīng)該受到指責(zé)并不重要——如果企業(yè)對數(shù)據(jù)負責(zé)，那么將被追究責(zé)任。美國和歐洲的監(jiān)管機構(gòu)已經(jīng)明確表示，企業(yè)要對其收集和持有的數(shù)據(jù)負責(zé)。

遵守全球監(jiān)管要求是一項不斷變化的挑戰(zhàn)。實施數(shù)據(jù)管理和安全非常重要。開始將合規(guī)性視為旅程而不是最終目的。

雖然第三方風(fēng)險管理在醫(yī)療保健和金融行業(yè)中尤為重要，因為敏感數(shù)據(jù)和多個合作伙伴的合作都很重要，但這一建議也適用于從制造到零售再到娛樂等行業(yè)。企業(yè)將業(yè)務(wù)外包擴大了其潛在攻擊面，并增加了風(fēng)險，因此必須從一開始就仔細檢查。

提出正確的問題

雖然企業(yè)可以深入了解美國國家標準與技術(shù)研究院(NIST)的網(wǎng)絡(luò)安全框架(CSF)和ISO 27001等技術(shù)指南，以幫助企業(yè)構(gòu)建可靠的信息安全策略和措施，但降低第三方風(fēng)險的優(yōu)秀和最有效的方法是限制企業(yè)分享的內(nèi)容。先從以下問題開始：

• 為什么要外包這個特定服務(wù)或數(shù)據(jù)?
• 共享的確切內(nèi)容是什么?是否都需要共享?
• 企業(yè)是否正在盡一切可能加密或匿名化數(shù)據(jù)?
• 有關(guān)第三方是否轉(zhuǎn)包給其他方?
• 他們的數(shù)據(jù)中心在哪里?
• 企業(yè)有什么樣的合同?
• 如果發(fā)生數(shù)據(jù)泄露或服務(wù)故障，有哪些規(guī)定?

制定一個強有力的事件響應(yīng)計劃至關(guān)重要，它應(yīng)該清楚地描述處理可疑數(shù)據(jù)泄露的過程，其中包括誰負責(zé)，報告和補救的現(xiàn)實時間表，以及明確的溝通渠道。由于最初的警報沒有得到適當?shù)臉擞浕蚣皶r處理，因此往往一場相對較小的事故會演變?yōu)橹卮鬄?zāi)難，這是很常見的。

定期供應(yīng)商評估至關(guān)重要

企業(yè)不能信任第三方——必須對第三方進行徹底審查和定期評估。適當?shù)牡谌斤L(fēng)險管理需要明確的文件，其中包括盡職調(diào)查、詳細的風(fēng)險評估、第三方關(guān)系圖以及明確的事件響應(yīng)要求。企業(yè)還應(yīng)該生成性能報告，并進行定期審核。

必須在嚴密的服務(wù)等級協(xié)議(SLA)中列出所有內(nèi)容，以確保企業(yè)完全符合法規(guī)要求。如果最壞的情況發(fā)生，那么企業(yè)就應(yīng)該向監(jiān)管機構(gòu)展示其工作方式。如果不能正確地審查合同和第三方實踐，或者不能持續(xù)地對其進行監(jiān)督，那么就會再次出錯。

傳統(tǒng)供應(yīng)商評估的問題在于，他們傾向于依靠評級系統(tǒng)來為企業(yè)提供易于理解的評分或等級，但任意數(shù)字并不能告訴企業(yè)足夠的潛在風(fēng)險或如何處理。每年只進行一次評審也很常見，但如果希望更放心的話，需要實時的可見性。

采取行動

成功管理第三方風(fēng)險的最后一個重要組成部分是根據(jù)企業(yè)收集的信息采取行動。企業(yè)定期審核其供應(yīng)商甚至建立持續(xù)監(jiān)控都是良好的措施，但除非企業(yè)見解是可行的，否則它不會產(chǎn)生積極的影響。每次失敗都必須有一個補救計劃，而且還必須對補救工作進行評估，以確保問題得到充分處理。

在極端情況下，如果補救措施不成功或供應(yīng)商多次未能達到企業(yè)認同的標準，企業(yè)的合同應(yīng)該規(guī)定可以終止合同，而不會受到懲罰，并找到更好的合作伙伴。如果企業(yè)沒有認真對待第三方風(fēng)險，并確保其標準涵蓋內(nèi)部和外部數(shù)據(jù)，那么企業(yè)將會破壞其安全工作，并且很有可能最終會為此付出高昂的代價。