調查:風險管理“混亂”危及第三方網絡安全控制
責編:gltian |2018-11-09 10:42:40根據一項調查發現,網絡安全和數據隱私對風險管理專業人員來說,幾乎與道德職業行為一樣重要,當企業與信息安全實踐“失控”的第三方打交道時,其承擔的安全風險將進一步加劇。
道德與合規情報專業公司NAVEX Global在其2018年的《道德&合規第三方風險管理基準報告》中提供了受訪者對第三方風險管理計劃的深入認識,該報告指出,44%的受訪者將“網絡安全”和“數據隱私”列為首要關注點。
這一比例僅僅落后于受訪者提出的“道德規范和行為準則合規性”(46%)問題,但卻遠遠超過質量控制(28%)、利益沖突(25%)和反腐工作(21%)等問題。
此外,擁有10億美元以上收入的組織更有可能將“網絡安全”和“數據隱私”作為主要關注點(所占比例為53%),這一比例要高于小型企業(36%)和政府組織(45%)。
報告指出,網絡安全長期以來一直是“道德和合規專業人員不斷面臨的高風險問題”,雖然一些組織正在“以加密方式進行反擊”,但仍然面臨來自惡意內部參與者,或無意中受到網絡釣魚或其他攻擊行為侵擾的受害者所帶來的安全風險。
該分析還警告稱,雖然培訓項目已被越來越多的企業采納為提升員工網絡釣魚意識的關鍵工具,但第三方“通過訪問不容忽視的公司數據也會造成重大的網絡安全風險”。許多組織可能會過于輕視這種行為——即第三方通過最小化企業的關注重點或完全忽略這一基本的合規計劃因素來對其聲譽和財務造成影響——所帶來的損害。
報告指出,“行為準則”為推動圍繞網絡安全和其他風險的第三方行為提供了一種高效的方法。然而,盡管第三方安全具有如此重要的意義,但卻只有23%的受訪者表示他們將在未來12個月內優先考慮他們的第三方盡職調查和監督。
該調查結果突顯了風險管理實踐中存在的差距所帶來的安全挑戰,而許多公司都在努力提高這種風險管理的成熟度。
特別是,內部漏洞管理長期以來都被證實是一項異常艱難的任務,而想要管理外部第三方的漏洞配置文件更是難上加難。
Tenable在其最新發布的《2018年網絡防御者戰略報告》中指出,三分之一的受訪企業正在遵循低成熟度的極簡風格漏洞管理——其中,公用事業、醫療保健、教育和娛樂行業最常使用這種方法。
根據Tenable分析,極簡風格是四個成熟度水平中最低的——其他成熟度水平還包括Surveying(測量)、Investigative(調查)以及Diligent(細致)——僅有5%的受訪者企業表現出了高成熟度特征。
該分析還發現了公司規模與相關成熟度之間的相關性,并建議組織可以使用自定義掃描模板來定制針對特定資產組、業務單元和用例的漏洞評估。
澄清有關網絡安全場景的問題已經成為風險管理專業人員的戰斗口號,最近,ISO 27000系列風險管理標準更新了其2011年第一次修訂的ISO 27005。該標準專門涉及信息安全風險管理技術,定位為與支持信息安全風險管理的第三方相關。
第三方相關的違規行為——例如2013年影響深遠的?Target數據泄露事件,以及今年廣受關注的PageUp事件——加深了人們對于將風險管理成熟度擴展到第三方的重要性的理解。
這些事件證明了潛在的影響可以促使公司在違規發生之前考慮,一旦發生違規行為,他們將如何與第三方接觸。
但是,根據2018年2月澳大利亞《Notifiable Data Breaches scheme》(NDB)正式生效后一些企業的表現所示,一旦違規涉及雙方共同持有的東西,那么公司就如何與第三方合作就會產生一些“混亂”。
針對數百起報告的違規行為進行的分析顯示,第三方關系會引入一系列復雜問題,包括決定誰應該對違規行為作出回應;每個組織應該負責哪些事情;應該如何傳達可疑的違規行為;如何進行評估;哪一方應該負責遏制和通知違規行為等等。
在簽訂合同時,明確上述問題非常重要。組織應該在與第三方簽訂合同前事先考慮未來可能引發“混亂”的問題,并在合同中對相關問題做出明確規定。此外,在與第三方簽訂服務協議時,還應該制定明確的程序來遵守NDB計劃。企業應該明白這樣一點,隱私已經從“關于合規性”發生了新的轉變。