来源:互联网 时间:2019-11-05 13:47:58
以落叶,南瓜香料和国家网络安全意识月(NCSAM)为标志的一个月–政府与业界共同努力提高人们对网络安全重要性的认识。今年的NCSAM主题为“拥有IT,保护IT,保护IT”。是对所有权和问责制采取有力行动的号召。但是,许多听从此呼吁的人不会考虑它如何扩展到庞大且不断发展的第三方关系网络。为什么?对于大多数组织而言,第三方使网络安全风险管理变得复杂。
第三方风险似乎不平衡。公司对第三方如何保护其技术基础架构,其应用程序或数据的控制权有限或没有控制权;但是,这些公司对因这些关系而发生的网络安全事件负全部责任。结果,公司在财务上会受到监管罚款,罚款或收入损失的困扰,并在事件导致负面宣传或运营中断时冒着自身声誉的风险。
当您寻求成熟并扩展第三方风险管理工作时,请勿将安全意识和培训仅限于内部人员。在考虑第三方风险计划时,请确保您:
创建和维护用于第三方关系的中央存储库。
如果您不知道自己有多少第三方或谁是第三方,就无法管理无法衡量的事情,也无法彻底评估每种关系的风险。在所有组织中,超过一半的组织没有保持有效的第三方目录。1
考虑超越过时的术语,这会限制您的范围并造成盲点。
第三方有很多名称:供应商,供应商,IT服务提供商,关联公司,合作伙伴,顾问等。不要将网络安全评估仅限于软件供应商。通过数字转换和物联网,几乎每个第三方关系都涉及存储,处理或传输敏感数据。将每个关系都视为价值链中的一个环节,包括HVAC维修技术人员。
关系结束时采取网络安全预防措施。
对于许多组织而言,第三方网络安全流程中缺少关键的一步。很多时候,他们忽略或忘记了在合同完成后终止第三方对关键系统的访问。外部流程对于缓解下游风险至关重要。创建一个流程,在该流程中,第三方关系的所有者在宣布终止合同之前通知适当的渠道,这样,安全性就可以监视不规则的访问-万一第三方希望以自费形式购买纪念品,并确保访问权限已在合同期末终止。
相关推荐
猜你喜欢