第三方挑戰
根據Ponemon Institute的數據統計,56%的組織都曾因第三方供應商而遭遇數據泄露。美國國家標準與技術研究所(NIST)稱第三方是最大的風險來源,部分原因是安全措施不完善。如果將第四方和第五方考慮在內,風險將呈指數級增長。那么,組織如何能夠確信在其業務操作中扮演關鍵角色的供應商和分包商正在充分保護組織的敏感數據呢?
企業可以通過多種方式增強其第三方風險意識:教育內部利益相關者正確管理第三方風險;通過對面向外部的系統的獨立審查,契約地實現第三方安全性能預期;在中央數據庫中跟蹤第三方風險;并根據已知的優缺點調整方法,僅舉幾個例子。然而,即使所有的措施都不能充分保護您的敏感數據:組織應該假設這些信息將被暴露,并采取措施檢測和補救這種損失。
罪犯走向“數字化”
隨著第三方生態系統的發展,越來越多的數據存儲在云上,員工們找到了新的在線參與方式,企業的敏感數據經常暴露出來。知道這一點,對手就會利用這種不必要的暴露;利用帳戶接管憑證或知識產權進行商業間諜活動。
然而,它甚至還不止于此——網絡犯罪分子已經注意到了這一點,并正在想方設法利用組織的數字轉型努力。一旦一家公司或銀行提供了一款新的移動應用程序來提高訪問和效率,不法分子就會試圖設計一種方法來操縱它,達到自己的目的。
為了防范這些威脅,組織需要找到新的方法來檢測數據丟失,保護其在線品牌,減少攻擊面。
問正確的問題
數字技術對于企業變得更加敏捷、提高盈利能力和更好地回應客戶的能力至關重要。但是,像大多數流程一樣,這是一個持續的過程,需要時間和關注。最終,為了在確保網絡安全的同時充分受益于這些創新的數字實踐和工具,企業必須做好持續規劃和持續合作的準備,以提高自身和第三方實踐的透明度。我建議企業領導者問問自己以下三個問題來減少這種數字風險:
1. 誰負責管理數字風險?我們是完全依賴CISO,還是風險超越孤島?
2. 我們是否正在將數字風險管理從公司擴展到我們的合作伙伴和供應商生態系統?在傳統范圍之外,組織有什么工具來檢測和糾正風險?
3.我們的CISO是否從業務風險的角度來處理安全問題?我們是否根據業務風險來衡量安全團隊的成功?
隨著數字化轉型的擴大,組織的邊界將繼續受到侵蝕,但只要采取正確的風險保護策略,任何組織都可以在數字轉型時代取得成功。