看美国运营商如何管理第三方风险
文章图片
根据PonemonInstitute的《美国数据泄露成本研究(USCostofaDataBreachStudy)》显示 , 第三方组织需要对42%的泄露事件负有一定责任 , 相比2008年44%的比例只降低了一点点 。 而由于第三方因素会额外增加调查和咨询的费用 , 又使得它成为导致数据泄露的起因中成本最高的因素 。 由于各个公司连接的相关第三方组织数量的上升 , 以及网络攻击数量和风险因素的爆发式增加 , 第三方风险管理(third-partyriskmanagement,TPRM)获得了令人惊讶的新发展 。
其中一个令人惊讶的变化 , 就是企业的网络风险团队不再对可能发生的泄露事件负责 。 在最近的一次由美国商会和FICO赞助的网络相关会议上 , T-Mobile的网络风险主管ChrisWallace这样描述了他的方式:“我的团队需要在业务和安全之间寻求一个平衡 。 他们的宗旨是:‘采取基于风险考虑的方式 , 优化并处理事件 。 ’每个人在对业务的操作达成一致后 , 就不再做更多的讨论 。 这也是我的目标——确保每个人的理解是一致的 , 并且每个人都清楚自己该做什么 。 ”
基于风险对第三方供应商进行分类
【看美国运营商如何管理第三方风险】无论组织的规模有多大或者多小 , 最佳的第三方风险管理都会有如下的基础元素:
首先 , 对第三方供应商的分类构建一个框架:根据不同合作伙伴在自身业务中的角色、合作伙伴的规模和关系的重要性 , 识别哪些第三方需要进一步的安全评估 。
建立工作流 , 分析风险和严重度的交叉度:在分类框架的基础上 , 风险经理可以用风险量化工具对第三方建立信息组合 , 从而将网络风险和业务价值统一考虑 。
建立机制 , 对高影响的供应商频繁进行评估 。
确保风险转移:一般而言 , 通过保险进行风险转移 。 比较简单的方式 , 是基于供应商的风险度和关键度 , 在需要进一步防护的时候向供应商要求保险服务 。 另一种方法 , 则是通过加强第三方以及组织内其他方面的管控 , 来降低风险 。
没有任何一家供应商会被完全执行相似的第三方风险管理方案——即使是同一个行业的两家供应商 。 举例而言 , 对一家拍摄已经发布产品的广告公司 , 和对一家针对未发布产品的媒体公司 , 会有截然不同的风险管理策略 。 换句话说 , 对某些供应商理应有更严格的控制 。
质量评估同样重要
与传统上“做完打勾”的方式有所不同 , 如今的第三方风险管理最佳实践同时包括了对合作伙伴的质化和量化的评估 。
Wallace在会上还表示:“这两种方式是互补的 。 在风险管理中 , 总会通过实际数据显示好和坏 , 将情况一分为二 。 风险模型需要将两者融合 。 基于实际数据和现实的情况 , 比如谁对某些数据有接入权限、有多少人有这权限、数据从何而来、数据流向何方 , 分析师可以进一步分析供应商的情况 。 而对于任何的供应商 , 分析师可以通过查看分析评分 , 或者对比最近该供应商合作过的其他同类组织对其的评分 , 进行进一步评估 。 所有这些信息 , 在平衡主观和客观的信息后 , 最终都需要被用于建立第三方的风险模型 , 以及威胁文档 。 我们会基于这些信息 , 进行决策 。 ”
尽管说T-Mobile的生态体系中有上万名合作伙伴 , 但是他们使用的方法是值得所有规模的企业借鉴的 。
关键词:风险管理;供应链安全
推荐阅读
- 美国用“核试验”来恫吓中国“核裁军”,那是赤裸裸的核讹诈
- 三国杀:卡牌是否应该“界限突破”?且看这版「界闪电」设计如何
- 江疏影时髦穿搭合辑,好看到犯规,想“红”并不难!你爱上了吗
- 甜美还是酷盖,不好意思我两样都有,看宋祖儿穿搭,学秀腿神技
- 岂有此理,6000华人宣誓加入美国,扬言中国无权取消他们国籍
- 弹射刀——美国禁止非军方人士使用的刀具
- 中国渔民再次立功! 巨大宝藏重见天日, 美国请求被拒之门外!
- 啥武器能让196国联名抵制?美国“开了坏头”,公然违背禁令研究
- 又一中级卖“白菜价”!上市售价16万,现跌至12.3万,谁还看思域
- 看看2020个平行进口和途乐的真实情况,预计七月将抵达香港,触及关键的价格。