第三方数字风险的崛起

在过去的几个月中，我们已经看到世界以令人难以置信的快速步伐进行了重要的数字化转型。在此期间急剧上升的数字风险领域之一是第三方（又名供应链）风险领域。尽管第三方关系已经存在了很长时间，但已改变的是这些复杂关系的数量和大小。是的，您猜对了，其中大部分是由数字转换驱动的。

第三方协作的好处显而易见：通过减少生产或交付时间来提高速度，效率和敏捷性来进行优化，并围绕创新和创造力增加机会。示例包括电信服务，网站和应用程序的托管，云计算以及与托管IT和安全服务提供商的互动。

通过与第三方合作，组织旨在发展业务，增加利润或以丰富的经验取悦客户。如果您的企业不仅要生存，而且要在此工业4.0时代蓬勃发展，那么对第三方协作的依赖几乎是强制性的。同样令人担忧的是涉及第三方的看似无止境的安全事件和妥协。

第三方协作的挑战虽然并不新鲜，但确实带来了许多新风险。2020年1月，Ponemon Institute的一份报告（通过Security Boulevard）显示：“在过去两年中，有53％的组织经历了至少一个第三方造成的数据泄露。而数据泄露的平均修复成本为750万美元。 ”

什么构成“第三方”？

广义而言，第三方包括与您的组织建立业务关系的所有实体。其中包括承包商，合作伙伴，合资企业，服务提供商，中介机构，代理商，供应商和顾问等。

随着第三方生态系统的扩展，变得越来越复杂和地理位置分散，组织面临越来越大的数字风险。第三方协作扩展了企业的范围，带来了扩展的企业风险。

今天的第三方风险

与第三方合作时可能会产生许多风险（例如，战略，运营，合规，财务，地缘政治，声誉，监管，数字，网络，隐私）。组织面临的最大挑战之一是了解其第三方关系的全部范围以及相关的风险，尤其是在数字风险方面。

云采用是数字风险的最大驱动因素之一。从不断增长的AWS S3存储桶数据暴露列表到Cloud Hopper，Cloud Hopper是影响全球组织的云计算和第三方风险的最佳例子之一。攻击涉及几个托管的IT服务提供商，他们对目标的网络，应用程序和IT基础架构进行了管理。被入侵的服务提供商被用作中介，以渗透实际目标的网络，并允许攻击者获得包括商业机密在内的敏感公司数据。

无法管理这些风险可能会使组织面临监管和诉讼行动，财务损失，声誉受损，甚至可能损害组织建立新业务或为现有业务提供服务的能力。

法规变更

一系列新的法律法规（例如GDPR，澳大利亚的《外国影响透明计划法》，《美国反海外腐败法》和《英国反贿赂法》）引起了海啸，这清楚地表明，企业对与第三方接触的决定负有责任并承担责任。

考虑到我们对数据和第三方的依赖，这是可以理解的，尤其是当我们考虑到过去十年中数据泄露，危害和收入损失的激增时。履行这些新义务将需要重大的运营变更。

建立第三方数字风险管理计划

帮助解决这些问题的起点是开发一种管理风险的方法。我建议有效的风险管理计划包括以下步骤：

1.创建策略和流程，以基于风险评估和审核第三方的安全实践。

•建立所有第三方关系的综合清单。

•了解您的数据：哪些第三方可以访问您的数据？数据的敏感性如何？如何访问和存储数据？哪些分公司/分包商正在访问或处理此数据？

•设置可接受的第三方风险级别。

2.开发/更新您的风险评估。

•专注于识别/分析供应链中第三方参与活动所带来的风险（前面提到）。

•它符合最新的法规和法规要求吗？

•纳入“技术尽职调查”评估。数字协作工具（VPN，视频电话等）的蓬勃发展需要适当的风险评估：这些术语对第三方共享或使用通过其服务收集的数据有何看法？服务在哪里托管？是在需要与执法和情报服务提供通信的国家吗？您可以轻松，完整地删除服务中的任何数据吗？是否实现完全加密和正确的身份验证（MFA）来访问服务？

3.查看您的第三方合同。

•它们是否包括满足法规/法律安全和隐私要求的适当条款？

•是否有规定来评估第三方安全措施和安全措施？

•包含控件，以便您的第三方分担合同义务并对其与之联系的第四方进行审核/审查。

•确保您能够随着时间的推移而查看和提升合同。

4.监视第三方。

威胁环境不断变化。持续监控对于识别新出现的威胁并确保合规至关重要。企业通常缺乏对第三方网络的可见性，这使得减轻来自第三方网络的潜在风险变得更加困难。希望尽可能多地采用自动化。

•监视用户活动以确认仅授权用户可以访问敏感数据，并且该活动是在合同指定的活动范围内完成的。

•实施实时威胁检测和响应功能，以识别来自第三方的欺诈企图和其他恶意活动。

•根据第三方的风险水平自动安排后续风险评估的时间。希望包括基于规则的触发器，以便在超过阈值时立即进行评估。

风险管理是一项专门功能，与提供者就风险进行互动也是第三方参与！这也需要适当的尽职调查。

最终，您可以寻求管理和转移风险的机会，但是您永远都不能转移问责制。