根据一项调查发现,网络安全和数据隐私对风险管理专业人员来说,几乎与道德职业行为一样重要,当企业与信息安全实践“失控”的第三方打交道时,其承担的安全风险将进一步加剧。
道德与合规情报专业公司NAVEX Global在其2018年的《道德&合规第三方风险管理基准报告》中提供了受访者对第三方风险管理计划的深入认识,该报告指出,44%的受访者将“网络安全”和“数据隐私”列为首要关注点。
这一比例仅仅落后于受访者提出的“道德规范和行为准则合规性”(46%)问题,但却远远超过质量控制(28%)、利益冲突(25%)和反腐工作(21%)等问题。
此外,拥有10亿美元以上收入的组织更有可能将“网络安全”和“数据隐私”作为主要关注点(所占比例为53%),这一比例要高于小型企业(36%)和政府组织(45%)。
报告指出,网络安全长期以来一直是“道德和合规专业人员不断面临的高风险问题”,虽然一些组织正在“以加密方式进行反击”,但仍然面临来自恶意内部参与者,或无意中受到网络钓鱼或其他攻击行为侵扰的受害者所带来的安全风险。
该分析还警告称,虽然培训项目已被越来越多的企业采纳为提升员工网络钓鱼意识的关键工具,但第三方“通过访问不容忽视的公司数据也会造成重大的网络安全风险”。许多组织可能会过于轻视这种行为——即第三方通过最小化企业的关注重点或完全忽略这一基本的合规计划因素来对其声誉和财务造成影响——所带来的损害。
报告指出,“行为准则”为推动围绕网络安全和其他风险的第三方行为提供了一种高效的方法。然而,尽管第三方安全具有如此重要的意义,但却只有23%的受访者表示他们将在未来12个月内优先考虑他们的第三方尽职调查和监督。
该调查结果突显了风险管理实践中存在的差距所带来的安全挑战,而许多公司都在努力提高这种风险管理的成熟度。
特别是,内部漏洞管理长期以来都被证实是一项异常艰难的任务,而想要管理外部第三方的漏洞配置文件更是难上加难。
Tenable在其最新发布的《2018年网络防御者战略报告》中指出,三分之一的受访企业正在遵循低成熟度的极简风格漏洞管理——其中,公用事业、医疗保健、教育和娱乐行业最常使用这种方法。
根据Tenable分析,极简风格是四个成熟度水平中最低的——其他成熟度水平还包括Surveying(测量)、Investigative(调查)以及Diligent(细致)——仅有5%的受访者企业表现出了高成熟度特征。
该分析还发现了公司规模与相关成熟度之间的相关性,并建议组织可以使用自定义扫描模板来定制针对特定资产组、业务单元和用例的漏洞评估。
澄清有关网络安全场景的问题已经成为风险管理专业人员的战斗口号,最近,ISO 27000系列风险管理标准更新了其2011年第一次修订的ISO 27005。该标准专门涉及信息安全风险管理技术,定位为与支持信息安全风险管理的第三方相关。
第三方相关的违规行为——例如2013年影响深远的?Target数据泄露事件,以及今年广受关注的PageUp事件——加深了人们对于将风险管理成熟度扩展到第三方的重要性的理解。
这些事件证明了潜在的影响可以促使公司在违规发生之前考虑,一旦发生违规行为,他们将如何与第三方接触。
但是,根据2018年2月澳大利亚《Notifiable Data Breaches scheme》(NDB)正式生效后一些企业的表现所示,一旦违规涉及双方共同持有的东西,那么公司就如何与第三方合作就会产生一些“混乱”。
针对数百起报告的违规行为进行的分析显示,第三方关系会引入一系列复杂问题,包括决定谁应该对违规行为作出回应;每个组织应该负责哪些事情;应该如何传达可疑的违规行为;如何进行评估;哪一方应该负责遏制和通知违规行为等等。
在签订合同时,明确上述问题非常重要。组织应该在与第三方签订合同前事先考虑未来可能引发“混乱”的问题,并在合同中对相关问题做出明确规定。此外,在与第三方签订服务协议时,还应该制定明确的程序来遵守NDB计划。企业应该明白这样一点,隐私已经从“关于合规性”发生了新的转变。