本文讲的是 【CS论坛】风险管理中的新维度:eVRM,网络罪犯正在把目光转向第三方供应商,以获得后门访问数据。因此,作为安全从业人员则需要重新考虑风险管理的内容了。
虽然基于对供应商的风险管理问卷调查是一个普遍的有效方法,但并不足以应对新出现的与第三方有关的风险威胁。管理规则的变化和演变中的威胁环境无不催生着一种新型的风险管理手段:泛企业供应商风险管理(eVRM: enterprise-wide Vendor Risk Management)
塔吉特和家得宝的数据泄露事件已经证明,由第三方供应商引发的系统和业务漏洞能够给企业带来灾难性的后果。因此,仅是简单地第三方供应商实施传统的风险管理机制已经不够。我们还需要保护与第三方相关的风险控制。
从纸面上来说,供应商不过是一个数字。但即使是中型企业这个数字也会轻易超过100家,可能包括包括了技术、设备、支付等各种第三方供应商。大多数企业只会关注所有供应商的一小部分,一般主要以合同的重要性来选择关注。
供应链上与第三方有关的风险正在加大,已经影响到企业的运营、合规、名誉、信任和战略。这些风险又被正在增长的多样化、大量化和复杂化的外包工作进一步恶化。出于这种形势,管理和标准体系(如MAC/OCC/BaFin/FCA/FedRAMP/BITS/NERC/NEI/ISO/PCI/AICPA等)正在强制实施更加严格的第三方供应商管理指南。比如,需要对供应商实施常规性的风险评估,如果可能的话,甚至是供应商的供应商。
以前,机构通常对新进入的第三方供应商使用较低的风险评估标准,评估合作伙伴的相关风险都是事后才做。一份发给供应商的安全规则调查评估表,不知道要等待多长时间才能收到反馈。
为了应对新兴的威胁,机构应该实施并扩展传统的供应商网络管理工作,以下四步可以作为参考:
- 建立外包管理部门
一个重要的成功因素,就是清晰地定义负责外包关系管理人员的角色和责任。然而,要想保证标准化的流程,则需要有一个服务机构中心,承担政策维护,数据存储,管理信息生成和大范围推广。越来越多的机构正在建立所谓的供应商管理办公室(VMO),以促进外包管理流程。安全管理负责风险识别和风险缓和,而VMO负责提供必要的后勤保障和评估标准。
- 重视端到端的评估流程
正如上文所提到的,机构通常把新加入的供应商与供应商控制评估流程分隔开来。因为传统的评估方法时间周期很长,以至于会影响到业务的运转和效率。但最近一年来的数据泄露事件表明,机构需要特别关注端到端的评估流程,确保对新加入供应商的安全风险评估作为整个评估工作的一部分。
初步的评估工作应该包括持续性风险评估、信息安全风险、服务风险和管理风险,而且如果初步发现问题,则需要更深一步的分析。如果需要进一步分析某供应商,则需要对其财务稳定性、完整性、财力和安全控制力进行更详细的评估。一旦供应商正式成为合作伙伴,机构应该进行经常性的供应商控制评估,以确保符合机构的标准和指导原则。
- 依据服务而不是依据供应商分类
一个更好的方法是通过供应商所提供的服务分类,而不是去评估供应商的相关风险。这是因为,一个供应商可能会给企业提供多种服务,而每一种服务都有可能存在安全风险。显然,采取这种方法只需增加需要监控和评估的项目数量,但却保证了减缓第三方风险的检测颗粒度。
- 扩展基于调查的方法
机构还应扩展传统的调查方法,把实时数据(如ERP系统、合同、法务系统中的数据)也统计在内。例如,发现某供应商违反安全规定使用多个IP地址,那么机构本身的IP被占用的未来风险就会很高。数据会给整个风险评估过程增加更为客观的因素,而调查结果只能依靠答卷人的诚实度。
数据泄露的威胁,公众审视和管理处罚令供应商的风险管理成为焦点。没有正确的监督和系统地记录、评估及减缓第三方供应商风险的框架,一个机构就会处于非常容易遭受攻击的境况下。上述四个步骤将有助于降低来自第三方的风险,新型的eVRM工具能够协助处理这些与工作范围、工作流管理、数据连通性和时间效率等方面的难点。
原文发布时间为:一月 30, 2015
本文作者:王小瑞
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/learn/6503.html
