数据是企业最宝贵的资产之一,也是最有可能被盗的资产。它通常被称为 "数字黄金",但与实物黄金不同的是,它的价值在于利用。然而,每一次交互,尤其是第三方和第 N 方的交互,都会增加数据被盗和未经授权访问的可能性。
保护数据不仅是为了保护专有机密,也是为了保护那些将信息托付给您的人的隐私。然而,随着数据沿着价值链进一步传播--远离你的组织--确保其隐私变得越来越具有挑战性。
本博客探讨了数据隐私面临的挑战,并提供了 5 个实用的解决方案,以确保在复杂的第三方关系世界中敏感数据的安全。
应对第三方数据保护的挑战
许多组织对其最敏感数据离开系统后的去向缺乏可视性。供应商、承包商和业务合作伙伴以及他们的扩展网络可能会在您不知情的情况下处理或共享您的内部或客户数据,从而可能危及数据的安全性。
第三方、第四方和第 N 方在各种组织功能中发挥着关键作用,从处理付款到交付订单,以及通过 API 增强服务。它们的共同点是对数据的依赖,这给有效的风险管理带来了挑战。
要驾驭这一复杂的局面,您的组织必须在产生持续数据流的大量技术中解开期望、要求和限制的网络。
主要挑战包括
1.不断增加的法规
确保第三方保护敏感数据是许多全球数据隐私法的关键要求。随着80% 的国家起草或颁布法律,包括美国独特的州一级法规,企业遇到了复杂的法律环境。为了有效合规,企业必须随时了解情况,并善于驾驭这个错综复杂的法规要求迷宫。有关具体法规和框架的详细见解,请参阅我们全面的 TPRM合规指南。
2.消费者和股东的期望
自 1948 年联合国《世界人权宣言》发表以来,隐私权已被公认为一项基本人权。根据Prevalent 的 TPRM 调查,三分之一的风险管理团队对管理第三方数据隐私和安全表示担忧。鉴于 63% 的组织不确定是否遵守强制性披露要求,半数组织缺乏必要的监控工具以防信息泄露,因此必须解决这一问题。满足这些期望对于建立信任和合规至关重要。
3.过时的程序
尽管现有技术可以实现任务自动化、节省时间并提高风险意识,但仍有相当一部分组织继续采用人工方式进行第三方风险管理(TPRM)。依赖电子表格和电子邮件沟通阻碍了对供应商、销售商和合作伙伴的有效跟踪和管理。企业必须转向自动化 TPRM 技术,以简化流程、提高效率并有效应对第三方数据保护的动态环境。
管理第三方数据保护风险的 5 项最佳实践
如果第三方数据风险管理很简单,那么每个人都会去做。然而,许多组织都知道,他们还没有实施公司监控和管理第三方安全风险所需的一切措施。数据隐私等特定风险的情况可能更糟。与网络安全一样,企业往往因为没有注意到最基本的问题而导致失败。
以下是我们推荐的最佳做法:
1.建立问责制
明确第三方数据风险管理责任至关重要。Forrester Research 的一项研究显示,即使是关注供应商和供货商风险的公司,也往往缺乏强有力的第三方数据风险管理治理或问责制。没有指定的第三方风险监督方可能会导致控制薄弱或完全缺乏控制。考虑组建一个跨职能数据保护团队,其中包括法律、IT 安全、内部审计和供应商管理代表,以促进问责制、政策定义和数据保护承诺。
2.与框架保持一致
法规规定了需要做什么,但不一定规定了如何做。当与不同地区的众多供应商打交道时,这种复杂性就会加剧,因为每个供应商都有自己的一套法律。采用适合您的行业和要求的第三方风险管理(TPRM)框架,可根据既定的最佳实践指导流程。这样既能确保遵守法律,又能维护数据安全。共享评估 TPRM 框架、NIST 800-161、NIST CSF v.2.0 草案、ISO 27001 和ISO 27036等框架提供了全面的指导。
3.在整个第三方生命周期保持警惕和勤勉
在公司与第三方供应商的关系中,数据风险始终存在,甚至超出了合规性审计和终止合同的范围。从一开始到消除数据,警惕的保护是必不可少的,其中包括几个关键阶段:
采购和遴选
- 在最初阶段密切关注潜在的第三方。
- 在征求建议书(RFP)、信息请求 (RFI) 或其他请求类型中优先考虑数据保护,强调严格控制。
- 通过外部来源核实供应商的索赔,评估财务状况、声誉和安全漏洞。
- 在敲定合同之前,要求提供安全措施的证据,如遵守安全框架、审计报告和客观方的潜在安全评级。
接收和入职
- 将隐私控制纳入供应商合同,明确规定各项要求。
- 规定数据共享协议,确保在与第三方共享数据时发出通知。
- 开展尽职调查 任务例如
- 根据行业框架(如 NIST 和 ISO 框架)评估供应商的安全控制措施
- 监控网络风险、数据泄露、财务问题、违法行为、负面媒体和其他面向公众的风险
- 识别潜在的第四方和第 N 方供应商风险 ,这些风险在采购和遴选过程中并不明显
- 检测供应商延伸供应链中的声誉和合规风险
- 认证供应商已满足 GDPR、CMMC、HIPAA 和其他法规的 "下行 "合规要求。
固有风险评分
- 评估供应商的固有风险,考虑财务状况、安全实践和历史违规事件。
- 利用问卷调查和监测进行内部风险评分,根据固有风险对供应商进行分类。
- 创建一个结合可能性和影响的矩阵,以有效评估供应商并确定优先次序。
定期第三方风险评估
- 对固有风险较高的供应商进行定期、深入的风险评估。
- 分析隐私控制、评估法规遵守情况,并根据风险承受能力确定风险敞口。
- 根据潜在的组织成本量化风险,确保持续评估。
持续风险监控
- 实施自动持续监控,以识别新出现的隐私风险并验证供应商的应对措施。
- 扫描网络安全态势、商业道德、财务状况和地缘政治背景,确保持续保持警觉。
- 通过定期风险评估,适应供应商不断变化的做法。
服务水平协议和绩效管理
- 确保持续遵守供应商合同中规定的隐私要求。
- 定期评估供应商的表现,而不仅仅是在续约期间,以保持一致的隐私标准。
离职和终止
- 在合同签订期间,取消供应商对系统的访问权限,尤其是那些存储敏感数据的系统。
- 核实供应商系统的完整数据,有效降低风险。
- 解决离职和终止时的数据保护风险,这往往被许多公司所忽视。
通过在每个阶段采用这些做法,企业可以建立一个稳健高效的第三方风险管理计划,在整个供应商关系中保护数据和维护隐私。
4.不要忽视残余风险
即使供应商实施了必要的措施,残余风险依然存在。了解贵组织的风险承受能力对于有效管理残余风险至关重要。对残余风险的补偿可能涉及要求供应商实施额外的控制措施,尤其是针对高度敏感数据。ISO 27001 强调持续监控,以有效解决和管理残余风险。
5.编制相关、有效的报告
记录所有供应商数据隐私风险管理活动对于合规性和审计证据至关重要。报告应展示数据保护法律的合规性,概述补救措施,并满足合规团队、安全团队、执行领导层、供应商和董事会等各利益相关方的需求。利用第三方风险管理解决方案可简化报告,与 GRC 和企业风险管理系统保持一致。
采用这 5 项最佳实践为全面保护第三方数据奠定了坚实的基础。在不断变化的环境中,积极主动的方法可确保您的数据在复杂的第三方关系网中的安全性和隐私性。
普瑞瓦特如何提供帮助
Prevalent 提供单一的第三方风险管理平台,整个企业的团队都可以使用该平台来协作处理第三方数据隐私风险。Prevalent TPRM 平台:
- 提供数据位置、流动方式和访问权限的可见性
- 加快风险识别和补救,降低违规成本和声誉损失
- 为监管机构、供应商和内部利益相关者生成有针对性的报告,以合作降低风险
- 与其他供应商风险管理流程整合,实现集中的第三方风险管理
有关 Prevalent 如何帮助贵组织发现、管理和降低第三方数据隐私风险的更多信息,请下载白皮书或联系我们进行演示。
第三方数据隐私风险的类型
大公司部署了先进的技术来保护其系统、网络和数据,这使得网络犯罪分子通过传统渠道入侵它们的难度大大增加。然而,这些公司决不能自满;恶意行为者一直在寻找其他切入点。网络犯罪分子并没有放弃获取宝贵数据的尝试,而是将目标瞄准了较小的实体--第三方、第四方和第 N 方业务合作伙伴。
这些规模较小的企业享有连接和访问令人垂涎的数据的权利,一旦遭到入侵,它们就会成为潜在的网关。令人震惊的是,几乎一半的网络攻击都以小型企业为目标。随着全球公司和经济体的数字化以及服务和数据的整合,入侵的风险和可能性也在不断增加。
在您的销售商和供应商生态系统中,如果缺乏对广泛的组织网络的全面了解,就会妨碍对数据流、其命运以及所受保护程度的理解。因此,越来越多备受瞩目的数据泄露事件都是通过第三方漏洞造成的,这也就不足为奇了。
数据隐私合规扩展的压力与日俱增
在数据泄露往往可追溯到第三方漏洞的时代,采取强有力的第三方风险管理措施是必要的,也是具有战略意义的。正如越来越多的法规所强调的那样,收集数据的实体有责任确保数据安全。企业必须确保其供应商和合作伙伴遵守健全的数据保护管理和控制措施,并将这些要求扩展到其第三方合作伙伴。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
