NBA 第三方数据泄露:避免投掷空心球的 7 种玩法

通过以下七种方法提高团队应对第三方网络安全事件的能力。

Mitratech 员工
Mitratech 员工 三月21,2023 7 分钟阅读

美国国家篮球协会(NBA)已开始通知个人,他们的个人数据在第三方服务提供商的数据泄露事件中被盗。NBA 声称,受影响的信息包括姓名和电子邮件地址,但没有其他类型的个人信息被访问。

美国正值疯狂三月
本篇文章将回顾七种战术,以防止第三方风险管理团队针对第三方数据泄露威胁投掷 "空心球"。

#1.打造制胜文化

每一位教练都会告诉你,从一开始就建立一种制胜文化对于团队和组织的长期成功至关重要。第三方风险管理计划也是如此。从正确的基础开始,包括定义:

  • 明确整个组织各团队的角色和职责(如 RACI
  • 基于组织风险承受能力的风险评分和阈值
  • 第三、第四和第 N 方的范围
  • 基于第三方关键性的评估和监测方法
  • 衡量供应商的关键绩效指标 (KPI) 和关键风险指标 (KRI)
  • 管理保护数据的政策、标准、系统和流程
  • 针对服务水平的合规性和合同报告要求
  • 事件响应要求
  • 利益攸关方报告
  • 风险缓解和补救战略

冠军是在实践中赢得的,因此要不断测试和改进组织的 TPRM 流程,以跟上不断变化的威胁。

#2.为球队挑选合适的球员并设定合同期望值

有效的团队建设始于招募或交易合适的球员,或签约符合团队文化的自由球员。在第三方风险管理方面,这意味着寻找和选择对公司运营风险最小的供应商。

作为供应商选择流程的一部分,比较和监控重要的供应商风险信息,如人口统计、使用中的第四方技术、ESG 分数、近期业务和声誉洞察、数据泄露历史和财务业绩。这将使您能够选择不仅符合目的,而且符合组织风险偏好的供应商。

为了最大限度地提高供应商的绩效,应在供应商合同中加入可衡量和可执行的关键绩效指标。这将使续约讨论更加透明。

#3.了解你的对手

在篮球比赛中,了解对手意味着在赛前研究录像,了解每个球员的对阵情况,选择合适的五名首发球员,以最大限度地增加获胜的机会。在第三方风险管理中,了解对手则更为困难,因为他们在出手之前是看不见的。因此,了解供应商面临的网络安全风险至关重要,因为这些漏洞正是对手的目标所在。

首先,通过捕捉、跟踪和量化固有风险,根据关键性或其信息资产受到威胁的程度,对选定的第三方进行评估。用于计算第三方分类固有风险的标准包括

  • 验证控件所需的内容类型
  • 对业务绩效和运营的关键性
  • 地点及相关法律或监管考虑因素
  • 对第四方的依赖程度(避免集中风险)
  • 接触过业务流程或面向客户的流程
  • 与受保护数据的交互
  • 财务状况和健康
  • 声誉

通过这种固有的风险评估,您的团队可以自动对供应商进行分级;设定进一步尽职调查的适当级别;并确定持续评估持续监控的范围。

#4.绘制有效战术图并积极应对

成功的篮球队在打好比赛的同时,也会不断调整方法,以提高获胜的机会。在第三方风险管理中,灵活性是关键,这意味着要不断评估风险,并相应地应对第三方供应商事件

有效的第三方事件响应计划的关键组成部分包括

  • 事件和事故管理自动问卷调查,以确定风险敞口
  • 定义风险所有者,并通过自动追逐提醒,使调查如期进行
  • 主动报告供应商,加快风险应对
  • 根据风险对业务的潜在影响触发风险行动的工作流程规则
  • 来自内置补救建议的指导,以降低风险
  • 内置报告模板
  • 绘制数据和关系图,以确定组织与第三方之间的关系,使信息路径可视化,并确定风险数据

风险应对框架的标准化将通过围绕一套单一的期望进行调整来提高团队绩效。

#5.保持占有权

在大学篮球比赛中,控球箭头用于在球的明确控制权不明确的情况下确定哪支球队将获得控球权。对于第三方风险管理团队来说,我们将这一定义扩展到包括数据的占有--有时是你拥有数据,有时是第三方、第四方或第 N 方拥有数据。

为了限制您在扩展供应商生态系统中面临的数据安全事件风险,请通过开展问卷评估或被动扫描第三方面向公众的基础设施来识别第四方和第 N 方分包关系。由此产生的关系图将描述可能使您的环境面临风险的信息路径和依赖关系。

一旦确定,就应进行数据安全和隐私评估。主要考虑因素应包括

  • 隐私影响评估,以发现存在风险的业务数据,以及个人身份信息 (PII) 的存在位置、共享位置和访问权限
  • 对照隐私法规进行控制映射和报告
  • 持续监测供应商数据泄露--包括被盗数据的类型和数量;合规性和监管问题;以及实时供应商数据泄露通知
  • 从关系一开始就执行合同中的数据保护条款

要改进第三方事件响应,首先要知道球(或数据)在谁手里。

#6.避免犯规

没有什么比一次错误的犯规更能改变篮球队的势头了。对于第三方风险管理团队来说,犯规可能意味着破坏性的合规违规行为。为有效证明合规性并避免罚款,应自动收集供应商风险信息;量化风险;向供应商提供补救措施(或要求补偿控制措施);并将结果映射到既定的 IT 安全控制框架,如ISO 27001NIST 等。积极主动地了解供应商的安全实践,可以帮助您的团队提前发现潜在的合规违规行为,并在审计过程中加快报告速度。

#7.了解何时交易

当损失堆积如山或团队化学反应出现问题时,可能就是改变阵容的时候了,这可能意味着交易。对于第三方风险管理团队来说,这意味着要持续监控合同执行情况,并在关键绩效指标、关键绩效指标或服务水平协议未达标时让供应商下岗

需要终止时,可利用自动化和工作流程:

  • 对合同进行最后审查
  • 结清所有未付发票
  • 取消对 IT 基础设施、数据和实体建筑的访问权限
  • 审查数据隐私和信息安全合规性
  • 更新供应商管理数据库
  • 持续监测供应商未来的潜在风险

执行这些任务将降低贵组织的合同后风险。

降低第三方数据泄露风险的下一步措施

如果在您的供应商生态系统中发生类似 NBA 数据泄露的网络安全事件,您的组织是否能够迅速了解其对业务的影响并启动自己的事件响应计划?考虑运行以下七种方法来提高团队绩效,下载第三方事件响应清单,或联系我们安排个性化演示

编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。

授权。自动化。提升。三ratech

©2026 Mitratech, Inc. 保留所有权利。