作为贵公司的高管或董事会成员,第三方风险管理应是首要关注事项。
以下是您需要了解的五件事:
1. 仅靠合同已不足以保护企业。
合同固然至关重要,但它们无法提供您所需的可视性来降低数据泄露风险。如今,实现充分的可视性并监控第三方供应商对网络安全法规及最佳实践的合规性,已成为众多监管与安全准则的强制要求,包括PCI 3.0、OCC、HIPAA综合条例以及SEC等。
需要特别注意的是,为满足这些监管及数据安全要求,您与第三方供应商签订的合同中应包含明确条款,授予您进行评估的权利,并赋予您持续监督第三方供应商的权限。
2. 第三方机构发生客户或患者数据泄露事件,责任由您承担。
将业务职能外包后便可完全免除对客户数据安全责任的观念,已不再是可接受的商业实践。对接触敏感数据的第三方供应商进行尽职调查,通常被视为降低风险、识别改进空间并履行应尽注意义务的唯一途径。某些监管机构会自动将疏于尽职调查的行为与责任加重(及成本增加)挂钩。
3. 单一的、特定时间点的评估已不再足够。
大多数第三方风险管理计划最初都是作为合规举措启动的,仅在签约过程中或签约后立即进行一次性的评估。在许多情况下,这往往是唯一一次评估。技术创新的速度令人瞠目。 各类规模的企业正将更多数据迁移至云端和移动应用程序。虽然这可能提升效率并降低成本,但您是否希望在收到数据泄露通知前,就知晓服务提供商已发生此类迁移?如今必须实施持续评估与威胁监测,才能更深入地理解第三方供应商对数据构成的不断演变的风险。
4. 第三方风险应纳入您的网络安全计划。
第三方风险管理既是安全职能,也是合规要求。若网络安全计划仅关注内部安全,则可能遗漏50%的风险隐患。大量研究表明,第三方供应商导致的数据泄露风险占比高达40%至80%。要实现全面的网络安全覆盖,必须同时掌握第三方供应商及其供应商(即第四方)带来的风险。
还需注意的是,了解数据在内部和外部的存储位置,有助于您更有效地隔离风险,并明确需要重点关注的领域。
5. 您的首席信息安全官(或同等职位)应直接向董事会报告这些风险。
您必须采取措施,确保您本人、管理团队及董事会能够及时获取决策所需的信息,从而降低数据泄露风险并保护品牌形象。实现这一目标的途径之一,是将安全支出与安全优先事项挂钩——这些事项往往在其他技术计划中处于次要地位。此举还将有助于缓解高管层在支出优先级问题上存在的分歧。
现实情况是,一位成功降低企业安全风险的首席信息安全官(CISO),表面上可能看似效率不高。但深入探究就会发现,他们通过防范第三方数据泄露,正帮助公司避免数千万乃至上亿美元的损失——包括收入流失、罚款以及品牌损害。直接与您的CISO沟通,将有助于您更清晰地理解风险,从而做出决策并合理配置预算。
请谨记,危机时刻往往导致仓促决策,而这些决策长远来看可能引发更多问题。请即刻制定决策,并为管理团队和董事会拟定预案——当企业遭遇难以想象的打击时,你们将采取哪些行动来守护企业与声誉。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
