1 Min. Read

最大限度地减少第三方安全漏洞的 3 个步骤

Guy Flechter Guy Flechter Jun 03, 2019

没有组织存在于真空中。尽管我们认为已采取的内部安全措施足以保障我们的安全,但事实是,内部安全只是安全难题中的一部分。每个组织都依赖于其他组织,无论是电子邮件供应商、服务器农场或者为您提供周五午餐的餐厅。如果您的安全工作没有扩展到您所依赖的其他组织和服务,那么您就遇到大麻烦了。

在过去的十年里,许多组织受到了无法预见的供应链漏洞和违规行为的冲击。因为供应商的漏洞,一些巨头公司也深受其害。

就像组织安全中的任何其他环节一样,供应商安全问题必须解决。如果您不打算在第三方安全上提高警惕,那还不如夜晚不锁门,或者把每个密码都设为 1234567。而投资于内部安全却忽略安全漏洞,就像您锁上了前门,却开着一扇窗户。漏洞就是漏洞,第三方供应商可能是一个重要的因素。

和其他公司一样,AppsFlyer 并不是存在于真空中。AppsFlyer 的产品具有第三方的对接,我们雇用多个供应商以提供横跨多个部门的內部服务。在许多方面,供应商安全管理在 AppsFlyer 的整体安全定位中发挥着至关重要的作用,因此需要我们的安全团队给予适当的关注。

在本文中,我将介绍在与新的第三方供应商签订合同之前应采取的步骤和措施。
从安全角度来看,您需要采取 3 个步骤

1. 风险评估
2. 优先级、自动化和透明度
3. 持续监控

让我们开始吧。

 

前言:所有的第三方都是平等的吗?

并不是。

不同供应商,有不同的风险。供应周五午餐的餐厅所构成的安全风险,与维护电子邮件系统的公司不同。

有限的安全资源下,了解将精力投入何处至关重要。在考虑新的第三方服务时,了解哪些供应商需要更深入地审查是关键的第一步。这个过程叫做风险评估。随着组织规模的扩大以及资源变得更加有限,风险评估将帮助您确定安全工作的方向和方式,且无需不耗尽资源。

 

1. 风险评估

风险评估是任何信息安全项目的关键要素。确定可能源于对第三方的依赖所产生的潜在风险,这是任何组织的风险评估计划的一部分。

若要进行彻底的风险评估,您需要解决以下几个主要问题:

  1. 供应商是否可以访问敏感信息?
  2. 供应商将需要解决什么问题?
  3. 公司已有类似的东西了吗?

我无法为您提供解答这些问题的流程图,也无法提供计算标尺。每个公司的具体基础设施和需求奠定了风险评估的基础。风险评估流程最终将为您节省一些时间和精力,并且问题将变得更容易解答。
一旦您确定了这 4 个问题的答案,就可以帮助您做出决定,并进行优先排序。

您的安全要求应在您与供应商签订的法律合同中作出规定。将您的需求以同一种格式集中起来,有助于加快供应商安全评估过程。

在我的职业生涯中,我见过许多供应商试图虚张声势,以便在供应商安全问卷上获得满意的答案。您需要确保与在场的安全团队进行讨论,以确定需要提出的直接问题,并进行公开、专业的讨论。

最后,如果供应商坚决拒绝同意某些条款或要求,这可能是一个有用的信号,表明他们对安全性的总体承诺水平,以及需要进一步挖掘的风险领域。

2. 确定决策的优先级、自动化流程以及提供可见性

流程减慢,关闭大门,对安全流程保密,这些都不是正确的做法。

确定决策的优先级 – AppsFlyer 的安全方法极具敏捷性,随着我们的不断扩展,它已经证明了自己有用。通过与各部门保持不断的联系,我们可以在不减慢流程的情况下解决安全问题(或者,至少尽最大努力不成为瓶颈)。“大门”需要一直开着,随时都有人值班。

当然,这并不意味着我们放弃所有流程,但如果我们确定某个供应商的风险非常有限,我们认为没有理由进行额外的安全检查。 

自动化流程 – 尽量让该流程自动化。这可能意味着购买有助于管理风险评估流程以及供应商关系的软件(只需记住首先对软件供应商进行审查,你懂的)。这将允许您的团队进行扩展,并将减少不同团队之间的摩擦,从等待到安全团队需要提供的答案。

提供可见性– 确保背后的流程和推理清晰明了;不仅对安全团队,而且对要求雇用供应商的员工或团队,以及供应商本身,都是如此。确保所有相关人员都了解请求的状态,以及存在哪些差距或问题(如有)。

 

3. 持续监控

安全是流动的。它从不静止。持续不断的监控对公司的安全健康至关重要。组织不断在发展;他们被收购,并将数据转移到另一家公司,改变自己的标准,或搬迁总部。例如,如果与您合作的供应商被收购,那么审查过程必须从头开始;您实际上是在评估一个全新的供应商。停滞则后退。请确保您不断重新评估已经雇用的供应商。

 

使安全成为组织基因的一部分

当涉及到组织的安全工作时,第三方风险只是诸多因素的其中一个。在创新和增长的每一个阶段都把安全放在首位,这意味着在降低风险方面,您始终领先一步。

管理第三方风险,别让风险管理你。

 

我们的首席执行官 Oren Kaniel 对第三方风险进行了讨论,这是关键任务营销平台的四大支柱要素之一。