热搜:第三方给供应链带来重大风险
制造商必须消除第三方风险管理的盲点,以保护其组织。
本文的大多数读者都拥有至少一个系统,或者更可能有多个系统来管理其供应链。鉴于需要访问各种应用程序和基本数据的第三方非雇员(例如,承包商,合作伙伴和“物”)的数量不断增加,管理所有这些系统变得越来越复杂。
再加上工业4.0时代制造业的数字化,给安全性带来了巨大的风险。如果不对第三方访问进行适当的管理和洞察力,则可能存在IP丢失的威胁,包括正在制造的产品上的商业秘密;敏感的客户数据暴露;甚至安全隐患都是非常真实的。
第三方安全的缺点和挑战
制造组织在向组织外部的合作伙伴和承包商提供访问权限时会考虑第三方的风险;但是,他们仍然缺乏适当的治理来管理,衡量和减轻这些非雇员身份造成的潜在威胁。实际上,数据显示所有数据泄露事件中有59%可以追溯到第三方,只有16%的组织表示他们可以有效地减轻第三方风险。
如今,风险管理团队通常通过评估对标准化信息收集(SIG)问卷的回答来评估第三方的风险控制。不幸的是,这些基于SIG答案的供应商安全评估可能使组织对供应商的实际安全状况缺乏信心。
此外,通常对员工而言自动化的入职流程对于第三方用户而言通常是高度手动的。这些手动过程耗时,昂贵,难以审核,最重要的是容易出错,从而扩大了与第三方用户相关的额外风险的可能性。
另一个风险领域是第三方身份风险管理的所有权重叠。首席风险官(CRO)或首席信息安全官(CISO)通常负责识别,监视和缓解内部和外部风险。在实践中,第三方身份通常通过临时流程进行松散管理,有时涉及电子表格,数据库和工具的集合。许多CRO / CISO与管理能力不强的其他跨职能团队和利益相关者共同承担管理这些身份的负担,例如:
人力资源:集中并专注于管理全职员工
采购:专注于合同管理
IT:专注于管理技术资产和对这些资产的访问
结果,无法集中查看组织与第三方用户之间的关系,也没有围绕关键生命周期流程(尤其是及时终止)的自动化流程。
最小化第三方风险
随着制造组织越来越多地向越来越多的第三方用户授予对设施,数据和系统的访问权,并在多个部门中管理这些用户,必须证明这些第三方实际上是他们声称的目标用户是。为了帮助减轻第三方可能在其供应链中出现的风险,制造商必须提高其第三方风险管理工作的粒度,透明度,一致性和敏捷性。特别是,制造商不能忽视与授予第三方访问设施有关的安全和IP保护问题。
以下是一些要采取的步骤:
了解您的内部人:根据2018年Ponemon研究所的供应链研究,大多数组织不知道自己的第三方用户的确切数量,只有三分之一的组织列出了与他们共享敏感信息的所有第三方的列表。
审核具有访问权限的人员:制造商应定期进行全面的用户审核,以确保用户具有基于最小特权的访问权限,这意味着在特定时间点对适当资源的适当特权。搜索并删除孤立帐户也很重要。
进行风险评级和适当地调整特权:尽管您可能已经仔细审查了货运组织,但货运组织的每位员工都有各自的个人风险,因此不应自动获得访问权限。随着风险因素,个人特征和访问需求的发展,风险评级应该是一个连续的过程。
此外,特定于身份证明的功能可以进一步验证和认证访问公司数据的个人或事物。先进的解决方案可以使IGA,PAM和其他访问管理解决方案信任身份并填补多因素身份验证和其他逐步身份验证方法中的现有空白。
根据Ponemon Institute的一项研究,所有数据泄露中的一半以上可以追溯到第三方。如果没有适当的第三方用户身份访问和管理程序,则整个供应链都容易受到攻击。借助适当的身份证明做法和功能,制造商可以轻松且经济高效地验证其用户的身份,支持风险管理计划并更好地保护关键资产。
