第三方网络违规风险设定为上升
当许多企业采用新技术采用新技术来增加效率而没有必要的技能来增加第三方供应商的风险,而不需要评估和管理风险,警告行业专家。
“随着组织部署新技术,他们正在外包更多地弥补物品互联网和人工智能等内容中的内部技能,”研究公司,研究公司的高级分析师德国·罗杰,“奥文高级分析师”。
“随着外包的这种快速扩张,依赖第三方供应商的风险越来越大,”他曾在采用敏捷,业务驱动的风险的风险举办的历史终端举办的伦敦举办的风险。
由于数字转型,企业越来越依赖于后端的一系列服务,所有这些服务都潜在地引入了网络安全漏洞,欧洲FieldChif技术官员RSA安全性。
她说,这是数字转型正在引入复杂性和风险的方式之一,该组织需要了解和减轻,特别是在欧盟一般数据保护条例(GDPR)面前增加了数据控制器的责任。
“如果数据控制器将云公民的个人数据放在云中,并且云提供商遭受违约作为数据处理程序,则数据控制器也可以承担责任,因此在GDPR中,第三方风险是组织真正需要的东西专注于,“诺克尔斯说。
与GDPR的另一个关键差异是数据控制器 - 类似云服务提供商 - 现在可以通过Data Protection Regulators,Sannantony Lee,Law Comple Dmh Stallard的合作伙伴直接批准。“虽然许多组织专注于GDPR下的大量罚款,但许多人的风险更大是监管机构可以停止数据处理,这将有效地停止任何组织依赖于该处理的组织业务,”他说。
Banco Sabadell的数据官员曾哈维尔·桑切斯 - 乌雷特(Banco Sabadell)表示,在银行和金融部门,与其他高度监管的部门一样,供应商风险是一个重要的重点领域。
虽然某些领域被认为是过于冒险或对外包的敏感,但在其他领域使用的第三方供应商仔细评估了14个潜在的风险领域,并且在所有外包合同中都包含严格的规则,以管理与供应商的关系。
关键领域包括供应商的安全跟踪记录,他们识别和响应数据漏洞的能力,该银行将通过执行独立支票来验证。“在我们发现差距的地方,我们将与供应商合作,帮助他们改进,”桑切斯 - 乌雷塔说。
知识人员建议的组织在事件违规境内进行所有练习,需要涉及所有第三方。“通过这样做,供应商知道如果他们遭受违规行为,并且数据控制器知道他们或其中一个供应商被违反,那么,她说,这增加了这一点,这还提供了检查是否有机会检查安全姿势处于同一级别,对于数据控制器,帮助供应商在需要时变得更加对齐并共享最佳实践。
评论第三方合同,李说,他们变得越来越复杂。“有时你会有坐在他们身后的子承包商的主要承包商,或者在一些供应商进入特定客户之间有很多相互依赖性,但它们不一定在分包商供应链中,甚至有进一步的复杂性如果涉及欧盟公民的个人数据,则添加了GDPR,“他说。
从令人毛骨道,风险和控制(GRC)的角度来看,Orgnisations需要确保他们扩展他们的GRC流程,以便他们被设计成覆盖所有企业活动,无论何处都是价值的信息,Aref Meeuwisse,Author和GRC专家。
“企业需要确定他们的价值信息并考虑它在哪里旅行,因为这定义了他们需要有效的控制,安全和GRC的地方,但是补充说,超越组织以外扩展GRC是必不可少的。
他说,GRC进程在网络周边结束,因此组织依靠采购合同,信任,这是“不是一种非常有效”的方法。
另一个常见问题是企业未能投资GRC评估,以获得低成本或无成本的云服务提供商,但通常这些供应商通常代表最大的风险,因为它们不太可能投资安全检查和平衡越来越成熟,更高的提供者。
“确保所有GRC要求都包含在合同中的一开始,但如果经常是事后的情况,并且组织发现他们必须在安全差距开始出现时必须重新谈判合同,”Meeuwisse说。“
李说,云合同汇总的方式往往缺乏成熟,特别是由较小的提供商。
“云服务的消费者需要注意允许服务终止服务的条款,例如,或者说条款和条件可以在通知或供应商对其的数据不承担任何责任处理“他说,”他说,增加了越来越成熟的云服务提供商开始介绍符合监管要求的条款,包括GDPR。
对于GDPR的具体提及,小组表示,与第三方合作的组织应确保有文件证据表明他们已经向他们的供应商提供了困难,因为如果该供应商遭到破坏,则数据保护当局可能是一个在数据控制器完成适当的尽职调查的情况下,更宽度。
此外,李说,组织可以通过首先考虑他们有权分享他们计划与第三方纳入云的数据的权利,减少云服务的风险,如果供应商可以证明他们有足够的技术根据GDPR第28条的要求,以及合同是否用于保护数据的组织措施,以及合同是否通过云提供商的设施提供数据控制器审计权。
“也必须是一个条款,说云提供商将在合同结束时返回或删除数据,”他说,添加数据控制器应考虑添加一个条款,允许他们随时将其数据返回。并给他们送人来检索它的权利。
如果云服务提供商正在窃听Azure或Amazon Web服务生态系统,则Lee表示组织需要确保所有合同条款流下来。
突出了GDPR符合云安全的责任模型的事实,MeeuWisse表示,最多产的问题之一是错误的配置云实现。“通常,云服务的消费者未能激活所有必要和可用的安全选项,使自己暴露于不必要的风险,”他说。
云消费者需要了解的另一个领域,即使云提供商有良好的政策和程序文件,它们也不一定应用它们,如果云提供商有认证likessae 16,它们可能不是云供应商的整个基础设施,它们可能不会经常经常审核。“消费者需要坚持他们注册专门覆盖,因为云供应商为每位客户做些什么可能会有所不同,”他说。
MeeuWisse建议该组织在开始时确保他们能够识别谁负责保护其数据。“它可以是一个完整的噩梦,识别谁负责,当数据中心由一家公司拥有时,服务员由另一家公司拥有,由第三家公司运营,合同与第四届党关,”他说。
“GDPR需要大量的业务流程重新设计,但很少有组织有资源做到这一点,大多数人正试图将其作为资源不足的项目或正在估计他们所做的幅度,”Meeuwisse说。
虽然GDPR周围的大部分注意力集中在潜在的罚款上,但是诺尔斯表示,大多数组织与她的观点斗争,呈现出一个最大的风险之一。
“GDPR中的大型游戏变更者通过获得此目的同意,一直在收集数据的过程中,确保仅为该目的进行处理,提供数据擦除和修正机制,以违反通知,”她说。“所有这些事情都代表了组织必须确保他们拥有合适的流程和政策的潜在风险和流程工作。
训练是潜在风险的另一个重要领域,通常需要更多地关注。“处理人员的人们要了解他们所需的政策,并且未能这样做的潜在后果,”她说。