GlobalSign 博客

审查供应商:如何评估第三方网络风险

许多企业严重依赖外部公司。然而,这些供应商也可能引入网络安全风险,如果他们的系统和政策没有得到适当的审查。
最近备受瞩目的数据泄露事件表明,攻击者经常通过公司供应链或合作伙伴网络中的漏洞获得访问权限。这就是为什么全面评估和监控外部供应商对于管理第三方网络风险至关重要。本文提供了评估潜在供应商以最小化风险暴露的最佳实践。

背景调查

对供应商进行全面的背景调查,可以初步了解供应商的安全跟踪记录和可靠性。对公司名称进行广泛的搜索,以发现过去任何可能引起危险的安全事件、法律问题或不道德行为。

对主要管理人员和网络安全人员进行彻底的检查也很重要,包括犯罪记录、就业历史和资格验证。了解公司是否通过背景调查和雇佣证明对员工进行了适当的筛选。仔细检查供应商的财务报表和资源,以确定他们是否有能力维持有效的安全并长期履行合同义务。

详细的背景调查可以揭示关键信息,如网络人员流动、违反法规、诉讼和财务问题,这些可能表明供应商具有重大的网络风险。

问卷及评估

在评估潜在供应商时,必须让他们填写详细的网络安全问卷或评估。这为他们的安全实践和姿态提供了可见性。维护内部和外部的通信是至关重要的。当企业的任务是管理和验证数字身份,以及自动化、身份验证和加密跨多个平台交换的数据时,尤其如此。这些步骤对于在企业、客户和任何利益相关者之间建立信任至关重要。

关键问题包括:

  • 他们是否有正式的安全政策并定期审查和更新?
  • 他们使用什么技术控制——防火墙、入侵检测、加密、多因素认证等?
  • 是否定义了事件响应、灾难恢复和业务连续性的程序?
  • 他们是否获得了任何认可的安全认证,如ISO 27001或获得了SOC 2审计报告
  • 他们如何筛选自己的员工并限制对敏感数据的访问?
  • 他们提供安全意识培训吗

了解供应商的安全标准、合规性和能力对于确定潜在风险至关重要。如果回复含糊不清或不令人满意,后续跟进是关键。

使用虚拟助手

由于安全团队通常负担过重,利用虚拟助理可以帮助简化供应商审查过程。虚拟助手可以对供应商进行初步研究,通过全面的网络搜索收集有关其能力、声誉和潜在风险的信息。

他们可以协助组织和发送安全调查问卷,跟踪不清楚或不完整的回复。为了审查合同和协议,VAs可以标记出需要引起安全团队注意的领域,比如数据保护条款。VAs还可以通过为需要关注的安全事件或变化创建警报来帮助进行持续监控。

安全团队提供策略和判断,而VAs处理耗时的研究、跟踪和监控任务。这使得安全专业人员可以将有限的时间集中在风险最高的供应商上,同时受益于有能力的虚拟助理的不懈支持。

审核及实地视察

当涉及到供应商的安全姿势时,不要只相信他们的话。通过进行现场审计和检查来验证他们的要求。安排访问以第一手了解供应商如何实施安全控制,如物理访问限制、防火墙配置、员工筛选程序和数据加密。

如果供应商有一个远程办公室,请确保他们遵守建议的隐私和安全问题。如果管理公司数据的责任在于你的业务,请优先考虑问题,包括:

请求内部和外部审计报告,以验证策略遵从性、安全认证的达成情况,以及是否识别了问题。如果供应商处理敏感数据,要求他们获得一份独立的SOC 2审计报告对他们的安全实践。

由合格的专业人员进行的文件翔实的审计提供了适当控制的保证。此外,进行漏洞扫描和渗透测试,以揭示任何可利用的弱点。尽早发现缺陷,而不是在漏洞之后。审核和现场访问对于了解实际的供应商安全是非常宝贵的。

持续监测

供应商审查过程不会在他们进入后结束。为了管理第三方网络风险,对供应商安全的持续监控至关重要。建立定期登记和审查的程序,以验证供应商遵守政策和合同安全要求。

要求供应商每年提交更新的审计和安全认证。定期发送新的网络安全调查问卷并进行现场评估,以检查安全控制是否继续满足要求的标准。监控涉及供应商的数据泄露或违规行为。使用公司名称和域名设置警报,以接收关于潜在事件或负面新闻的通知。

考虑在供应商进行重大技术变革之前要求进行风险评估。变更控制程序应授权安全团队批准。监测财务状况,以发现阻碍履行安全义务的情况。通过主动监控供应商,可以在造成破坏之前解决问题。不要认为在没有监督的情况下,供应商安全评估将无限期地持续下去。勤勉的监控对于管理不断演变的第三方网络风险至关重要。

总之

随着企业通过数字伙伴关系和供应商关系日益紧密地联系在一起,管理第三方网络风险已变得势在必行。公司不能再只专注于内部安全工作;供应商和合作伙伴引入的漏洞为威胁参与者提供了有吸引力的攻击向量。这就是为什么审查和监控外部实体的主动方法至关重要。

通过问卷调查、背景调查和现场审计进行详细的评估,可以了解供应商的安全政策、控制和合规性。审查合同可以确保安全需求得到规范。持续的监控有助于检测入职后出现的问题。虽然至关重要,但供应商的安全管理使已经负担过重的网络安全团队更加紧张。

虚拟助理可以通过处理繁琐但必要的任务,如研究、评估和监控,提供宝贵的支持。通过对供应商的严格审查和最佳实践的监控,公司可以利用外部服务和技术,同时最大限度地减少暴露。风险太大,不能忽视对第三方的评估。一个妥协的供应商提供了一个跳板,以灾难性地损害您的业务。

注:这篇博客文章是由一名客座撰稿人撰写的,目的是为我们的读者提供更广泛的内容。在这篇客座作者文章中所表达的观点仅代表作者本人的观点,并不一定代表GlobalSign的观点。

近期博客