确保访问系统和/或信息的第三方不会对业务构成风险是大多数组织的主要痛苦, 但有一些方法可以评估供应商提供的网络安全水平. 根据经济合作与发展组织(OECD), “严重的信息不对称往往会阻碍最终用户, 特别是主流用户,如中小澳门赌场官方下载和消费者, 对他们购买的产品做出明智的决定."1 这是道德风险的一个明显例子,道德风险是美国《澳门赌场官方软件》和《澳门赌场官方软件》定义的一种经济现象 《澳门赌场官方软件》 专栏作家保罗·克鲁格曼在2008年将其描述为“一个人决定承担多大风险的任何情况。, 而如果事情变得糟糕,其他人会承担成本."2 在我看来,这就是第三方服务的许多用户所遇到的情况. 他们无法对风险做出明智的决定,因为尽管他们知道风险的潜在影响, 如果没有有关服务提供者已实现的安全控制的信息,他们就无法确定风险是否会实现.
第三方服务的用户……无法对风险做出明智的决定,因为尽管他们知道风险的潜在影响, 他们无法确定风险是否会实现.
So, 如果你想在处理第三方服务时做出更好的风险决策, 他们必须解决经合组织认为是问题根源的信息不对称. 解决这个问题的最好办法是透明度, 特别是关于唯一缺失的信息:服务提供者已经实现了哪些安全控制.
有5种机制可以帮助解决这个问题:
- 调查问卷-很容易发送,但很难掌握. 它们需要大量的行政工作,而且收集到的信息可能不太可靠.g.、标准化信息收集(SIG)问卷
- 审计-提供高度准确的安全态势评估,但实施起来可能代价高昂. 另外, 为不同的客户重用结果可能会带来挑战, 由于审计报告包括审计人员对控制目标是否符合的意见,但通常遗漏了有关控制定义的非常详细的信息.g.,系统和组织控制[SOC] 2报告). 这就要求客户仔细阅读报告,并分析所有结论,以彻底了解服务提供商的网络安全程度. 另一个重要的细节是,因为报告是指一个特定的时期, 客户必须实现某种机制,以确保报告的结论是最新的.
- 认证-包括简化服务提供者沟通的标签. 然而, 验证需求是特定于某些用例的, 这意味着所验证的内容可能与客户相关,也可能与客户无关.e., 需求可能比需要的更先进或更先进, 由于安全级别与事件可能对客户造成的风险或影响级别相关.g., 支付卡行业数据安全标准[PCI-DSS], 国际标准化组织/国际电工委员会[ISO/IEC] 27001. 另一个需要考虑的因素是认证和保证框架的范围.g.(管理体系认证与产品认证框架有很大不同).
- 外部评级-易于实施,因为客户只需付费即可了解其服务提供商的评级. 主要的问题是收集的信息是不完整的,因为只有某些问题可以在没有供应商授权的情况下观察到, 因此, 所提供的结论是有偏见的. 通常, a number between 0 and 1000 is used to assess a vendor’s security posture; this rating is periodically updated automatically (i.e., 连续), 因此,客户既可以观察到当前评级,也可以观察到自上次评级以来该评级的演变情况.
- 提高评级-与外部相似, 或者不断更新, 对供应商提供的每项服务的网络安全能力进行评级和评估, 每个服务提供1个评级.3 提供程序可以使用一个标签来显示已经实现了哪些安全控制. 改进评级与外部评级之间的另一个区别是,用于计算评级的标准是公开和透明的. 这些评级通常根据类别(如.g., A+, A, B)而不是数字(e).g.Pinakes).
有关第三方服务提供商的安全级别的更多信息, 考虑提高评级. 这些评级提供了更高水平的透明度和全面的网络安全评估, 并不断更新, 允许客户清楚地了解其供应商实现的安全控制.
尾注
1 经济合作与发展组织(经合发组织), 了解产品的数字安全:深入分析, OECD出版社,法国,2021年
2 克鲁格曼,P.; 萧条经济的回归与2008年危机, W.W. 诺顿 & 公司,美国,2008
3 民事法庭的安全, Pinakes审计和认证
安东尼奥·拉莫斯
创始人兼首席执行官(CEO)是 民事法庭安全, 网络安全评级机构, 自2010年起担任ISACA马德里(西班牙)分会董事会成员. 他也是西班牙国家网络安全论坛和利益相关者网络安全认证小组(SCCG)的成员, 评估欧盟委员会对《澳门赌场官方软件》的实施情况.