首页。 / 资源 / 新闻及趋势 / 澳门赌场官方软件 / 2022 / 网络安全和第三方供应商风险

网络安全和第三方供应商风险

纳西尔·阿里
作者: 纳西尔·阿里, CA, CFE
发表日期: 2022年4月1日

随着第四次工业革命(4IR)的到来,当今的澳门赌场官方下载正以前所未有的速度采用新技术。. 这种技术的采用是由追求效率等因素驱动的, 技术进步, 劳动力短缺, 风险缓解工作和, 可以说是近代历史上最具影响力的因素, COVID-19大流行. 大流行导致向远程工作过渡, 在与病毒缓解相关的限制到位的情况下,哪些因素有助于组织继续运营. 虽然技术提供了很大的帮助, 启用远程工作安排,以确保业务的连续性, 它也带来了网络攻击和恶意网络活动的增加.1

网络威胁给业务运营和系统带来风险, 无论是内部管理还是外包给第三方供应商. 网络犯罪分子受到任何中断的鼓励,而组织则被迫重新审视他们对某些流程的风险态度,以确保或恢复顺畅的工作流程. 不仅澳门赌场官方下载使用的系统处于危险之中, 还有第三方供应商使用的. 对于依赖第三方支持和能力的组织来说,这一点尤为重要.

澳门赌场官方下载不仅要评估自己的安全环境, 还要了解第三方供应商的安全环境. 第三方必须证明,他们的治理和网络安全状态与与他们合作支持系统的组织是平等的,并且是和谐的,而不会引入网络犯罪分子利用的弱点. 澳门赌场官方下载必须将第三方供应商的环境视为自身环境的延伸,以确保安全. 这是任何澳门赌场官方下载基础设施和配套的第三方供应商的两个主要任务, 因为双方的目标可能不会像人们预期的那样顺利地协调一致.

澳门赌场官方下载不仅要评估自己的安全环境, 还要了解第三方供应商的安全环境.

最近一个与向客户及其网络提供支持服务有关的风险的例子是广为人知的SolarWinds网络攻击, 以被攻击的美国公司命名.2 SolarWinds开发软件来帮助澳门赌场官方下载管理他们的网络. 美国政府使用了由SolarWinds开发的软件,攻击者能够在标准软件更新期间发送隐藏的特洛伊木马代码. 这使得黑客可以渗透到客户澳门赌场官方下载网络中的其他连接程序中,并泄露机密信息. SolarWinds的攻击是供应商网络攻击的一个值得注意的例子,也是攻击第三方供应商及其对其他客户的潜在影响的一个例子. 它还表明了与第三方供应商合作制定和实现安全标准以有效降低风险的重要性. 澳门赌场官方下载必须确保他们的团队得到了适当的培训,并且他们获得了与第三方供应商合作的必要能力和工具.

SolarWinds的例子突出了网络空间的互联性和部门合作的必要性, 在国家和全球生态系统层面发展有效的网络防御. 澳门赌场官方下载的安全不仅仅依赖于自己的员工, 供应商, 和承包商, 但它也依赖于其所在地区和更广泛的全球经济中的其他组织. 澳门赌场官方下载可能会耗尽其资源来应对保护其系统的挑战, 但要确保网络空间的其他用户享有类似的安全,就需要建立全球安全防御机制, 这意味着与其他合作伙伴甚至竞争对手进行开放的沟通.

降低风险, 澳门赌场官方下载需要对其业务进行现实的检查,以确定可能受到攻击的手段. 组织的风险缓解战略必须考虑到以下不断变化的因素:

  • 攻击者和他们用来了解组织风险管理方法的策略
  • 当前和理想的安全环境
  • 任何引入澳门赌场官方下载的新业务
  • 澳门赌场官方下载可以扩展的新市场
  • 市场上出现了新的竞争者

加强网络防御, 适当地确定防御措施是至关重要的, 还有国防政策和程序. 澳门赌场官方下载必须有效和公开地沟通其防御措施,并确保他们了解第三方供应商和供应商的网络防御, 因此, 确保组织内有效的网络安全. 对网络安全采取透明和强硬态度的关键是组织和第三方供应商共同努力.

在与第三方供应商合作时,有许多建议可以帮助降低网络安全风险:

  • 确保要求第三方满足澳门赌场官方下载网络安全标准,并对任何分包商实施相同的标准.
  • 确保定期测试(例如.g.(渗透测试)或定期进行测试技术系统的演习.
  • Ensure that access controls are such that a user’s access is dependent on their need to do their job based on their roles; no other access is given to them and there is widespread use of zero trust in the enterprise.
  • 为所有高级访问实现澳门赌场官方下载范围内的多因素身份验证(MFA).
  • 实施系统以检测可能的安全威胁,并在检测到时通知适当的联系人.
  • 研究和准备第三方供应链攻击场景.
  • 通过强制性安全培训和认证机会为团队成员做好准备.
  • 在第三方合同中指定安全要求(例如.g., 服务水平协议, 升级协议),并与采购部门合作,将这些要素整合到任何供应商合同中.
  • 确保小型供应商的网络安全期望在安全和有效利用可用资源之间取得平衡.
  • 确保发现任何问题, 它们是正确的, 适当通知客户,并遵循风险降低程序.

结论

对于大多数组织来说,网络风险是不可避免的,必须加以缓解. 虽然澳门赌场官方下载更容易确保自己的系统是安全的,任何风险因素都得到了很好的缓解, 他们可能并不总是意识到第三方供应商系统面临的网络安全风险. 这使得第三方供应商的风险难以减轻,但并非不可能. 秘诀在于确保组织及其供应商拥有适当的风险管理系统和流程,并确保各方之间的沟通清晰透明. 只要澳门赌场官方下载在其风险登记册上有网络安全风险的这一特定方面, 没有理由不能有效地减轻网络风险.

尾注

1 德勤,”加速数字化使澳门赌场官方下载容易受到网络攻击” 
2 国家网络安全中心,”NCSC关于太阳风妥协的声明英国,2020年12月21日

纳西尔·阿里, CA, CFE

是否有独立顾问与组织密切合作,进行网络安全评估,并就如何确保降低风险向董事会提供建议. 他是英格兰和威尔士特许会计师协会(ICAEW)的资深澳门赌场官方软件,拥有与四大会计师事务所合作的国际经验. 阿里还是苏格兰特许会计师协会财务报告小组的成员.