昨晚,我看了一部叫《澳门赌场官方下载》的电影.“虽然这是导致2008年金融市场崩溃的事件的完全戏剧化, 这看起来太好了,不像是小说. It was, 事实上, 不是真正的电影, 但更多的是对事件和警告信号的编目, 如果当时真的有人看见他们, 好到不容忽视. 对于那些还没看过电影的读者, 故事始于房地产市场的繁荣,这是由各种贷方打包的次级贷款造成的, 然后以最具创造性的方式进行抵押和出售:作为合成债务抵押债券(cdo). 简单来说, 这些都是押注于次级抵押贷款支付者偿还贷款的能力. 话虽如此, 这对任何人(银行)来说都应该很容易, 对冲基金, 经验丰富的养老基金投资于这些债务抵押债券),以了解基本证券(或构建模块)是不稳定的, 而且随时都可能像纸牌屋一样倒塌. 令人惊讶的是,这些精明的投资者中很少有人看到了不祥之兆.
有趣的是,这些cdo被打包,并以一种创造性的方式与其他AAA级证券混在一起,就连领先的评级机构也给了它们AAA的评级, 或者是投资级评级. 电影中的一段对话总结了这一点, 评级机构的主管会说"嗯, 如果我们不给这些垃圾债券AAA评级的话, 他们会为了这个评级去别的地方.真正令人吃惊的是,主要的投资银行和对冲基金竟然把这句话奉为真理, 没有真正深入到细节. 这该怪谁,除了他们自己?
当然,随着2008年金融市场的巨大崩溃,这个故事的结局很糟糕. 在一天结束的时候, 不可避免地, 一些小投资者和房主失去了一切——这是一场悲剧,起因于这些考虑不周的赌博.
那么, 《澳门赌场官方下载》与当今世界有什么关系, 尤其是第三方风险和安全?
想想看. 巨大的金融市场相互联系类似于今天的技术联系. 随着一些组织向云迁移, 以及对网络连接的巨大依赖, 今天,数据正以前所未有的速度在各个组织之间流动, 就像当时的金钱一样. 公司现在依赖于庞大的服务提供商——他们使用的应用程序的SaaS提供商, PaaS用于组件,LaaS用于基础设施. 在堆栈的每一层, 您的公司数据由来自组织内外的众多参与者处理. 因为链条上有很多环节, 每一个都更容易受到攻击, 然而安全是最重要的, 监管处罚可能是巨大的.
公平地说, 公司拥有一系列工具来确保其数据受到保护:审计权, 合同条款, 风险评估和最终的ISO/SOC2报告. 虽然ISO 27001认证提供了一定程度的保证, SOC2报告 允许更详细地分析由第三方操作的控制. 两者都非常有用,但只有理解得好.
问题在哪里. 客户是否应该仅仅依赖第三方机构审核员的无保留意见, 或者深入研究SOC2报告,得出它自己对控制环境的分析, 更重要的是, 它自己在补充用户实体控制下的义务?
细节可能决定成败. 就像投资者可能只看AAA评级的表面价值,并在合成cdo上投资数十亿美元一样, 如果用户组织只看报告的表面价值, 这样做可能会有风险,因为表面之下还有很多东西需要挖掘. 需要查看第三方环境的描述,以了解是否确实涵盖了需要在范围内的每个元素. 安全审计报告是否涵盖了所有需要的环境, 或者重要的领域已经被开辟出来了, 重要的是, 测试过程中注意到的任何异常? 它们是否足够重要,需要进行额外的风险评估, 甚至是对第三方供应商的全面审计? 最终,在当今世界,底层数据的安全性是最重要的?
当然,用户组织需要深入的程度是有限的. 取决于供应商的重要性和它所处理的数据, 应该更容易决定什么时候略过表面, 依赖于良好的SOC2/ISO报告, 然后继续, 而不是什么时候走得更深. 最后, 这一切都归结为最基本的:“了解你的供应商, 仔细评估风险, 并将他们的报告作为有用的基准,而不是圣经.“明智地使用它们, 就像一个人在投资金融工具时应该尽职尽责一样. 正如“过去的表现不能保证未来的增长”是投资的口头禅一样, “最薄弱环节决定安全”是第三方风险管理链条上的终极真理.
作者附言: 本博客所表达的所有观点纯属个人观点,与任何组织无关, 或被解释为作者可能与之相关的任何组织的观点. 作者和她的博客文章与“大空头”无关,或任何其他商业生产. 作者没有从这篇博客文章中获得任何经济利益.
