搜罗天下

当前位置/ 首页/ 新闻频道/搜罗天下/ 正文

金融集团强调供应商的网络安全风险

尽管网络攻击者越来越多地将第三方供应商作为访问其客户的一种方式,但大多数公司并未评估其合作伙伴和软件供应商的安全准备情况。一个由10家金融公司组成的小组旨在通过发布准则为企业提供指导,以评估其第三方供应商带来的风险的最佳方法,以弥补这种监督不足。Aetna,Capital One,花旗银行,摩根士丹利和Thomson Reuters的安全经理组成了第三方软件安全工作组,该组是金融服务信息共享和分析中心(FS-ISAC)的一部分,并于上个月发布了该指南。

Aetna首席信息安全官Jim Routh对eWEEK表示,尽管对第三方供应商的安全性评估是各种合规性制度的共同要求,但这些评估通常可以归结为自我评估问卷,并且仅每年完成一次。

劳斯说:“为评估第三方而建立的控制措施并没有真正反映出攻击面的变化,而且不够全面,无法跟上安全实践的发展。

供应商是公司安全隐患的真正来源,但通常被企业所忽视。安全服务公司Trustwave在其2013年《全球安全报告》中发现,有63%的受感染公司已将其信息技术业务的很大一部分外包。

该公司的报告说:“外包可以帮助企业获得有效的,成本友好的IT服务。” “但是,企业需要了解供应商可能会引入的风险,并积极努力降低这种风险。”

相对而言,很少有公司与合作伙伴和供应商积极合作以降低安全风险。根据普华永道(PricewaterhouseCoopers)发布的《 2013年美国网络犯罪状况调查》,目前只有22%的公司与第三方供应商合作进行事件响应计划,而只有20%的被调查公司每年对其供应商的安全性进行一次以上评估。

工作组的准则建议公司使用称为成熟度构建安全模型(BSIMM)的过程来评估其供应商的软件和产品开发工作的成熟度。公司还应该使用静态分析评估软件的缺陷和漏洞。最后,该组建议,公司应评估其对开源软件库和框架的使用。

劳斯说,要让公司采用第三方风险评估并不容易。

他说:“我没有任何幻想:金融业已尝试以多种不同方式在第三方治理中进行一致的应用程序控制。” “这是一种立竿见影的方式,说:'这些是当今的最佳实践,您应该将其应用于未来。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。