第三方风险管理的新挑战与应对
关键要点
ESAF 会议是信息安全高管的专属讨论平台。传统的第三方风险管理方法效果不佳,需要变革。风险上升时,CISO们需要采取新策略来保护公司安全。报告分享了多家财富1000强企业的最佳实践。ESAF执行安全行动论坛会议是一个专为信息安全和风险高管而设的机密讨论平台,只限受邀的资深人员参加。今年,ESAF 正在庆祝其20周年纪念日,借此机会通过一系列报告分享行业内的经验与见解,旨在帮助更多组织改善网络风险管理。
以下是来自 RSAC ESAF 最新报告的摘录,内容涉及如何应对第三方风险管理的挑战:
在 ESAF 的 CISO 社区中,大家一致认为传统的第三方风险管理在信息安全领域中已经不再有效。传统方法主要依靠自我评估问卷和网络安全评级,无法准确反映第三方风险,也无法减少业务风险。
面对攻击者日益针对第三方的行为,变革的需求愈加紧迫。根据近期的调查显示,87 的财富1000强企业在过去12个月内曾遭受过第三方的重大网络安全事件。
第三方事件可能对企业的底线造成巨大影响。如果供应商或业务伙伴遭遇网络攻击,可能会打乱公司的运营,甚至暴露客户数据或知识产权。攻击者也可能利用第三方的访问权限侵入公司的网络。
尽管第三方风险管理亟需改革,但解决这一问题似乎面临着巨大的挑战。传统方法已经成为普遍的行业标准,因此企业受到压力仍然使用这些看来无效的方法。
海鸥加速器永久免费在风险加剧的背景下,ESAF 社区内的 CISO们正在采取大胆的新策略。这些措施包括建立优先级安全要求、设置控制实施的最后期限、在合同中增加约束、帮助第三方获取安全技术和服务、增强业务领导者的参与角色,和提升对第三方事件的韧性。
本报告涵盖了六家各行业财富1000强公司的创新举措,行业包括国防、医疗、保险、制造和技术。报告分享了他们的经验,希望其他企业能够借鉴这些想法,加速自身的努力。该报告也探讨了行业合作、技术和安全供应商以及政府在系统性变化中的作用。
要下载完整报告,请访问RSAC ESAF 官方网站。
如需订阅 RSA Conference 的邮件以获取此类报告,请访问wwwrsaconferencecom/signup。
