供应商安全管理自动化平台解决方案实践浅析|大湾区金融安全专刊·安全村
2024-12-3 08:45:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

一、供应商安全背景

在现代商业环境下,随着数字化应用技术的广泛应用,使得整个环境中的个体已经形成了密不可分的业务网络,数据链接、信息互通已是司空见管,且是组织生存密不可分的组成部分,现代业务活动,尤其是现代金融活动,更是依据业务需求,上下游汇聚着一众合作伙伴和供应商,如金融函件配送、电话中心外包、制卡与单据打印等业务,更是使得金融相关信息的流动场景复杂多变。随着数字化产业的高速发展,云计算、SAAS、开发外包、业务外包日益盛行,大量的内外系统对接,业务上下游关系,使得整个合作网络和供应链更是显得庞大和诡谲,同时也带来了安全管理上的巨大挑战。

复杂多元,庞大诡谲的合作伙伴和供应商信息网络引入了一系列的信息安全问题,如数据安全问题,数据资产的可复制特点带来了比起传统资产如现金、贵金属面临的不一样的风险问题,即难以核实和查证数据的流动轨迹和泄露渠道;供应商的安全漏洞问题也是导致了信息系统的整体防护难度越来越大。今年来针对供应链供应商的安全攻击事件也是呈快速增长的态势,造成的危害也越来越严重,供应商的风险会往上下游进行风险扩散,带来快速的风险传导情况,威胁合作组织的安全情况。

在金融监管方面,近年的一系列监管法律法规要求,如《网络安全审查办法》、《信息科技外包风险监管办法》、《第三方合作中网络和数据安全管理的通知》等要求,均是明确对金融机构服务提供商的安全保障能力提出了明确的要求,要求对于供应商管理做到设定风险主管、审慎准入、权责清晰、制衡充分。因此,深入研究和落实一套有效的供应商安全管理方案,已经是迫在眉睫。

二、供应商风险事件情况

近期的一些来自供应商的风险事件:

从国际范围来看,2016年 Gartner 报告 <The State of Digital Third-Party Risk 2016 Report>指出: 59%的信息泄露是由于第三方供应商导致的,全球财富500强中75%的企业将供应商风险提升至董事会层面。当出现高度曝光的数据泄露事件时,往往伴随的是相应上市企业股价的断崖式下跌及重大声誉危机。如今在国内相关信息安全风险已成为企业董事和高管最大监督挑战之一,在网络安全法、数据安全法明确定义了安全责任一把手制的监管要求之后,供应商风险或者说广义的信息安全风险甚至已经成为他们的个人风险。

以上都表明,供应链信息安全问题再次增加了信息安全治理的广度和难度。

三、安全管理现状

然而回到供应商安全管理的现状情况,我们可以发现普遍上,即使组织的内部审计做得很好,但是在面向供应商的时候,由于管辖权限和材料跨组织获取的情况下,安全风险评估普遍是处于一个缺位的状态,依赖于合同上寥寥的安全责任和权利约定,但是在事件发生之后,责任的取证划分,往往使得合同约定更沦为一个心理安慰式、法务合规式的“君子协定”,是否执行,执行是否充分深入,取决于供应商是否够“君子”。

供应商的引入过程其实需要去平衡业务收益和潜在风险,在这潜在风险之中,业务、财务等风险往往是评估到位的,但是信息风险属于近十年以来随着数字化的发展而逐渐壮大的新式风险,往往在现在的供应商引入评审中还是缺位和不够详尽的现状。比如在营销短信、CPS/CPA广告这样的业务供应商合作中,合作引入中对于业务运营指标提升方面的业务目标,风险会评估得相当详尽,投入与汇报,风险与收益都有充分的认知甚至尽调,但是在此类业务可能涉及的数据隐私泄露、数据滥用风险,往往就会被忽视,或者即使能被识别出来,也陷入了不知如何进行风险评估的境地。

四、风险评估要点与挑战

结合长期以来对于供应商安全管理的关注,我们总结出来以下四点供应商风险评估的主要挑战:

1、供应商现状了解不足

在供应商准入或者投标环节上,我们往往能看到供应商提供的ISO27001、等级保护证书,但是实际在后续的合作中,会发现仅凭供应商安全资质无法正确体现信息安全能力真实水平,资质代理严谨程度不一,安全资质仅为投标加分而拿。不能反映其实际安全运营水平。

2、持续监控力度不足

合同约定的年度检查、抽检等方式监控颗粒度不足,信息安全态势瞬息万变,容易遗漏;甚至部分供应商会根据甲方的年度检查进行管理证据的临时生造,只为通过例行检查,并未实际落实证据所代表的管理措施,而由甲方去提升年度检查或者抽检的频次,在人力、资源和配合度方面,也是一个不可达成的想法。

3、评估方式的依赖和成本,不够或难以自动化

传统的安全检查和评估,严重依赖于人工审查,审查范围和细节常因人力资源的问题无法全面覆盖,而且由于审查员个人的经验和风险偏好,多次的抽检往往会得到不甚一致的风险结论,缺乏常态性自动化的方式维持效率和风险偏好的一致性。

4、前后改进效果不清晰

供应商对发现的问题进行跟踪整改之后,也缺乏评估整改前后的效果量化的认知,对于供应商实际安全能力缺乏整体认知,致使一些风险重复发生,屡现不改,或者说因无法合理的量化认知而不清楚风险的根本原因,无法彻底改善,仅能治标。

五、自建供应商风险评估平台

  基于上述的分析和多年的供应商安全管理的经验,我们思考并搭建了供应商风险评估平台,主要实现以下目的:

1、在供应商入围阶段即启动信息安全评估,联动采购系统,在供应商接受邀标之后,自动获取供应商,避免遗漏,通过平台自动化对供应商进行安全评估,1-2周内拿到评估结果和报告。

2、对于合作供应商信息安全的持续监控

对于已达成合作的供应商进行持续的安全态势监控,一旦发现新增风险,及时向业务合作商进行披露并触发下一步的安全审计要求来进行风险说明和风险现状的更新。

3、维护供应商风险评估的要素管理

对于风险评估的要素管理上,持续的监控和风险及时的更新需要及时的信息支持。平台将会自动得获取公开材料,结合供应商的调查问卷,实现供应商的安全每次自动评分。

4、供应商资产图谱的自动探索和发现

平台在细节的供应商资产上也实现了图谱的自动探索和发现,及时而精确的信息,才是正确风险评估的有效支撑。

5、良好的结果呈现

在现代系统应用中,良好的、可视化的结果呈现,甚至有可能决定实际的项目成败效果,在结果呈现上,必须是直观、通俗的向非安全,甚至非风险领域的人员展示风险评估的结果,这样才会有助于该供应商业务的内部管理方清晰认知到安全风险的现状和重要性。

六、供应商风险评估平台的整体方向

后续供应商风险评估平台的发展方向,会逐步在威胁情报、网络空间测绘、合规知识库、自动化缺陷审计四个方面进行持续的自动化深化,实现线上线下相结合,将内控部门的现场审计、第三方的独立现场审计的报告也整合至一起,进行平台的迭代更新。

七、供应商管理框架

在平台建设的过程中,我们也整理出来面向供应商管理的控制措施和目标值,在整个过程中,无论是采用自动化平台还是依然采用经验为重的传统方式,以下的控制措施也都是可以参考,希望能给读者带来一些帮助。

八、结语

供应商安全管理现在已经正式被金融监管确认为需要管理和正式的信息安全风险之一,并多次下文要求各金融机构进行情况调研和排查。但是供应商安全整个问题,还尚未像漏洞管理、安全开发等领域已经有较为成熟的管理框架和工作,依然是各个分散的独立研究,需要国家、行业、研究机构、企业等各个方面逐步建设供应商安全风险的识别、分析、处理和防御能力。

关于 大湾区金融安全专刊

大湾区专刊现已发布第1辑和第2辑,集合了全国数十家金融和科技机构的网络安全工作经验总结,更邀请了大湾区港澳金融机构的安全专家分享独到见解。文章内容涉及防御体系、安全运营、数据安全、研发安全、业务安全、资产管理、攻防演练、前沿分析等主题方向,希望能为从业者提供网络安全防护方面的整体思路,向行业传播可持续金融创新和实践经验,为推动可持续金融生态发展汇聚智慧与力量。

关于 安全村

安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。

专刊获取方式

本次专刊的合作机构如下
赶紧关注他们
联系获取纸质版专刊吧!


文章来源: https://mp.weixin.qq.com/s?__biz=MzkyODM5NzQwNQ==&mid=2247496258&idx=1&sn=c922a1587a319c4af001c712338cf02e&chksm=c21bd370f56c5a66da2c7507396f8a32ed298338a90b9168e7a22384253e0f951eb9fd3d6cea&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh