当今的金融机构正在进行转型以实现组织现代化,越来越多地依赖于将运营任务外包给第三方来提高效率。 许多大型金融机构拥有广泛的第三方网络,其中包括众多供应商和供应商。 事实上,Gartner 发现
60%的组织 与 1,000 多个第三方合作,这个数字只会随着业务变得更加复杂而增加。
随着金融机构继续依赖第三方,维持强有力的风险管理计划对于更有效地管理风险和确保合规性的重要性再怎么强调也不为过。 通过这种方法,金融机构可以更好地了解他们在网络攻击中的脆弱性,并相应地集中补救工作,通过准确识别最具影响力的威胁来节省宝贵的资源。
第三方网络的风险
尽管第三方合作伙伴关系有助于简化基本业务功能,但它们也增加了金融机构在网络风险方面的风险。 由于需要保护和监控的实体和服务太多,而且第三方组织可能连接到其他实体,而这些实体和服务也可能成为网络安全风险的来源,这可能会变得特别复杂。 来自第三方的潜在安全问题目录可能是灾难性的,威胁到员工和客户的敏感信息、财务数据,以及组织供应链和其他有权访问特权系统的外部实体的操作。 的一份报告
Ponemon Institute 发现 51% 的企业遭受过第三方造成的数据泄露。
为了保护系统和敏感数据免受第三方风险,许多金融服务组织投资于保证流程,这在不同程度上需要通过渗透测试或 SOC 2 类型 2 认证对第三方网络合规性进行独立评估。 虽然这种方法很实用,但这种类型的评估成本高昂,存在可见性差距,并且仍然只代表单个时间点的风险近似值。
管理第三方风险的新方法
第三方网络日益复杂,这使得了解漏洞造成的影响变得尤其具有挑战性,尤其是对于大型组织而言。 金融机构需要一种现代化的网络安全方法,一种可以识别、衡量、优先排序和管理所有风险的方法。 为了创建能够应对第三方风险的以风险为中心的方法,金融机构应考虑实施一些关键策略:
- 风险评分:网络风险评分为评估安全态势提供了一个客观的框架,该框架考虑了来自组织内部和外部的各种风险因素。 通过将这些评估转化为易于理解的量化网络风险表示,组织可以更好地了解其资产的安全程度以及需要改进的地方。
- 漏洞优先级:此策略自动考虑威胁情报、资产上下文和攻击路径分析。 具有复杂环境和有限资源的组织可以通过优先处理和缓解构成最重大风险的漏洞,将他们的工作集中在重要的地方。
- 曝光分析:暴露分析识别可利用的漏洞并将数据与组织的网络配置和安全控制相关联,以确定系统是否容易受到网络攻击。 该策略确定哪些攻击向量或网络路径可用于访问易受攻击的系统。 当第三方通过识别其网络接入点并提供“终止开关”选项使合作伙伴脱机而不影响任何其他合作伙伴而带来不可接受的风险时,它还可以提供更精细的选项。
有效的网络安全策略需要为第三方风险和漏洞提供持续保证。 基于风险的现代网络安全方法可实现攻击模拟、合规性和可见性,使组织能够查看所有入口和访问点并执行路径和暴露分析。 通过实施基于风险的网络安全方法,金融机构可以真正减轻第三方网络安全风险。
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图爱流。 Web3 数据智能。 知识放大。 访问这里。
- 与 Adryenn Ashley 一起铸造未来。 访问这里。
- Sumber: https://www.finextra.com/blogposting/24140/the-third-party-cybersecurity-problem-for-financial-organizations?utm_medium=rssfinextra&utm_source=finextrablogs
- :具有
- :是
- :在哪里
- 000
- 1
- a
- ACCESS
- 因此
- 准确
- 额外
- 影响
- 所有类型
- 还
- an
- 分析
- 和
- 任何
- 的途径
- 保健
- AS
- 评定
- 财富
- 办公室文员:
- 保证
- At
- 攻击
- 自动
- BE
- 成为
- 作为
- 更好
- 都
- 违反
- 商业
- 业务功能
- 企业
- by
- CAN
- 不能
- 能力
- 检索目录
- 灾难性
- 造成
- 证书
- 链
- 挑战
- 复杂
- 复杂
- 符合
- 复杂
- 已联繫
- 考虑
- 考虑
- 上下文
- 继续
- 连续
- 控制
- 可以
- 创建信息图
- 危急
- 合作伙伴
- 网络
- 网络攻击
- 网络安全
- data
- 数据泄露
- 确定
- 确定
- 只
- 效率
- 努力
- 工作的影响。
- 强调
- 员工
- 使
- 更多
- 确保
- 实体
- 条目
- 环境中
- 特别
- 必要
- 评估
- 评价
- 曝光
- 广泛
- 外部
- 因素
- 少数
- 金融
- 财务数据
- 金融机构
- 金融服务
- Finextra
- 专注焦点
- 针对
- 发现
- 骨架
- 止
- 功能
- 获得
- Gartner公司
- 增长
- 成长
- 有
- 有
- 帮助
- 创新中心
- HTTPS
- 识别
- 鉴定
- 确定
- if
- 影响力故事
- 有影响力的
- 实施
- 改善
- in
- 增加
- 日益
- 独立
- 信息
- 机构
- 房源搜索
- 成
- 投资
- 问题
- IT
- JPG
- 大
- 大
- 容易
- 有限
- 制成
- 维护
- 管理
- 颠覆性技术
- 管理的
- 许多
- 事项
- 衡量
- 减轻
- 缓解
- 现代
- 现代化
- 显示器
- 更多
- 最先进的
- 需求
- 网络
- 网络
- 全新
- 数
- 众多
- 目标
- 获得
- of
- 这一点在线下监测数字化产品的影响方面尤为明显。
- on
- 一
- 仅由
- 操作
- 运营
- 附加选项
- 附加选项
- or
- 组织
- 组织
- 其他名称
- 学校以外
- 外包
- 超过
- 尤其
- 各方
- 合伙人
- 伙伴
- 合作伙伴关系
- 党
- 径
- 演出
- 计划
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 点
- 点
- 构成
- 潜力
- 实用
- 优先
- 优先顺序
- 特权
- 市场问题
- 过程
- 保护
- 提供
- 提供
- 优
- 量
- 提高
- 范围
- 监管
- 法规符合
- 报告
- 表示
- 代表
- 要求
- 资源
- 风险
- 风险因素
- 变更管理
- 风险
- s
- 安全
- 保存
- 得分
- 安全
- 保安
- 看到
- 敏感
- 服务
- 特色服务
- 应该
- 意义
- 显著
- 简化
- 模拟
- 单
- So
- 来源
- 仍
- 策略
- 策略
- 强烈
- 供销商
- 供应
- 供应链
- 系统
- 产品
- 采取
- 目标
- 任务
- 条款
- 测试
- 这
- 其
- 博曼
- 他们
- 第三
- 第三者
- 第三方
- Free Introduction
- 威胁
- 威胁
- 通过
- 次
- 至
- 转型
- 真正
- 类型
- 理解
- 理解
- 用过的
- 有价值
- 厂商
- 能见度
- 漏洞
- 脆弱
- 井
- ,尤其是
- 这
- 而
- 宽
- 大范围
- 将
- 中
- 也完全不需要
- 工作
- 和风网