DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

DDOS高防服务_ddos防御方法_方法

06-27 DDOS防御

DDOS高防服务_ddos防御方法_方法

是时候更新你的供应商风险管理计划了?在本文中,Kudelski Security的战略、风险和合规实践负责人Graeme Payne介绍了构建强健的VRM时需要考虑的四个基本方面。

您可能掌握了自己组织的安全性,并拥有良好的数据和威胁可见性,但在您的环境之外,你是瞎子。你对外部ddos1/10896.html">服务提供商、IT供应商和相关第三方采取的安全措施控制有限。他们的弱点变成了你的弱点。他们遇到的任何违规行为也会成为对您环境的潜在违规行为。

简言之,他们的风险是您的。

如果只是少数供应商的问题,您可以浮出水面,评估和减轻他们的风险,但大多数企业的供应商名单可能会达到数千个-从零件供应商,云解决方案提供商,wayos如何防御ddos攻击,律师事务所,呼叫中心、顾问和人力资源福利提供者。他们可能接触到的数据列表同样长——从商业机密和知识产权,到个人数据和公司政策。如果您的供应商没有足够的安全和隐私保护措施,所有这些都将面临风险。

那么,作为安全主管,您应该如何设计、建立和维护供应商风险管理计划,帮助您在晚上睡得更好?从以下目标开始:

识别供应链和业务供应商环境中的网络安全风险持续评估和监控供应商在将网络安全风险管理到可接受水平方面的有效性提供一种机制来响应影响您业务的供应商安全故障当你考虑这些目标时,向高级管理层和董事会提供关于供应商风险的信息,ddos防御接入,建立基于行业最佳实践的供应商风险管理计划。在设计项目时,应考虑以下最佳实践:

确定供应链和业务供应商环境中的风险,首先建立供应商清单并将其放入风险层。一个好的起点是组织的应付账款系统中的供应商主数据。这将确定您为商品和服务支付的所有供应商。一旦你有了存货,你就可以把它们放在风险等级中。您的风险建模方法应该考虑供应商访问的数据类型、供应商对业务流程的临界性、供应商与您的数据、系统和网络的连接性以及与供应商最近观察到的任何体验。创建风险层级将使您能够建立一个应对每一层级风险的计划,并将有限的资源集中在风险最大的领域。

在建立供应商风险计划时,您应与采购、法律和其他职能部门密切合作。您的网络安全供应商风险计划应与您组织的供应商生命周期流程相结合。应在新供应商标识中定义和使用安全要求。选择、谈判和签约应包括合同中的安全和隐私保护——入职和实施应包括适当的安全审查,终止过程应确保销毁或删除敏感数据。通过跨职能部门的强大协作,可以实施更统一的供应商风险计划,解决所有关键风险领域,包括财务可行性、安全性和法律合规性。

评估和监控供应商有多种方法。评估供应商如何应对其网络安全风险的流行技术包括:调查和问卷调查;审查第三方审计和认证;实地考察;技术测试;持续监控。当你设计你的程序时,在评估和监控供应商的方法中加入灵活性。应采用基于风险的方法来确定评估的程度和频率。高风险供应商将需要更高级别的保证,防御ddos策略,如完成安全调查问卷、现场访问或审计、安全认证或持续的情报监测。风险较低的供应商可能需要填写一份简化的调查问卷,或者接受较少的审查。对供应商的期望也要合理;不要问你没有用来评估风险的信息。太多的供应商调查问卷要求的数据从未在风险管理过程中使用过。

您的供应商风险计划应使用自动化来帮助有效管理许多供应商风险过程。在过去的几年里,高防cdn高防服务器,可以帮助供应商风险管理程序自动化的工具数量有了显著的增长。Gartner现在将此作为一个单独的软件类别进行跟踪。许多集成的风险管理或治理风险和合规工具都提供了第三方风险管理模块。还有许多解决方案只关注供应商风险。这些解决方案中的大多数现在都以软件即服务模式运行。许多方法包括获取有关供应商网络安全状况、财务状况和商业行为的情报,以补充其他常用的评估方法(如安全问卷和现场访问)。与采购、ERP和服务管理工具的集成也变得越来越普遍。

供应商风险管理仍然是一个相对较新的领域,并在不断发展。VRM-as-a-service产品的出现有助于减轻管理供应商风险计划的一些"重担"。一些交流和共享评估项目现在已经到位,以减轻供应商完成数百份调查问卷的负担。安全认证计划越来越受到重视,因为供应商试图保证其安全计划符合可接受的行业标准。

当供应商遭遇数据泄露或重大安全事件时,您的业务也可能受到影响。您的计划设计应将供应商风险管理集成到事件响应过程中。研究表明,60%的数据泄露涉及第三方。您的供应商网络安全要求应规定何时通知您潜在的安全漏洞或事件。事件响应行动手册应说明发生供应商事件时事件响应团队应采取的行动。关键供应商应包括在您的事件响应桌面和模拟中。

董事会越来越多地向安全领导人询问第三方风险。你的计划应该包括仪表盘和衡量和报告第三方风险的指标。高级领导人和治理委员会想知道第三方风险是如何解决的。您的计划应捕获并报告关键指标,代码防御cc攻击,如计划中包含的供应商百分比、评估或持续监控的高风险供应商百分比、异常率,降低风险。

******作为安全领导者,您需要制定并不断完善供应商风险管理计划。就像大多数关于网络安全的事情一样,这不是一个"一劳永逸的努力"。继续寻找方法,建立更持续的监测和警报,以增加您的定期审查。随着时间的推移,监控你的保险范围和风险状况,定期参考你的目标,验证你的计划是否有适当的重点和资源。使高级管理层和董事会了解供应商风险的最新情况。扪心自问:"我知道我的高风险供应商是谁吗?我对我们正在接受的网络风险感到满意吗?"?如果答案是"否",则是时候更新您的供应商风险计划了。

21日参加我们的网络研讨会,聆听Graeme讨论您的供应商风险管理问题。点击此处注册。

作者最近的帖子Graeme Payne是Kudelski SecurityStrategy,Risk&Compliance的首席执行官Graeme Payne是一名顾问、演讲者和教练,拥有30多年的咨询和IT管理经验。他帮助董事会和高管了解和管理网络安全和IT风险。2017年10月,Equifax前董事长兼首席执行官证实,其大规模数据泄露的根本原因是人为错误和技术故障。格雷姆后来被认定为"人为错误"。Graeme Payne的最新帖子(见全部)构建供应商风险管理计划-2020年10月19日

FacebookTwitterEmail分享

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/70399.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9312219访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X