今年2月,安全研究人员报告说,沃尔玛供应商Limoges珠宝公司披露了来自130多万客户的姓名、地址、邮政编码、电话号码、电子邮件地址和密码等机密数据。 更糟糕的是,数据还包含了亚马逊、Overstock、西尔斯、Kmart、Target等其他零售商的大量记录
这次曝光涉及一个数据库,存储在一个可公开访问的亚马逊S3云桶中,该数据库在今年1月13日之后被开放。 此外,内部邮件列表、支付信息、促销代码、订单信息和加密信用卡数据也被曝光。 有些记录可以追溯到2000年。
自那时以来,该数据库已由沃尔玛获得,但无法保证其所载数据没有被盗和使用。 研究人员发现这一漏洞的Kromtech公司的首席通信官写道:
在发布了这么多其他易受攻击的亚马逊S3桶之后,将一个存储桶向公众开放的疏忽就是简单的无知。 此外,在任何直接在线的地方存储包含敏感客户数据的未受保护的数据库文件是令人惊讶的,而且任何公司都以纯文本存储密码而不是加密密码,这是完全无法理解的。
这个问题在数据安全方面强调了一个关键概念。 无论您自己的安全实践多么全面、详细或成功,一旦您将数据交给第三方附属机构,您的控制将变得毫无意义。 这实际上把你的公司声誉和成功交到了别人的手中。
SEE:如何选择和管理伟大的技术合作伙伴(ZDNet特别功能)|下载为PDF(技术共和国)
减少第三方风险取决于适当的供应商选择。 邀请所有潜在供应商,以确保他们在数据隐私和风险管理方面与您的组织共享相同的价值。
网络安全公司Tripwire的产品管理和战略副总裁蒂姆·埃林(TimErlin)认为,保护客户数据不受曝光不需要最新的安全工具。 他说:“确保系统在部署时是安全的,并监测它们的变化是正确做基本工作的一部分。” “这些安全基础同样适用于云和数据中心。”
然而,他承认,技术控制难以强加给第三方,并强调了合同协议的重要性。 他说:“至关重要的是,将处理敏感数据的供应商和第三方不仅同意保护这些数据,而且能够证明他们正在这样做。”
埃尔林建议签订合同协议,不仅规定数据保护,而且还规定了衡量这一努力的标准。 市场上有许多安全标准可供选择,例如来自互联网安全中心的标准或NIST800-53标准。
在可能的情况下,合同协议还应包括赔偿您的组织,如果供应商遭受违约。
标准是确保遵守的关键因素。 如果您的组织受PCI、HIPAA、SOX或其他标准的约束,这些标准也应该在与您共享数据的第三方供应商之间执行和监控。
SEE:招聘工具包:IT供应商经理(技术专业研究)
还值得研究获得服务组织控制(SOC)审计报告,以确保供应商的遵守。 这些在所谓的SOC1和SOC2中是可用的。 一份SOC1报告是更基本的选择,并分析和记录对财务报告的内部控制。 更全面的SOC2报告将包含有关组织的安全性、可用性、处理完整性、机密性和隐私的详细信息。 SOC2报告最有助于确保第三方供应商遵守规则。
有两种SOC报告:类型1和类型2。 类型1是显示特定日期组织控件状态的单个浏览报告。 第二类报告涵盖一段时间(例如一年或一年以下),以确定控制措施在这一时间框架内是如何运作的。 第二类报告是确保控制措施按预期运作的最佳途径。
如果您决定开始要求SOC报告,请确保它们涵盖第三方供应商可能存储或处理数据的所有区域,无论是内部还是外部。 现场数据中心应提供关于物理和环境控制以及与安全有关的配置的报告的信息。
如果您不愿意或无法获得SOC报告,您仍然可以对第三方供应商进行自己的定期审核。 此外,确保您的公司文档概述了哪些数据存储在哪里,并共享第三方供应商与您的业务保持一致所需的最低数据量(理想的场景是保留您的系统上的数据并允许他们访问它,而不是在您可以避免的情况下关闭它)。 与供应商保持强有力的持续沟通也是跟上其做法和业务的关键因素,以避免出现“设定并忘记”的心态,这可能导致疏忽。
SEE:赢得网络安全的战略(ZDNet特别报告)|以PD F格式下载该报告(技术共和国)
最后但并非最不重要的是,当我说,在可能的情况下,与第三方供应商进行物理面对面会议和数据中心或服务器机房访问可以在建立信任和可靠性方面产生奇迹。 它建立个人关系,并可以帮助验证安全规范是否符合贵公司的标准。