第三方雲應用帶來的數據風險

2017年5月，AWS S3存儲桶數據倉庫被爆，至少220萬道瓊斯公司客戶信息半公開。該錯誤很簡單：存儲桶許可權設置失當，讓免費AWS賬戶都可以訪問裡面內容。這次泄露暴露出：安全設置中很低級的錯誤，都可輕易導致客戶個人信息受損。此類粗心大意的代價，包含監管罰款、信譽受損和潛在的法律訴訟。

或許你會認為在自己的照管之下不會發生這種事，但你的數據安全又有多少是真正在你掌控之中的呢？

你知道你的數據都存儲在哪裡嗎？

很有可能你的公司採用數十上百家第三方SaaS應用來處理各種事務，從管理髮展前景和客戶，到幫助維護賬戶。這些應用省下了你的業務時間和金錢開銷，但它們同時也將你的數據放到了他人手中。

此類應用大多將數據存在雲端，就是道瓊斯數據泄露的那種數據倉庫。你怎麼能保證自己的數據沒有明文存儲，不會被意外公開呢？

最大的數據安全錯誤

多數公司把數據交給第三方的時候，總會錯誤地以為第三方公司自然而然就有了保護數據安全的責任，壓根兒沒多想一下應用上線之後的數據安全問題。

儘管第三方應該，也確實提供安全，但保護數據的總體責任依然落在你自己身上。如果數據被泄露，是你和你的團隊要為股東和客戶負責，而不是第三方負責。

即便第三方實際上需要承擔數據安全問題的開銷，你依然負有監管責任。

需要全面縱覽數據保管鏈

基本上缺乏第三方數據處理方式的具體信息，這意味著有很多沒得到解答的問題：

• 他們都有哪些安全策略？

• 你的數據存儲在哪裡？

• 他們經常採用承包商嗎？這些人對你的數據都有哪些許可權？

• 他們倚賴哪些其他第三方服務——還有其他公司可以訪問你的數據嗎？

獲得這些信息存在兩方面的問題：首先，第三方只可能透露合同要求的那點安全信息，但這或許會略去關鍵信息。其次，因為多數公司使用很多第三方，跟蹤第三方的工作就變得相當耗時且昂貴了。

實現第三方風險計劃

即便不是不可能，人工跟蹤第三方所用安全策略也是不現實的。所以我們需要一個能獲取各第三方公司最新風險評估的平台。

通過外包和自動化第三方風險評估，你的效率會得到大幅提升，開銷和複雜性則相應降低。這可使你輕鬆評估並減小風險暴露面，幫助確定哪些第三方可用，而哪些應摒棄。

一個健壯的第三方網路風險管理計劃所剩下的時間與金錢，能讓你將更多資源投入到自身安全中，進一步降低風險。

第三方供應商風險管理的五個要點

第三方訪問才是網路安全的最大威脅