Liquidnet是国际交易网络机构,保护客户信息是第一个任务之一,如果发生问题可能就是一次 使业务结束的潜在风险事件,虽然他们安全各方面都很强,但第三方安全是他们的短板。他们受到监督管理的机构,董事会,投资者和客户的严格审查,为满足要求他们的首席安全和风险官认识到仅对自身进行数据保护的方法审查已经远远不足了,必须同时审查供应商的数据保护控制。这给他们4人的团队带来了新的挑战。
他们主要面临了两个问题:一个是当前方法未能量化风险,供应商自评估报告的真实有效性成为问题。另一个是没有连续监测过程能够评估动态的第三方风险。
SecurityScoreCard提供给Liquidnet想要的第三方安全整体态势和量化信息,通过集成平台进入总体安全策略,实现更持续和全面的方法对第三方做评估。国内也有“安全值” 这样的产品面向国内用户更好的提供SRS。
我国在数字化的经济发展过程中组织正在努力想办法整合与顾客、供应商、合作伙伴在数据、信息系统、工作流程和工作实务等方面业务,供应商与合作伙伴带来的第三方风险将是重要风险之一,一些新技术能给企业在数字化的经济环境下风险管理带来新的思路。
Liquidnet 是国际交易网络机构,并且这个机构拥有超过 800 个国际顶级资产管理者和职业投资人 , 此公司管理着超过 15 万亿美元的资产并执行大量的股票和固定资产交易。作为全世界领先的交易平台 ,Liquidnet 为跨越五大洲 44 市场提供特定的的交易机会,交易规模平均都在 140 万美元。代理经销商由美国证券交易委员会还有 FINRA 和各种其他监督管理的机构在全世界内监管。所以保护敏感信息是Liquidnet 的第一个任务之一 , 同时 Liquidnet 客户真正的需求其保证他们的交易安全等保密信息。
作为 Liquidnet 安全与风险首席执行官艾尔伯格自 2004 年来一直负责 Liquidnet 的安全工作。他的职责包括 Liquidnet 的全世界的信息安全、物理安全以及企业风险管理。加入 Liquidnet 之前, 艾尔在汽车城( 纽交所的技术部门和美国运通) 做过 CISO 助理, 他监督技术安全评估和开发安全的政策和流程。自 90 年代以来, 艾尔就已经在信息安全行业工作,在那之前他一直在从事网络和软件开发工作。
作为管理交易过程的金融组织, Liquidnet 成员和客户的信息安全很重要。假如发现一个问题危及Liquidnet的安全,它等同是一个“ 使业务结束的潜在风险事件” ,安全和风险首席执行官艾尔伯格说。因为安全问题会导致非常严重的后果, 所以艾尔很看重客户和他们的信息的安全。这种谨慎的态度也要应用于 Liquidnet 对第三方的管理。
因此,艾尔希望确保 Liquidnet一致和彻底地检查第三方。 “不单单是我们的厂商 ......我们的客户和监督管理的机构也正在寻找能够全方面分析风险的方法。 ”由于 Liquidnet 是一家金融机构,他们受到监督管理的机构,董事会,投资者和客户的严格审查,甚至每个持股的员工也希望 Liquidnet 保证满足监管标准来保护他们的数据。 同时艾尔发现在监督管理的机构越来越关注第三方的安全性,为满足监管标准,仅对自身进行数据审查保护控制已经不够了,Liquidnet必须同时审查其第三方的数据保护控制。
为了实现用户和监督管理的机构对第三方审核要求,Liquidnet 主要是依靠安全自评估问卷和第三方评估报告,如 SSAE16 SOC2 和 ISO 27001 。然而, 一些厂商 ( 尤其是较小的厂商) 没办法提供这些基于最佳实践的标准合规性报告。正常的情况下,Liquidnet 要求厂商定期做安全实践评估。有时厂商提供的是别的类型的报告( 例如,SSAE16 SOC1) ,这并非是用来评估信息安全的。在这些报告中,评估标准将由厂商自己设定,可能不包括 SOC2 和 ISO 27001 要求的内容,并且他们可能仅关注有限的安全要求。但是艾尔团队不得不依靠各种各样的厂商提供的一些自评估报告和来自外部评估者的报告做评估,这样不仅对厂商管理消耗大量时间而且评估结果也不太准确。
Liquidnet 对其供应商每年进行一次年度审查,但网络安全事件瞬息万变一年内发生会有很多事件发生。另外在没有第三方评估的情况下对于小厂商这样的一个问题更为复杂,没有评估就没有很好的方法来观察逐年的进展。
许多厂商评估过程是定性的而不是定量的,这让艾尔感到有压力。当他有必要进行对风险进行处置决策时,却没有有效的数据。
虽然他最初试图在其部门内部自主研发评分工具,但艾尔发现,这个成本对于一个规模只有四个人的团队来说太昂贵了。该团队已经承担了第三方风险管理,物理安全和网络安全的职责,这中间还包括监控 Liquidnet 现有的安全控制,防火墙,入侵检测系统和安全应急。艾尔希望有机会能够直接看到第三方网络存在的问题、被恶意代码感染和系统漏洞,并且获取到相关的量化的评估结果。然而,事实上艾尔只有少数的时间和权限获得上面的结果。
一个问题是 Liquidnet 当前的第三方评估方法未能量化风险,而且当一味的尝试满足监督管理的机构与董事会对 Liquidnet 加强第三方审核力度的要求时,自评估报告的真实有效性就成为一个问题。另外一个问题是他们没持续的监测过程以便能够评估动态的第三方的风险。
幸运的是,当将 SecurityScorecard 推荐给艾尔时,艾尔立即对 SecurityScorecard 数据的广度和深度印象非常深刻,并且知道这是一个能解决他以上问题的工具。
艾尔发现了 SecurityScorecard 平台,提供了他想要的第三方安全整体态势和量化信息,也使他能够有选择性专注于具体的指标上。通过集成平台进入 Liquidnet 的总体安全策略, 可以让艾尔的团队有更持续和全面的方法对第三方进行评估。
因为 SecurityScorecard 向艾尔提供他之前不可见的第三方信息, 他可以依靠该平台来增强第三方风险管理能力,这些功能对像 Liquidnet 这样的公司慢慢的变重要。对于 Liquidnet,使用该平台是一种性价比很高方式,不仅仅可以评估第三方和合作伙伴,而且还无需雇佣其他人对第三方进行审核,直接用由 SecurityScorecard 独立和连续的监测任务就可以了。
利用平台的按需设置的功能,艾尔可以每时每刻比较多个第三方的安全状态,同时还能查看动态的安全评级,这大大改进了原有的过程。 他不再需要放弃较小的第三方评估,也不用等到下一个年度审核期开始才做评估工作。
Liquidnet 使用 SecurityScorecard 大多数都用在其第三方风险管理和修复过程。Scorecard 还是一个Liquidnet 与第三方就安全问题进行交流沟通的平台,这是促进双方商讨采取整改措施的非常好的起点。 同时,Liquidnet 可以与第三方共享和下载报告,并邀请他们到平台讨论发现的漏洞或评级降级原因。并能将合作沟通的信息展现给监督管理的机构与董事会以表示 Liquidnet 满足监督管理要求和合规标准。
满足法规和合规标准对于像 Liquidnet 这样的金融组织是很正常的,所以艾尔通常使用诸如 SIG 和 SIGlite 的调查问卷来验证合规性。他对第三方也这样做,对返回的问卷选择“信任”,但需验证。这使他能确保自评估报告与平立报告的一致性。
艾尔发现的另一个好处是在每个组织的安全评级中集成了行业基准对比功能。允许将不同的第三方包含在特定分组中。艾尔利用了平台灵活的自定义连续监控的功能,了解合作伙伴和客户在其领域内的状况,以及他们的安全态势。
艾尔在安全分类中选择他认为最有价值的指标,例如 IP 黑名单和黑客攻击。获取特定公司的“动态”并且快速了解第三方如何管理服务器和处理恶意代码,这些都是显示公司安全性的强大指标。另一方面,平台可以深度挖掘网上黑客论坛中的相关信息。
上述功能为像艾尔团队这样规模较小、资源有限的安全部门提供了更强的安全能力。
SecurityScorecard 使艾尔在大公司轻松的进行第三方风险管理。 现在Liquidnet 可以主动发起信息安全分析,并根据 SecurityScorecard 检测到的内容与第三方进行交流,而不必等待关键的漏洞被利用或安全事件发生。
虽然作为相对较新的用户,但是艾尔已经从 SecurityScorecard 看到了很多价值。假如没有这个平台,艾尔就将必须添加专门负责该项工作的员工,如此大规模地实施对各种各样的第三方进行连续监测的工作会遇到很多困难。运用 Scorecard 平台的定期持续监测和常态化评估是第三方风险管理过程的一个巨大进步。现在,艾尔的团队可以做的比每年完成一个合规性列表或填写评估检查列表要更多。艾尔知道慢慢的变多的最终用户成为攻击的目标。黑客们慢慢的变聪明,他们使用社会工程利用公司员工来进入一个公司网络,特别是考虑到现在黑客所针对的组织和个人的信息,所以安全教育和安全意识现在是至关重要的。由 SecurityScorecard 提供的信息,比如恶意代码等,可以让艾尔预见到一些安全隐患。
SecurityScorecard 可以让艾尔做实时的、定制化的安全评估,例如将黑客如何获得第三方的信息以及恶意代码的更新情况作为第三方风险管理计划的一部分。现在,艾尔即能够保证他已有的安全策略,同时还能够准确的通过新漏洞的风险和攻击方法实时进行第三方评估。
华为出境地图Petal Maps重大更新,携程笔记上线日见?小米汽车微信公众号发文,可预约直播
头条搜索极速版邀请码是什么,填写今日头条极速版app注册邀请码的5个好处
【海外服务器推荐】爆款独服,5+253IP站群服务器,高防服务器,亚太独服大带宽上线
易达丰电器与科沃斯、石头、美的、海尔等品牌签署战略合作协议,双十二预售活动即将拉开序幕
