首页 » 漏洞 » 第三方云应用带来的数据风险

第三方云应用带来的数据风险

 

2017年5月,AWS S3存储桶数据仓库被爆,至少220万道琼斯公司客户信息半公开。该错误很简单:存储桶权限设置失当,让免费AWS账户都可以访问里面内容。这次泄露暴露出:安全设置中很低级的错误,都可轻易导致客户个人信息受损。此类粗心大意的代价,包含监管罚款、信誉受损和潜在的法律诉讼。

或许你会认为在自己的照管之下不会发生这种事,但你的数据安全又有多少是真正在你掌控之中的呢?

第三方云应用带来的数据风险

你知道你的数据都存储在哪里吗?

很有可能你的公司采用数十上百家第三方SaaS应用来处理各种事务,从管理发展前景和客户,到帮助维护账户。这些应用省下了你的业务时间和金钱开销,但它们同时也将你的数据放到了他人手中。

此类应用大多将数据存在云端,就是道琼斯数据泄露的那种数据仓库。你怎么能保证自己的数据没有明文存储,不会被意外公开呢?

最大的数据安全错误

多数公司把数据交给第三方的时候,总会错误地以为第三方公司自然而然就有了保护数据安全的责任,压根儿没多想一下应用上线之后的数据安全问题。

尽管第三方应该,也确实提供安全,但保护数据的总体责任依然落在你自己身上。如果数据被泄露,是你和你的团队要为股东和客户负责,而不是第三方负责。

即便第三方实际上需要承担数据安全问题的开销,你依然负有监管责任。

需要全面纵览数据保管链

基本上缺乏第三方数据处理方式的具体信息,这意味着有很多没得到解答的问题:

  • 他们都有哪些安全策略?
  • 你的数据存储在哪里?
  • 他们经常采用承包商吗?这些人对你的数据都有哪些权限?
  • 他们倚赖哪些其他第三方服务——还有其他公司可以访问你的数据吗?

获得这些信息存在两方面的问题:首先,第三方只可能透露合同要求的那点安全信息,但这或许会略去关键信息。其次,因为多数公司使用很多第三方,跟踪第三方的工作就变得相当耗时且昂贵了。

实现第三方风险计划

即便不是不可能,人工跟踪第三方所用安全策略也是不现实的。所以我们需要一个能获取各第三方公司最新风险评估的平台。

通过外包和自动化第三方风险评估,你的效率会得到大幅提升,开销和复杂性则相应降低。这可使你轻松评估并减小风险暴露面,帮助确定哪些第三方可用,而哪些应摒弃。

一个健壮的第三方网络风险管理计划所剩下的时间与金钱,能让你将更多资源投入到自身安全中,进一步降低风险。

相关阅读

第三方供应商风险管理的五个要点
第三方访问才是网络安全的最大威胁

 

原文链接:第三方云应用带来的数据风险,转载请注明来源!

0