《華爾街日報》專業研究調查:第三方風險管理結果 - WSJ

David Breg, Deputy Research Director, WSJ Pro Research

作者:大衞·佈雷格,《華爾街日報》專業研究副研究總監 2022年11月19日 下午2:41(東部時間)|華爾街日報專業版### 關鍵要點:

  • 調查顯示,表示其組織擁有第三方網絡安全風險管理計劃的受訪者比例與沒有該計劃的比例為2:1。
  • 大型企業擁有第三方計劃的可能性幾乎是小型企業的兩倍,而中型企業中有略多於三分之二擁有該計劃。
  • 略多於半數的組織至少有一名全職員工專門監控供應商的網絡安全協議。
  • 在過去12個月內報告第三方是否遭受過數據泄露的組織中,62%表示有供應商曾遭遇泄露。
  • 在第三方遭遇泄露的組織中,5%經歷了重大業務中斷或顯著財務影響。
  • 三分之一的組織因對第三方網絡安全狀況的擔憂而終止了合作關係。

背景:

企業面臨來自供應商及其他合作伙伴的風險,這些合作伙伴可以訪問公司網絡。審查和跟蹤第三方既耗時又給安全人員帶來額外壓力,但擁有第三方風險管理計劃是全面網絡安全戰略的重要組成部分。2022年《華爾街日報》專業研究網絡安全調查的數據,根據對受訪組織應用的不同篩選條件,揭示了這些關鍵計劃的普及情況。

結果:

大多數受訪者(66%)表示其所在機構擁有第三方風險管理計劃,且機構規模對是否制定計劃存在顯著影響。儘管中小企業在準備程度方面通常存在差距(具體差異將在後續調查報告中重點呈現),但就第三方計劃而言,這一差距尤為突出——年收入超10億美元的企業中近九成(88%)設有該計劃,而年收入不足5000萬美元的企業中這一比例不足半數(48%)。

上市公司(主要由大型企業構成)以90%的採用率成為最可能實施該計劃的類別。中型企業比小型企業更可能制定計劃,70%表示會監控第三方供應商。這種巨大差距可能源於小企業缺乏管理供應商網絡實踐的資源,或更傾向於依賴與合作伙伴的信任關係而非實施監督。

從行業角度看同樣存在顯著差異:金融業中79%的企業設有第三方風險管理計劃,而政府、教育及非營利部門僅為44%。科技和專業服務行業分別以67%和57%居中。金融業監管更為嚴格可能是造成該行業與其他行業差距的原因。

在監督機制方面,設有第三方風險管理職能的機構中,43%配備不超過兩名專職人員,18%有三名及以上。37%的受訪企業每年僅在新供應商入駐時或不足一次評估網絡風險,25%每年評估一次,38%則每年多次或持續評估。小型(40%)和大型企業(38%)比中型企業(28%)更可能採取更嚴格的持續評估機制。

在過去12個月內報告第三方是否遭遇過數據泄露的組織中,62%表示供應商曾發生泄露事件,39%表示其第三方未發生泄露。後一數字與報告供應商遭遇1-2次泄露的比例相同,另有22%報告其供應商遭遇過3次及以上泄露。

我們的數據顯示,第三方泄露造成的損害不會止步於受害者的網絡邊界。對第三方的依賴程度越高,潛在破壞性就越大。雖然49%的受訪者(其中大部分為中小型企業)表示未影響業務,但其餘企業都注意到了不同程度的連鎖反應。在受影響企業中,大多數(46%)僅報告輕微干擾或有限財務影響,但有5%(均為大型企業)披露了重大運營中斷或顯著財務損失。

許多企業在判定供應商網絡安全防護不足後採取了行動。34%的受訪者表示,由於擔憂其網絡安全狀況,所在組織已終止與一個或多個第三方的合作關係。擁有更多供應商及監管人員的大型企業終止合作的比例最高(42%),中小型企業分別為32%和27%。

本文是記錄該系列調研結果的其中一篇,其他報告請點擊此處。調查方法詳見此處。

WSJ Pro Research是一項高級會員服務,通過提供及時、深入的研究和數據補充新聞,支持高管在關鍵業務問題上做出決策。

認識作者

David Breg是《華爾街日報》專業部門WSJ Pro的研究副主任,他為高管和商業人士撰寫並編輯網絡安全研究與分析。他還經常作為主持人在WSJ Pro活動中亮相。Dave曾在公關公司Burson-Marsteller管理研究部門,並曾擔任國會研究服務處的分析師,積累了政策分析經驗。

聯繫David:[email protected]

相關論文