《华尔街日报》专业研究调查:第三方风险管理结果 - WSJ

David Breg, Deputy Research Director, WSJ Pro Research

作者:大卫·布雷格,《华尔街日报》专业研究副研究总监 2022年11月19日 下午2:41(东部时间)|华尔街日报专业版### 关键要点:

  • 调查显示,表示其组织拥有第三方网络安全风险管理计划的受访者比例与没有该计划的比例为2:1。
  • 大型企业拥有第三方计划的可能性几乎是小型企业的两倍,而中型企业中有略多于三分之二拥有该计划。
  • 略多于半数的组织至少有一名全职员工专门监控供应商的网络安全协议。
  • 在过去12个月内报告第三方是否遭受过数据泄露的组织中,62%表示有供应商曾遭遇泄露。
  • 在第三方遭遇泄露的组织中,5%经历了重大业务中断或显著财务影响。
  • 三分之一的组织因对第三方网络安全状况的担忧而终止了合作关系。

背景:

企业面临来自供应商及其他合作伙伴的风险,这些合作伙伴可以访问公司网络。审查和跟踪第三方既耗时又给安全人员带来额外压力,但拥有第三方风险管理计划是全面网络安全战略的重要组成部分。2022年《华尔街日报》专业研究网络安全调查的数据,根据对受访组织应用的不同筛选条件,揭示了这些关键计划的普及情况。

结果:

大多数受访者(66%)表示其所在机构拥有第三方风险管理计划,且机构规模对是否制定计划存在显著影响。尽管中小企业在准备程度方面通常存在差距(具体差异将在后续调查报告中重点呈现),但就第三方计划而言,这一差距尤为突出——年收入超10亿美元的企业中近九成(88%)设有该计划,而年收入不足5000万美元的企业中这一比例不足半数(48%)。

上市公司(主要由大型企业构成)以90%的采用率成为最可能实施该计划的类别。中型企业比小型企业更可能制定计划,70%表示会监控第三方供应商。这种巨大差距可能源于小企业缺乏管理供应商网络实践的资源,或更倾向于依赖与合作伙伴的信任关系而非实施监督。

从行业角度看同样存在显著差异:金融业中79%的企业设有第三方风险管理计划,而政府、教育及非营利部门仅为44%。科技和专业服务行业分别以67%和57%居中。金融业监管更为严格可能是造成该行业与其他行业差距的原因。

在监督机制方面,设有第三方风险管理职能的机构中,43%配备不超过两名专职人员,18%有三名及以上。37%的受访企业每年仅在新供应商入驻时或不足一次评估网络风险,25%每年评估一次,38%则每年多次或持续评估。小型(40%)和大型企业(38%)比中型企业(28%)更可能采取更严格的持续评估机制。

在过去12个月内报告第三方是否遭遇过数据泄露的组织中,62%表示供应商曾发生泄露事件,39%表示其第三方未发生泄露。后一数字与报告供应商遭遇1-2次泄露的比例相同,另有22%报告其供应商遭遇过3次及以上泄露。

我们的数据显示,第三方泄露造成的损害不会止步于受害者的网络边界。对第三方的依赖程度越高,潜在破坏性就越大。虽然49%的受访者(其中大部分为中小型企业)表示未影响业务,但其余企业都注意到了不同程度的连锁反应。在受影响企业中,大多数(46%)仅报告轻微干扰或有限财务影响,但有5%(均为大型企业)披露了重大运营中断或显著财务损失。

许多企业在判定供应商网络安全防护不足后采取了行动。34%的受访者表示,由于担忧其网络安全状况,所在组织已终止与一个或多个第三方的合作关系。拥有更多供应商及监管人员的大型企业终止合作的比例最高(42%),中小型企业分别为32%和27%。

本文是记录该系列调研结果的其中一篇,其他报告请点击此处。调查方法详见此处。

WSJ Pro Research是一项高级会员服务,通过提供及时、深入的研究和数据补充新闻,支持高管在关键业务问题上做出决策。

认识作者

David Breg是《华尔街日报》专业部门WSJ Pro的研究副主任,他为高管和商业人士撰写并编辑网络安全研究与分析。他还经常作为主持人在WSJ Pro活动中亮相。Dave曾在公关公司Burson-Marsteller管理研究部门,并曾担任国会研究服务处的分析师,积累了政策分析经验。

联系David:[email protected]

相关论文