如何减少来自供应商的安全风险

　　何时外部因素会造成真正的威胁?这是每个使用第三方服务供应商的金融机构都需要回答的安全问题。

　　位于肯塔基州莱克星顿的中央银行IT安全经理Chris Schum表示，他们使用了端口锁定程序来防止数据被盗取，这样还可以确保那些使用USB等设备的人的数据安全。另外，该软件还能记录哪些文件被放入USB驱动。该银行还利用入侵检测软件以对网络进行实时监控，防止可能发生的攻击和异常活动。

　　Schum和他的团队从部署这些系统中吸取的教训包括：虽然你非常清楚系统构架，但是总是会有很多惊奇的事情发生，因为会有很多用户使用未经授权的设备(如Ipod和USB)访问系统或者软件在网络内部不安全地进行信息传递。不过这些系统大部分时候还是很能够帮助我们预防、监测和补救安全威胁。

　　那么在最大限度减少外部访问关键系统和数据的同时减少内部威胁呢?

　　将外部威胁作为内部威胁处理

　　当金融机构使用第三方服务供应商时，将会接受与金融机构本身提供给其客户同样级别的审核，Carnegie Mellon大学软件工程学院的威胁和安全事故管理小组的高级技术员Randy Trzeciak表示。Trzeciak和他的团队一直在研究内部威胁并向企业提供各种减小风险的建议。

　　Trzeciak的第一个建议是：将商业合作伙伴、承包商和分包商都纳入企业内部威胁的一部分。处理内部威胁是很困难的，企业需要信任其员工并授予其访问关键数据的权利以完成任务，而同时也要控制来自这些员工带来的安全威胁。内部人员的访问权和对公司系统的了解将可能造成对系统的严重威胁。

　　企业应该从更广泛的角度考虑信息安全问题，首先应该确定其关键资产，然后为保护这些资产免受内部和外部威胁而采取风险管理策略。任何能够访问企业系统的人都应该纳入风险管理的范围，特别是企业员工。

　　企业必须清楚地知道自己是如何处理和保护数据的，确保只有那些需要访问数据的人拥有访问权，防止那些已经完成项目而不需要访问数据的人访问公司系统。对于供应商安全问题你需要能够回答这些问题：

　　1.当供应商解雇员工时，是否也阻止了该员工对系统的访问?

　　2.供应商是否让你知道该员工已经离开公司

　　电子接入协议是另一个需要注意的方面，当你将企业系统访问权授予供应商时，你是否只是将访问权授予个人，而不是整个供应商。在任何时候，企业都必须能够这样说，“我们知道哪些人能够访问我们的数据，以及他们访问的级别，当他们离职时，我们能够禁止其访问权。”

　　Trzeciak等人认为，团体帐户或者共享某一个特权帐户是绝对不可取的，为了安全起见，你必须能够监测和了解是哪个人在访问系统，这种团体帐户很可能被不满的离职雇员或者承包商所利用。