晚上你的数据去哪了?

你穿越了漫长的防火墙, 入侵防御系统, PCI审计, SSAE16审核-保护您的敏感数据. 但是每天晚上当你的信息离开数据中心时会发生什么呢? 您的供应商是否遵循同样严格的措施来保证您的数据安全?

如今，许多公司每天都要收集大量的客户数据来开展业务. 金融机构和医疗保健公司就是两个例子.  经常, 交易的范围是如此之大，以至于外包某些任务在商业上是有意义的, 例如数据输入, 数据处理, 客户服务和/或市场分析.  然而, 为了让第三方供应商履行其角色, 他们通常需要访问专有数据, 个人身份信息或其他实时监管数据, 或者每晚一次.

安全外包:如何在夜间保证数据安全

为了防止泄露数据，必须仔细管理供应商的选择. 虽然公司的主要数据处理人员已经掌握了通过内部和外部审计管理敏感数据的专业知识, 外包供应商可能不会始终遵循同样严格的数据安全标准.

也, 供应商选择通常由与销售代表打交道的高级管理人员管理, 某些细节可能会被忽略.  通常, 安全与合规团队是在交易非正式敲定后召集的, 这通常会给企业造成压力，迫使企业批准可能不合格的供应商. 因此, 管理人员必须了解这些实践的重要性和必要性. 考虑如果外部供应商处理不当，泄漏或丢失您的数据的责任.

以下是一些一般的供应商选择指南，以帮助限制财务和监管责任:

• 评估在你的行业中有很大影响力的供应商. 他们对行业监管的意识通常与他们在该行业的曝光率成正比.
• 与其他客户进行广泛的背景调查.
• 索取任何独立审计的副本.
  • 如果这份报告是在三个季度前发布的, 询问下一份报告的审计准备情况，检查文件是否有变化.
  • 彻底审查所有安全基础设施和程序，包括:
    • 网络防火墙
    • 灾难恢复计划
    • 故障转移
    • 人员聘用惯例
    • 数据处理
    • 红旗政策

除了, 审查审计报告时, 密切关注合规方面的重大员工变化, IT或信息安全部门. 这可能标志着这些领域的有效性发生了变化.

买家注意

供应商可以选择定义他们的审计范围. 因此，虽然行业认证提供了公司监管和安全状况的准确快照, 审计可能只针对特定的产品, 一个部门或一组过程. 仔细审查审计报告，并让专家审查你专业以外的部分.  除了, 与供应商的合规经理讨论任何发现，并要求对这些发现进行补救.

另一种方法

当公司没有时间或人员对潜在供应商进行全面的尽职调查时, 下一个选择是将验证外包给有经验的审核员.  一个独立的审计公司可以是客观的，并确定可能的风险，需要减轻之前提供访问您的机密或监管数据. 这些公司具有审查组织是否符合监管规定的专业知识, 业务连续性和数据完整性.  这种方法类似于聘请一家招聘公司进行专业技能搜索或高管搜索, 这样宝贵的时间就不会浪费在资历和初步面试上了.

一些公司, 然而, 是否对选择外包供应商持怀疑态度，因为担心外部人士对其独特的业务复杂性缺乏了解.  另外, 公司的决策者很容易听信供应商的推销说辞，而不考虑潜在的风险.

将一切结合在一起

当选择一个供应商，将处理您的敏感数据, 在你的尽职调查和选择过程中要彻底. 也, 教育你的主管了解这些安全实践的重要性和必要性，这样他们就会支持审查过程. 如果您的组织没有足够的带宽来正确评估潜在的数据供应商, 考虑雇佣一个独立的第三方公司来做跑腿的工作.

Bridgepoint咨询公司提供咨询服务，帮助企业解决复杂的挑战，并支持广泛的组织转型服务. 我们的盈禾体育 服务 包括 云迁移,  网络安全, 企业解决方案 (NetSuite 和 Salesforce), 它的风险 & 合规 和 系统集成. 了解更多盈禾体育的一些客户 在这里.