美國網絡安全和基礎設施安全局 (CISA) 日前發(fā)布了新指南,供政府和私人組織在尋求將服務外包給托管服務提供商 (MSP) 時加以考慮。為了幫助組織做出信息技術(IT)服務決策,國土安全部(DHS)下屬網絡安全和基礎設施安全局(CISA)的國家風險管理中心(NRMC)為被管理服務提供商客戶開發(fā)了一套風險考慮。該框架匯編來自CISA、IT和通信行業(yè)合作伙伴的信息,為組織提供資源,以便在確定滿足其獨特需求的最佳解決方案時做出風險決策。
CISA發(fā)布的新指南名為“托管服務提供商客戶的風險注意事項”,針對三個決策群體:高級管理人員和董事會、采購專業(yè)人員、網絡/系統(tǒng)管理員和一線網絡安全人員。
該文檔包括來自各種權威機構(例如美國國家標準與技術研究院 (NIST))的最佳實踐和注意事項,供組織審查其安全實踐并確保他們準備好防止網絡攻擊。
CISA 解釋說,高管有其風險管理職責,并應保持對其組織內使用的系統(tǒng)和技術的認識。他們還應該了解與系統(tǒng)、數(shù)據(jù)、生產力和客戶信心損失相關的風險,以及與罰款和監(jiān)管成本相關的成本。
高管以及參與采購的員工應針對企業(yè)風險分析外包的好處,并應確保在出現(xiàn)可能影響運營和影響客戶的故障或事故時,客戶和供應商共同承擔責任。
“為了最大限度地減少外包 IT 服務時的此類中斷,組織可以使用責任共擔模型在供應商協(xié)議中定義角色和責任,該模型闡明了供應商的責任、客戶的責任以及雙方共同承擔的任何責任,”CISA的指南中指出。
組織應制定企業(yè)網絡安全風險管理計劃,以考慮與使用 MSP 提供的 IT 服務相關的潛在風險??赡軣o法實施此類計劃的中小型企業(yè) (SMB) 仍應對關鍵資產進行分類并評估這些資產的風險,并優(yōu)先考慮將其納入供應商協(xié)議并針對影響它們的事件制定應急計劃。
CISA 說,需求管理流程應該跨職能領域進行協(xié)調,以確保性能、可靠性和安全性。CISA 指出,擔任采購角色的個人應創(chuàng)建并維護一份要求清單,其中應包括“對安全性、運營連續(xù)性和其他核心業(yè)務功能的考慮”。組織應根據(jù)這些要求審查潛在的MSP。
該機構還建議組織在簽署協(xié)議之前向MSP提出具體要求,其中包括確認簽署MSP的個人負責服務的安全、事件管理和補救能力的詳細信息,并解釋不同客戶的數(shù)據(jù)在MSP網絡上是如何分離的。
負責監(jiān)控和管理MSP活動的員工應制定任何第三方供應商享有的訪問級別策略,并鼓勵組織不斷重新評估訪問要求。在可能的情況下,應在簽訂合同之前定義特權和訪問級別,以確保供應商能夠滿足服務要求。對網絡管理員、系統(tǒng)管理員和網絡防御者的建議中,特別強調了組織的網絡要運用零信任模型的原則。
此外,建議組織維護重要記錄和網絡日志的異地備份,以幫助在MSP發(fā)生事故時進行恢復并驗證供應商活動。根據(jù) NIST 的建議,企業(yè)應在其事件響應計劃中包括MSP等供應商,并應定期更新這些計劃。
“NIST 還建議組織和供應商為漏洞披露、事件通知以及在事件期間與任何外部利益相關者的溝通建立明確的協(xié)議。組織和供應商還應為客戶網絡上的威脅搜尋和事件響應程序建立明確的授權協(xié)議,”CISA 指出。
將IT服務外包給MSP的SMB,尋求提高效率和節(jié)省成本,應保持對其系統(tǒng)訪問的完全控制,應了解供應商訪問,并應保留網絡日志以及所有關鍵數(shù)據(jù)的異地備份,指南中強調。