Google、Salesforce、Slack等企业本周联合发布名为“最低可用安全产品”(Minimum Viable Secure Product,MVSP)的中立安全基准,借此简化企业采购B2B产品或流程委外服务时的评估工作。
MVSP是业界服务企业包括Google、Salesforce、Okta和Slack等厂商联合设计的一组不偏袒任何厂商的安全基准,借由创建最低可接受的门槛,旨在减轻企业采购、RFP及厂商遴选过程中繁复而耗时的安全评估作业。
Google安全部门副总裁Royal Hansen指出,委外第三方厂商可帮助企业节省成本、提升效率,是今天重要的业务策略,但是根据一项调查,有6成企业曾发生因委外厂商或其他企业而起的资料外泄。因为这些厂商可访问企业的关键系统和客户资料,这使得企业的安全重要性不下于企业本身。
然而到目前为止,企业采购委外服务或产品前都必须设计他们自己的安全基准,然而对企业而和厂商来说都是一大挑战,因为可能有上千项要求要考量。
MVSP就是为了解决这个问题而创建。MVSP着重在B2B软件及业务流程委外供应商的最低安全要求。他们相信利用MVSP,可提升服务产业采购每个阶段的透明度,帮助甲、乙两方完成目标,又能缩短几个星期甚至几个月的筹备及销售时间。
为求简单化,MVSP只包含实现合理安全性的必要控件,涵盖业务、应用设计、应用实例及操作控件。MVSP形式上即一个最低基准线的检查清单,方便企业用来验证方案的安全性。
Google强调,MVSP确保厂商遴选及RFP包含了业界通用的基准,利用这个清单,不但安全部门可用来评断候选的产品及服务,内部团队也可以用来了解现有环境产品服务的安全是否需改善。此外,采购人员、法务及法遵部门也都能从这个清单取得想要的信息。
不过即使是知名委外企业,也依然可能连累客户资料外泄。今年内就有奔驰、大众因系统外承包商被黑所累而外流资料。5月间日本IT大厂富士通托管平台被黑,导致多个日本政府单位如内阁官房网络安全中心(NISC)、国土交通省、外务省等的IT资料及用户个人资料、电子邮件等疑似外泄。去年则有文件管理委外服务商Canon Business Process Services被黑,致使其客户通用(GE)为数不详的员工信息外流。