第三方应用：安全问题可以预知

　　随着安全问题的愈演愈烈，IT领域也产生翻天覆地的变化，在过去几年里，企业IT基础设施的最大变化是开放内部网络资源到第三方应用。

　　现在，可访问内部流程和检索及更新数据的应用数量正在快速增加，这让很多网络管理员工作量骤增，他们需要确保“共享和渐趋扩大的基础设施内企业资源”的安全性。最近的一些数据泄露事故都涉及第三方应用中的漏洞，这些漏洞允许攻击者在连接到目标受害者的网络和资源时访问数据。

　　在信息安全标准ISO 27001中，强调了确保第三方访问企业资源时不会破坏企业整体安全的重要性。尽管其重要性显而易见，很多企业仍然未能适当地评估连接到内部网络资源的第三方应用。企业必须定义一个标准用于接受来自第三方应用的连接，且每个应用都应该遵守。缺乏资源或者对长期关系缺乏信心是企业不这样做的最常见的原因，而缺乏内部人才来全面评估应用风险是另一个原因。

　　与缺乏人力和资源的企业可实现的水平相比，采用基于云的扫描来测试漏洞的服务可能提供对漏洞的更为深入的审查。另外，企业外包高技能任务给专家符合成本效益，并带来更安全的应用，特别是当把程序集成到应用的开发生命周期时。

　　然而，专有代码和保密条款是企业不选择外包的原因之一。在这种情况下，企业遵守政策和程序就可以，只要企业内部有所需要的技能。企业拥有自己的安全团队来完成评估的优势在于：该团队已经能够很好地了解日常业务流程和相应的法规要求以及了解企业的风险。在考虑了声誉损害、经济损失、操作风险、敏感信息泄露、人身安全和法律违规行为等风险因素后，企业应该将基于整体企业风险的保证水平分配到每个第三方应用。这种保证水平决定了应用可以被接受之前所需的安全测试程度。