风险评估外包IT合作伙伴

时间：2020-11-09 15:04:21来源：

平均的对冲基金通常是精益运营，而员工人数有限，这更多地倾向于前厅。因此，通常将IT和网络安全等领域外包。许多人选择不雇用CISO，而是选择任命外包合作伙伴/顾问进行风险评估，包括评估经理的第三方供应商关系。

“我们是某些客户的最大对手方之一：我们提供他们的IT服务，我们是他们的数据的托管人，我们提供使他们能够经营自己的业务的系统，” Viktor Tadijanovic（如图）的创始成员兼CTO说道。纽约的算盘集团。“我们是他们的外包IT平台，我们提供了许多网络安全控制和技术。考虑到高级别攻击的数量，客户越来越希望改善其网络安全状况，以使他们的房子井井有条。”

接受外包IT模型的主要原因之一是，鉴于对冲基金如今面临的合规性和法规要求，建立和维护内部技术资源的成本实在是太高了。但是，这意味着在使用第三方IT供应商时，必须进行适当的制衡。

评估客户的IT合作伙伴（例如Abacus），包括查看他们在网络安全方面所做的投资以及他们提供的透明度。

“我们提供的服务的性质就是黑匣子。一切正常，但是客户不知道它是如何工作的。因此，完成了许多工作，为黑盒子提供了透明的窗口，以向客户显示我们的控件并让自己负责。我们将继续在这些领域进行投资。”塔迪亚诺维奇证实。

他补充说，IT服务提供商面临的挑战之一是，目前还没有适当的行业标准和准则。

Tadijanovic解释说：“我们试图通过提供一组预期客户希望了解我们的文件来超越这一点。”“我们进行了年度SSAE 16审核，该审核产生了系统和组织控制（SOC）报告，概述了我们的控制和做法。我们为每个客户提供描述我们的技术和控件的标准文档。我们已完成并定期维护AITEC问卷，我们可应要求向共同客户提供该问卷。我们还使用一些开放式标准（例如SIG）来收集信息。标准信息收集是新兴的标准之一，它提供了一些有关如何进行尽职调查的良好指导。”

由行业机构Shared Assessments制作的SIG调查表本质上是用于IT和网络安全风险管理评估的整体工具。Tadijanovic确认Abacus与Shared Assessments合作，并购买了使用其问卷的权利。

“我们填写了他们的调查表，涵盖了从人力资源聘用实践到技术，备份灾难恢复计划等所有不同的控制措施。我们还每年邀请第三方来评估我们的安全状况，三次。他们进行渗透测试并发布报告，我们也向客户提供报告。” Tadijanovic说道。

塔迪亚诺维奇总结说，所有这些报告的目的都是教每个客户如何使用它们，“以改善他们的安全立场，这样，如果监管者或投资者拜访他们，他们就会知道该说些什么”。