全球互聯的世界中,知識經濟正在塑造我們的未來,供應商關系是成功的關鍵。
全球企業越來越依賴于成百上千的第三方供應商、承包商,以及支持業務運營和達成戰略目標的那些系統。金融服務公司外包支持與處理。制造企業與全球供應商、分銷商、貨運代理和經銷商合作。醫療保健提供商依賴數據采集者、程序員、數據傳送者、文檔銷毀者和POS供應商。
道德與合規情報專業公司 NAVEX Global 在其2016年的《道德&合規 第三方風險管理基準報告》中提到:400位受訪者中有60%都會加大對第三方關系的依賴。外包運營、建立新合作伙伴關系、轉移業務到海外、實現云計算服務,都是達成業務目標的一部分。不過,這些舉動也會引入網絡安全風險,降低公司對自身業務的控制力。
NAVEX Global 發現,67%的金融服務公司和50%的醫療健康受訪者,都將網絡安全風險列為了頭等大事——高于欺詐、賄賂和腐敗,以及利益沖突。從威瑞森2017年的《數據泄露調查報告》來看,有鑒于這兩個行業都是數據泄露最常見的受害者,他們這么做無可厚非。但網絡罪犯不搞歧視,所有行業各種規模的公司企業都是他們的目標。每家企業都必須主動參與到發現、管理和限制因第三方不足或沒有效力的安全實踐而可能引入的麻煩。
隨著安全越來越復雜,網絡越來越糾纏,第三方風險管理已成為公司戰略的一個重要部分。現在的董事會討論議程中都包含了第三方風險,尤其是在高度監管的行業中。很多企業依靠注入SOC2和 ISO 27001 這樣的第三方認證來緩解風險。
然而,許多重大風險不是按計劃來的,它們非常具體。比如公司和第三方間的連接和合作如何開展,基礎設施和軟件架構,防護糟糕的輔助系統,以及大多數審計都未包含的其他方面。
有效第三方風險管理項目是必要的,但該如何開展呢?對大多數公司而言,預算壓力很大,人手也常常疲于應付。更具挑戰性的是,你的團隊還需要將安全、風險管理、項目管理和廠商關系等技能進行有機的整合,才可以開發和運營該項目。而且,與所有安全事務一樣,這不是設置一次過后就能拋諸腦后的情況。跟上不斷發展變化的風險環境與威脅進化腳步,同樣是第三方風險管理項目保持有效的必要條件。
第三方風險包括各種各樣的問題,從從合同到供應鏈到數據保護。NAVEX調查揭示,對外包第三方盡職調查的企業,比不做調查的公司,更容易發現更多的“警報”或有關第三方的其他潛在負面信息。無論你是創建自己的項目,還是尋找提供商負責項目的一部分或全部工作,以下5個方面都是需要重點考慮的。
1. 定義供應商風險層級
不是所有的供應商都是平等的。基于對自身運營的關鍵性和風險度,供應商的風險層級也各異。確保考慮到供應商能訪問的數據和系統類型,自身運營對供應商所提供服務的依賴程度,以及合規風險。要深刻理解風險態勢,清楚知道你所渴求的益處,無論是敏捷度改善、性能提升還是成本節約,都有可能被不可預見的漏洞所抵消掉。
2. 評估供應商安全控制有效性
每家供應商遭到各種威脅負面影響的可能性有多大?你得了解他們是否具備有效控制措施防護各類威脅,比如內部人數據訪問和滲漏、Web應用攻擊、基于網絡的攻擊、社會工程、處理不當或意外暴露,以及操作中斷或數據損壞。評估合作伙伴,尤其是那些處于最高層級的供應商是否已經達到企業自身對安全和風險管理的要求是必須的。
3. 處理風險問題
當安全、操作彈性或合規空白被發現,你需要有預設的處理過程來主動處理問題,并確保矯正或替換掉不達標的供應商。你有恰當的合同要求嗎?是怎么監管實施的?需要修訂嗎?
4. 理解并解決新興威脅
地緣政治不穩定性;新攻擊方法;不斷發展的工具、技術和規程(TTP);針對特定行業的攻擊;針對特定合作伙伴公司的攻擊等等,都會給自家公司帶來風險。持續監視和訪問全球威脅情報的能力,可以讓公司在與不斷變化威脅態勢的對抗中始終保持領先。
5. 向管理層報告
第三方風險管理是個董事會議題。你需要一個能提供供應商風險管理透明性的報告機制,其中包括從運營和技術角度出發的執行標準和主動安全指南。風險透明性對維持供應商關系的業務線也很重要。持續保持風險和機會的平衡,可使公司領導層確保自己緊密參與到最恰當的風險部門中。
在評估、實現或擴展第三方關系的時候,你得全面理解自己在整個關系生命周期中的風險態勢。只要做好這5個關鍵方面,你就能更好地與第三方連接、通信和合作,確保風險不會超出收益。
京公網安備 11010502049343號