风险雷达

第三方供应商风险管理的五个要点

2020-05-11 17:17
全球互联的世界中,知识经济正在塑造我们的未来,供应商关系是成功的关键。

全球企业越来越依赖于成百上千的第三方供应商、承包商,以及支持业务运营和达成战略目标的那些系统。金融服务公司外包支持与处理。制造企业与全球供应商、分销商、货运代理和经销商合作。医疗保健提供商依赖数据采集者、程序员、数据传送者、文档销毁者和POS供应商。

道德与合规情报专业公司 NAVEX Global 在其2016年的《道德&合规 第三方风险管理基准报告》中提到:400位受访者中有60%都会加大对第三方关系的依赖。外包运营、建立新合作伙伴关系、转移业务到海外、实现云计算服务,都是达成业务目标的一部分。不过,这些举动也会引入网络安全风险,降低公司对自身业务的控制力。

NAVEX Global发现,67%的金融服务公司和50%的医疗健康受访者,都将网络安全风险列为了头等大事——高于欺诈、贿赂和腐败,以及利益冲突。从威瑞森2017年的《数据泄露调查报告》来看,有鉴于这两个行业都是数据泄露最常见的受害者,他们这么做无可厚非。但网络罪犯不搞歧视,所有行业各种规模的公司企业都是他们的目标。每家企业都必须主动参与到发现、管理和限制因第三方不足或没有效力的安全实践而可能引入的麻烦。

随着安全越来越复杂,网络越来越纠缠,第三方风险管理已成为公司战略的一个重要部分。现在的董事会讨论议程中都包含了第三方风险,尤其是在高度监管的行业中。很多企业依靠注入SOC2和 ISO 27001 这样的第三方认证来缓解风险。

然而,许多重大风险不是按计划来的,它们非常具体。比如公司和第三方间的连接和合作如何开展,基础设施和软件架构,防护糟糕的辅助系统,以及大多数审计都未包含的其他方面。

有效第三方风险管理项目是必要的,但该如何开展呢?对大多数公司而言,预算压力很大,人手也常常疲于应付。更具挑战性的是,你的团队还需要将安全、风险管理、项目管理和厂商关系等技能进行有机的整合,才可以开发和运营该项目。而且,与所有安全事务一样,这不是设置一次过后就能抛诸脑后的情况。跟上不断发展变化的风险环境与威胁进化脚步,同样是第三方风险管理项目保持有效的必要条件。

第三方风险包括各种各样的问题,从从合同到供应链到数据保护。NAVEX调查揭示,对外包第三方尽职调查的企业,比不做调查的公司,更容易发现更多的“警报”或有关第三方的其他潜在负面信息。无论你是创建自己的项目,还是寻找提供商负责项目的一部分或全部工作,以下5个方面都是需要重点考虑的。

1. 定义供应商风险层级

不是所有的供应商都是平等的。基于对自身运营的关键性和风险度,供应商的风险层级也各异。确保考虑到供应商能访问的数据和系统类型,自身运营对供应商所提供服务的依赖程度,以及合规风险。要深刻理解风险态势,清楚知道你所渴求的益处,无论是敏捷度改善、性能提升还是成本节约,都有可能被不可预见的漏洞所抵消掉。

2. 评估供应商安全控制有效性

每家供应商遭到各种威胁负面影响的可能性有多大?你得了解他们是否具备有效控制措施防护各类威胁,比如内部人数据访问和渗漏、Web应用攻击、基于网络的攻击、社会工程、处理不当或意外暴露,以及操作中断或数据损坏。评估合作伙伴,尤其是那些处于最高层级的供应商是否已经达到企业自身对安全和风险管理的要求是必须的。

3. 处理风险问题

当安全、操作弹性或合规空白被发现,你需要有预设的处理过程来主动处理问题,并确保矫正或替换掉不达标的供应商。你有恰当的合同要求吗?是怎么监管实施的?需要修订吗?

4. 理解并解决新兴威胁

地缘政治不稳定性;新攻击方法;不断发展的工具、技术和规程(TTP);针对特定行业的攻击;针对特定合作伙伴公司的攻击等等,都会给自家公司带来风险。持续监视和访问全球威胁情报的能力,可以让公司在与不断变化威胁态势的对抗中始终保持领先。

5. 向管理层报告

第三方风险管理是个董事会议题。你需要一个能提供供应商风险管理透明性的报告机制,其中包括从运营和技术角度出发的执行标准和主动安全指南。风险透明性对维持供应商关系的业务线也很重要。持续保持风险和机会的平衡,可使公司领导层确保自己紧密参与到最恰当的风险部门中。

在评估、实现或扩展第三方关系的时候,你得全面理解自己在整个关系生命周期中的风险态势。只要做好这5个关键方面,你就能更好地与第三方连接、通信和合作,确保风险不会超出收益。

文章原创:安全牛。

服务热线

021-68580928

风险雷达微信二维码

风险雷达公众号

姓名*
手机*
公司*
职务
邮箱