第三方網絡風險管理的七宗罪
本文列舉了第三方網絡風險管理的“七宗罪”,正是這些行為給企業帶來了巨大的風險。
***宗罪:認為風險可以被外包
很多企業認為,使用第三方產品或服務產生的網絡風險,應該由供應商來進行管理及承擔,這是絕對錯誤的。監管機構一直明確表示,你可以外包系統和服務,但你不能外包風險。2008年,聯邦存款保險公司對供應商風險管理做了如下規定:一個機構的董事會和高級領導層應負責管理通過第三方進行的活動,并識別和控制由此帶來的風險。美國衛生與公眾服務部、歐盟、美國貨幣監理署等監管機構也發布過類似的指南。
即使您與供應商的合約中有關于數據違約相關的條款,或許在安全事件發生后,可能獲得一定的賠償,但財務并不是唯一的風險。監管機構的罰款、企業聲譽的損失、市值的蒸發,更加可怕。
第二宗罪:與第三方的合約中沒有必要的安全條款
與第三方合約中的信息安全條款,建議至少包括:
- 對第三方進行審計的權利;
- 數據泄露通知;
- 解決已識別漏洞的補救要求。
若是企業在解決第三方風險問題時沒有審計權,即無法有效的實現風險的評估。如果沒有補救要求,識別出的風險也可能無法得到解決。
在與第三方簽訂的服務協議中使用經法律批準的、標準化的信息安全附錄,確保公司對需要采取糾正措施以保護其客戶、資產和聲譽具有可見性和追索權。即使您企業目前仍沒有積極地管理供應商風險,也需要將您想要的風險需求放入合同中。這樣做實際上將使供應商承擔一些***的安全性需求,并為將來評估他們的安全性提供機會。
第三宗罪:認為第三方風險管理與業務無關
業務運行在由內部人員和第三方管理的復雜系統之上,對第三方網絡風險的管理即對業務風險的管理,這也是我們的初衷。而在實現風險管理的過程中,技術同業務的協作必不可少:
- 根據企業的信息安全標準建立供應商績效考核;
- 了解每個供應商關系的業務負責人;
- 定期向每個業務負責人報告供應商的風險表現,并要求每個供應商對滿足績效有足夠的響應。
實現良好的第三方風險結果還需要業務支持“升級路徑”,通過該路徑,我們可以清晰的看到哪些供應商具備什么樣的問題,在該路徑中,表現不佳的供應商被放在“觀察列表”上,若是沒有及時的解決問題,最終將被放在“禁止”列表上,以激勵供應商做好風險管理。
第四宗罪:不知道您的供應商是誰
在進行供應商網絡風險管理時,您只能管理已知供應商的風險。您掌握的供應商名單越長,管理覆蓋到的供應商就越多,風險也越小。
對于新的供應商風險管理項目,建議分階段覆蓋到供應商,可以從近期剛開始合作的供應商開始,而不是試圖一次納入所有供應商,現有供應商可以通過合約更新的方式逐步覆蓋。這樣更利于風險管理項目的展開,新供應商最有動力遵從您的風險管理流程,因為他們希望贏得您的業務。
可能需要幾年的時間,通過管理新供應商和現有供應商的合同更新,您將覆蓋絕大多數供應商。接下來的挑戰是找出那些“藏匿”起來的供應商。您可以通過企業內的配合搜尋供應商:比如每月對應付賬款數據與供應商風險管理數據進行核對,任何未在風險管理數據庫中出現的供應商都會被識別。
第五宗罪:信任,不去驗證
“信任,但要驗證”的原則在管理第三方網絡風險時非常的適用。
在過去,供應商通常以高分通過基于問卷的評估。您可以去查看現有的供應商調查問卷,似乎所有的正面問題都會被肯定、似乎所有安全控制都正確的執行。我們能否通過這些積極的證明得出目前風險很小、可控的結論?
良好的風險管理需要準確、全面地識別風險。供應商的安全性認證可以幫助您了解他們為實現良好的風險結果所做的投資,但這只是所需信息的一半。
第六宗罪:不評估第三方風險管理項目進行后的效果
根據2017年對企業第三方風險管理實踐的研究,僅有37%的企業會在執行第三方風險管理的某些措施后,會進行效果評估。這一點很讓人驚訝,這就像一個盈利企業不向投資者報告其財務業績。長此以往,第三方風險管理的價值無法顯現,第三方風險管理就會變成監管機構需要的一個復選框,僅是在做表面文章。
目前企業的第三方風險管理報告中,通常包括:
- 某供應商評估固有風險的評分
- 供應商的分類評級(基于固有風險,類似“滿意”、“有待提高”、“無法接受”)
- 敏感數據風險、交易風險、聲譽風險、經營風險等維度固有風險的種類和評分
- 按程序規范進行過評審的供應商百分比
- 供應商對風險評估的響應時間
- 供應商剩余風險的分布
- 對于無法承受其風險的供應商名單
但缺少了最重要的管理效果評估,適當的度量標準可以加強企業管理第三方風險的文化,這種文化對第三方的影響能給業務更好的支持,同時它們還能夠提升供應商響應的積極性、提升風險管理效果,在某些情況下為企業接受某些風險做了充足的準備。
第七宗罪:將供應商風險管理限制為定期評估
通過定期評估管理供應商網絡風險是不夠的。即使每年進行一到兩次評估,評估之間也會發生很多事情。例如供應商數據泄露可能會在不知情的情況下危及您的數據,可能會因為延遲數據外泄通知而招致監管機構的處罰(GDPR關于數據外泄通告的要求:組織在發生數據外泄時必須在72小時內,即刻通報給監管機構。并且,若外泄會給個人帶來風險,也應該及時通知當事人)。
【本文是51CTO專欄作者“”李少鵬“”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
