做好第三方風險管理(TPRM)須面對八大挑戰
隨著軟件供應鏈攻擊的不斷加劇,如何進一步加強第三方風險管理(TPRM)工作已經成為現代企業領導者們關注的焦點。因為,今天的企業組織大量依賴于第三方生態來共同構建產品,并完成對用戶的服務交付,因此創建一個有效的TPRM計劃對于組織評估潛在的安全風險,管理不斷增長的數字攻擊面至關重要。
當企業開始實施TPRM計劃時,面臨困難和挑戰是在所難免的,這取決于其第三方生態系統的規模、安全態勢以及組織的現有安全狀況。日前,安全研究人員總結了企業組織在實施TPRM計劃時將面臨的最常見挑戰:
- 如何繪制有效地生態系統全景圖;
- 如何開展供應商盡職調查和風險評級;
- 如何為供應商設置風險處置優先級;
- 如何開展供應商安全問卷調查;
- 如何增強對所有供應商的安全可見性;
- 如何實現可持續地風險監控;
- 如何構建自動化TPRM流程;
- 如何創建高效的TPRM管理策略。
01如何繪制有效地生態系統全景圖
企業在實施TPRM計劃時,面臨的第一個挑戰就是如何創建其供應商生態系統的完整視圖。該視圖不僅應包括組織當前所有第三方供應商的清單,還需要包括可能給組織帶來潛在風險的第四方服務商。當組織無法有效地映射其供應商時,生態系統中就會產生盲點,并導致組織混亂、缺乏風險可見性、未管理風險的增加以及供應鏈攻擊的機會。
為了繪制完整的生態視圖,組織應該在所有內部部門之間共享供應商信息,以有效地映射其整個第三方生態系統。組織還可以通過識別在第三方關系(會計、法律、運營等)中活躍的人員,專門評估每個人所涉及的重要供應商信息(支出報告、合同、訂單等),并統一協調供應商信息。在繪制生態系統視圖的同時,組織還應該同步設置入駐程序,以便將來添加新的供應商。
02如何開展供應商盡職調查和風險評級
TPRM計劃實施的另一個常見挑戰是確定哪些風險評估措施是審核供應商風險概況時所必需的。而在執行盡職調查時,組織又需要根據哪些因素(包括供應商與敏感數據的接近程度、運營重要性等)對供應商進行風險級別評價?
風險評級可以幫助組織管理和準確評估供應商可能帶給組織的潛在風險程度。如果不能有效將風險分級納入到供應商盡職調查計劃,企業將難以確定與該供應商開展業務合作是否安全。為了做好供應商盡職調查和風險評級,組織應該利用成熟的第三方供應商管理工具來協助完成供應商風險水平的評測。
03如何為供應商設置風險處置優先級
在執行完供應商盡職調查和風險分級之后,組織還需要決定將哪些供應商列為優先進行風險處置和事件響應。通常,對企業業務運營至關重要的供應商可能會獲得最高級別的風險處置關注。
一個完善的供應商風險管理系統應該允許組織主動發現第三方安全風險,按嚴重程度對安全風險進行排序,并要求供應商及時糾正錯誤。對于高風險供應商,可能需要更嚴格的第三方風險管理策略。對于最高風險級別的供應商,可能需要遠程或現場審計以確保信息安全。相比之下,低風險的供應商通常只需要例行合規性檢查即可。
04如何開展供應商安全問卷調查
各種類型的供應商風險評估方法(審計、滲透測試和問卷調查)都有其優點和缺點。現場審計和滲透測試需要大量的資源,包括時間、金錢和專業人員。在這種情況下,大多數組織都會選擇自我評價風險的問卷調查方式,這也比較適用于中等及以下風險等級的供應商。
當企業組織在整個供應鏈中分發安全調查問卷時,要確保每個供應商都能夠認真填寫問卷,并驗證每個供應商答案的有效性,這些都可能給組織帶來挑戰。為了應對這一挑戰,組織應該考慮將問卷調查工作外包給獨立的第三方結構,這樣可以顯著提升問卷調查的有效性。
05如何增強對所有供應商的安全可見性
隨著數字化轉型發展的深入,企業的供應商生態系統也在不斷增長,其安全可見性將變得越來越難以維護。對于組織來說,需要將所有供應商的安全可見性與保護數據隱私的合規要求結合起來,以確保所有供應商都能符合行業性的安全標準。為了應對這一挑戰,企業可以利用供應商管理工具在一個集中位置監視所有供應商,并持續性分析整個供應鏈中每個供應商的合規狀態,及時發現其中的違規風險。
06如何實現可持續地風險監控
在第三方風險管理過程中,很多風險評估方法僅能夠評估當前時刻供應商的風險態勢。但是,隨著業務的推進發展,以及供應商的安全態勢不斷變化,這可能會使組織無法及時識別出很多動態產生的第三方安全風險。
為了獲取到最新的風險視圖,組織應該在其TPRM計劃中實現連續的風險監控。持續監控可組織帶來如下好處:
- 顯著提高第三方安全事件響應指標;
- 提高整個供應商生態系統的持續可見性;
- 消除問卷周期之間可能出現的安全盲點;
- 提供實時的安全狀態更新。
07如何構建自動化TPRM流程
隨著企業規模的擴大和第三方合作伙伴數量的增加,其TPRM計劃的維護將變得更具挑戰性。實現自動化是企業加強其TPRM計劃的最佳方式。通過自動化流程,企業可以將其TPRM工作標準化,減少風險管理中的錯誤和疏漏。一些先進的自動化TPRM工具還配備了風險審計工具,可以確保部署的風險控制措施安全有效。
08如何創建高效的TPRM管理策略
在TPRM實施過程中,企業將面臨的最困難的挑戰就是如何將風險管理的各個環節融合在一起,形成一個全面、高效的第三方供應商風險管理體系。大量應用實踐表明,一個完整的TPRM管理策略應包括以下關鍵元素:
- 供應商合規標準;
- 供應商在數據泄露事件中的責任;
- 可接受的供應商安全態勢和安全等級控制;
- 發生第三方數據泄露或安全事件時的響應計劃;
- 組織對戰略風險和其他TPRM原則的態度;
- 高級管理層的監督管理制度。
