第三方風險管理的六個優秀實踐
隨著云存儲、軟件即服務(SaaS)和人工智能、網絡安全等外部產品的激增,管理第三方供應商的風險變得空前緊迫和重要。
2023年RSA會議報告發現,87%的受訪CISO過去12個月遭受過源自第三方的重大網絡安全事件的影響。SecurityScorecard 2022年進行的一項研究顯示,98%的組織與至少一個在過去兩年發生過數據泄露的第三方供應商有合作關系。
根據甫瀚咨詢對全球1000多名企業高管的風險預測調查,“第三方風險”是2024年全球企業高管公認的第四大風險(通脹預期與經濟狀況惡化、吸引并留住頂尖人才和網絡安全威脅排名前三)。
咨詢公司S-RM網絡安全實踐副總監Matthew Mettenheimer認為,管理第三方風險的重擔最終會落到CISO和CIO身上,并建議企業遵循第三方風險管理的六大最佳實踐:
一、讓所有高管團隊對第三方風險達成共識
Forrester Research安全和風險高級分析師Alla Valente表示,第三方帶來的風險不僅包括網絡安全威脅,還會影響企業的所有方面,包括其運營能力。
然而,許多企業(尤其是沒有首席風險官的企業)并沒有采取全面方法來管理第三方風險。相反,他們采取了是孤立的方法;CISO僅處理與網絡安全相關的第三方風險,而其他高管則負責可能影響其各自職能的風險。Valente說:這種方法可能會造成盲點和漏洞,因為當今第三方風險的主要挑戰是沒有單個團隊能夠解決所有風險。
Valente表示,CISO應該帶頭教育董事會和高管團隊,了解第三方風險對企業造成的相互關聯的影響和損失。
二、制定第三方風險管理計劃
成功管理第三方風險的另一個關鍵步驟是建立一種以項目為導向的方法,制定可以重復應用于眾多第三方的流程和標準。每個企業適用的第三方風險管理(TPRM)計劃都是獨一無二的,,以確保其評估第三方風險的方式符合該企業的監管要求、數據保護要求和風險承受能力。
專業服務公司BPM的咨詢實踐合作伙伴Fred Rica表示,一種有用的策略是使用評分標準來對第三方風險進行分析和分類。例如,根據評分標準將第三方評級為低、中、高。評分標準還使企業能夠有效地確定每個第三方所需的評估和緩解控制水平,其中標記為高的第三方將受到最嚴格的審查和最多的緩解措施。
第三方風險管理框架和軟件可進一步幫助CISO及其高管同事建立TPRM的程序化方法。然而,該方法雖然很有效,但研究表明許多企業尚未采取此類措施。例如,第三方安全風險管理軟件制造商Panorays發布的2024年CISO調查發現,94%的CISO擔心第三方網絡安全威脅,但只有3%在其工作場所實施了第三方網絡風險管理解決方案。
三、建立準確、全面、不斷更新的第三方清單
如果首CISO無法全面了解企業的第三方供應商,就無法充分管理第三方安全威脅。這也是一項富有挑戰性的任務,因為現在越來越多的技術由業務部門部署,而不是由集中式IT職能部門負責盤點所有技術資產。因此,CISO需要實施策略來識別和維護準確、全面和不斷更新的第三方清單,以評估和管理其安全風險。
雖然有一些軟件解決方案可以幫助CISO建立和管理第三方清單,但Valente建議CISO采取其他步驟來幫助找出第三方的問題。例如,CISO可以與財務部門合作審查經常性付款(包括公司信用卡上的付款),以識別在沒有企業采購部門參與的情況下所購買的軟件和訂閱服務(未添加到庫存清單中)。
四、創建高效評估流程
識別和清查第三方只是一個開始。CISO還必須了解第三方可能帶來哪些安全威脅,這是一項更加艱巨的任務。“CISO必須進行評估,但這些評估不能太長,以免CISO無法完成,”Valente說。同樣,CISO不能(也不應該嘗試)對每個第三方進行最嚴格的評估;這將是一項西西弗斯式的無休止任務。相反,她建議CISO制定方法來識別哪些第三方需要更嚴格的評估。根據Forrester的研究,不到50%的風險決策者評估了所有第三方,10%的受訪者表示只評估那些明確要求評估的第三方。
Valente警告企業不要將第三方的成本作為評估嚴格性的標準,因為某些第三方服務可能成本很高,但安全風險較低,反之亦然。評估的嚴格程度應與第三方所處理的數據的敏感性、其對運營的關鍵性以及涉及的技術集成水平掛鉤。
五、CISO深入參與第三方簽約流程
對第三方(無論是供應商、銷售商還是合作伙伴)的安全檢查通常在采購過程中進行,但評估往往發生在流程的最后階段,此時大部分談判已經完成,這導致CISO成了擺設。
醫療保科技公司McKesson的風險管理副總裁Tim Witos表示,CISO最好盡早參與采購流程,并首先對企業領導者進行教育,使其了解第三方風險包含哪些安全要素。CISO還應該盡早與潛在供應商和合作伙伴溝通,使其知曉必須具備哪些安全標準才能簽訂合同。
CISO還應該索要第三方的網絡安全負責人的姓名和聯系信息,以便在發生事件時能夠聯系到他們(而不是嘗試通過客戶經理進行溝通,尤其是在發生網絡攻擊時)。
六、將第三方風險管理常態化
合同簽署后,對第三方風險的管理并未結束。最有效、最成熟的TPRM計劃的第三方風險管理本質上是一項持續工作,能隨時識別和緩解每個第三方關系存續過程中出現的風險。
第三方風險管理不是一個項目,而是一個流程。許多人對初步評估非常滿意,隨后就將文件束之高閣,無法回看風險是否相同、是否發生了變化,或者是否需要改變控制措施。
專家建議CISO持續監控合同要求的遵守情況,并確定可能需要的調整和更新,并指出第三方風險管理程序軟件和流程自動化可以大大緩解安全團隊執行此類任務的壓力。
