第三方風(fēng)險(xiǎn)管理的六個(gè)優(yōu)秀實(shí)踐
隨著云存儲(chǔ)、軟件即服務(wù)(SaaS)和人工智能、網(wǎng)絡(luò)安全等外部產(chǎn)品的激增,管理第三方供應(yīng)商的風(fēng)險(xiǎn)變得空前緊迫和重要。
2023年RSA會(huì)議報(bào)告發(fā)現(xiàn),87%的受訪CISO過去12個(gè)月遭受過源自第三方的重大網(wǎng)絡(luò)安全事件的影響。SecurityScorecard 2022年進(jìn)行的一項(xiàng)研究顯示,98%的組織與至少一個(gè)在過去兩年發(fā)生過數(shù)據(jù)泄露的第三方供應(yīng)商有合作關(guān)系。
根據(jù)甫瀚咨詢對(duì)全球1000多名企業(yè)高管的風(fēng)險(xiǎn)預(yù)測(cè)調(diào)查,“第三方風(fēng)險(xiǎn)”是2024年全球企業(yè)高管公認(rèn)的第四大風(fēng)險(xiǎn)(通脹預(yù)期與經(jīng)濟(jì)狀況惡化、吸引并留住頂尖人才和網(wǎng)絡(luò)安全威脅排名前三)。
咨詢公司S-RM網(wǎng)絡(luò)安全實(shí)踐副總監(jiān)Matthew Mettenheimer認(rèn)為,管理第三方風(fēng)險(xiǎn)的重?fù)?dān)最終會(huì)落到CISO和CIO身上,并建議企業(yè)遵循第三方風(fēng)險(xiǎn)管理的六大最佳實(shí)踐:
一、讓所有高管團(tuán)隊(duì)對(duì)第三方風(fēng)險(xiǎn)達(dá)成共識(shí)
Forrester Research安全和風(fēng)險(xiǎn)高級(jí)分析師Alla Valente表示,第三方帶來的風(fēng)險(xiǎn)不僅包括網(wǎng)絡(luò)安全威脅,還會(huì)影響企業(yè)的所有方面,包括其運(yùn)營(yíng)能力。
然而,許多企業(yè)(尤其是沒有首席風(fēng)險(xiǎn)官的企業(yè))并沒有采取全面方法來管理第三方風(fēng)險(xiǎn)。相反,他們采取了是孤立的方法;CISO僅處理與網(wǎng)絡(luò)安全相關(guān)的第三方風(fēng)險(xiǎn),而其他高管則負(fù)責(zé)可能影響其各自職能的風(fēng)險(xiǎn)。Valente說:這種方法可能會(huì)造成盲點(diǎn)和漏洞,因?yàn)楫?dāng)今第三方風(fēng)險(xiǎn)的主要挑戰(zhàn)是沒有單個(gè)團(tuán)隊(duì)能夠解決所有風(fēng)險(xiǎn)。
Valente表示,CISO應(yīng)該帶頭教育董事會(huì)和高管團(tuán)隊(duì),了解第三方風(fēng)險(xiǎn)對(duì)企業(yè)造成的相互關(guān)聯(lián)的影響和損失。
二、制定第三方風(fēng)險(xiǎn)管理計(jì)劃
成功管理第三方風(fēng)險(xiǎn)的另一個(gè)關(guān)鍵步驟是建立一種以項(xiàng)目為導(dǎo)向的方法,制定可以重復(fù)應(yīng)用于眾多第三方的流程和標(biāo)準(zhǔn)。每個(gè)企業(yè)適用的第三方風(fēng)險(xiǎn)管理(TPRM)計(jì)劃都是獨(dú)一無二的,,以確保其評(píng)估第三方風(fēng)險(xiǎn)的方式符合該企業(yè)的監(jiān)管要求、數(shù)據(jù)保護(hù)要求和風(fēng)險(xiǎn)承受能力。
專業(yè)服務(wù)公司BPM的咨詢實(shí)踐合作伙伴Fred Rica表示,一種有用的策略是使用評(píng)分標(biāo)準(zhǔn)來對(duì)第三方風(fēng)險(xiǎn)進(jìn)行分析和分類。例如,根據(jù)評(píng)分標(biāo)準(zhǔn)將第三方評(píng)級(jí)為低、中、高。評(píng)分標(biāo)準(zhǔn)還使企業(yè)能夠有效地確定每個(gè)第三方所需的評(píng)估和緩解控制水平,其中標(biāo)記為高的第三方將受到最嚴(yán)格的審查和最多的緩解措施。
第三方風(fēng)險(xiǎn)管理框架和軟件可進(jìn)一步幫助CISO及其高管同事建立TPRM的程序化方法。然而,該方法雖然很有效,但研究表明許多企業(yè)尚未采取此類措施。例如,第三方安全風(fēng)險(xiǎn)管理軟件制造商Panorays發(fā)布的2024年CISO調(diào)查發(fā)現(xiàn),94%的CISO擔(dān)心第三方網(wǎng)絡(luò)安全威脅,但只有3%在其工作場(chǎng)所實(shí)施了第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)管理解決方案。
三、建立準(zhǔn)確、全面、不斷更新的第三方清單
如果首CISO無法全面了解企業(yè)的第三方供應(yīng)商,就無法充分管理第三方安全威脅。這也是一項(xiàng)富有挑戰(zhàn)性的任務(wù),因?yàn)楝F(xiàn)在越來越多的技術(shù)由業(yè)務(wù)部門部署,而不是由集中式IT職能部門負(fù)責(zé)盤點(diǎn)所有技術(shù)資產(chǎn)。因此,CISO需要實(shí)施策略來識(shí)別和維護(hù)準(zhǔn)確、全面和不斷更新的第三方清單,以評(píng)估和管理其安全風(fēng)險(xiǎn)。
雖然有一些軟件解決方案可以幫助CISO建立和管理第三方清單,但Valente建議CISO采取其他步驟來幫助找出第三方的問題。例如,CISO可以與財(cái)務(wù)部門合作審查經(jīng)常性付款(包括公司信用卡上的付款),以識(shí)別在沒有企業(yè)采購(gòu)部門參與的情況下所購(gòu)買的軟件和訂閱服務(wù)(未添加到庫(kù)存清單中)。
四、創(chuàng)建高效評(píng)估流程
識(shí)別和清查第三方只是一個(gè)開始。CISO還必須了解第三方可能帶來哪些安全威脅,這是一項(xiàng)更加艱巨的任務(wù)。“CISO必須進(jìn)行評(píng)估,但這些評(píng)估不能太長(zhǎng),以免CISO無法完成,”Valente說。同樣,CISO不能(也不應(yīng)該嘗試)對(duì)每個(gè)第三方進(jìn)行最嚴(yán)格的評(píng)估;這將是一項(xiàng)西西弗斯式的無休止任務(wù)。相反,她建議CISO制定方法來識(shí)別哪些第三方需要更嚴(yán)格的評(píng)估。根據(jù)Forrester的研究,不到50%的風(fēng)險(xiǎn)決策者評(píng)估了所有第三方,10%的受訪者表示只評(píng)估那些明確要求評(píng)估的第三方。
Valente警告企業(yè)不要將第三方的成本作為評(píng)估嚴(yán)格性的標(biāo)準(zhǔn),因?yàn)槟承┑谌椒?wù)可能成本很高,但安全風(fēng)險(xiǎn)較低,反之亦然。評(píng)估的嚴(yán)格程度應(yīng)與第三方所處理的數(shù)據(jù)的敏感性、其對(duì)運(yùn)營(yíng)的關(guān)鍵性以及涉及的技術(shù)集成水平掛鉤。
五、CISO深入?yún)⑴c第三方簽約流程
對(duì)第三方(無論是供應(yīng)商、銷售商還是合作伙伴)的安全檢查通常在采購(gòu)過程中進(jìn)行,但評(píng)估往往發(fā)生在流程的最后階段,此時(shí)大部分談判已經(jīng)完成,這導(dǎo)致CISO成了擺設(shè)。
醫(yī)療保科技公司McKesson的風(fēng)險(xiǎn)管理副總裁Tim Witos表示,CISO最好盡早參與采購(gòu)流程,并首先對(duì)企業(yè)領(lǐng)導(dǎo)者進(jìn)行教育,使其了解第三方風(fēng)險(xiǎn)包含哪些安全要素。CISO還應(yīng)該盡早與潛在供應(yīng)商和合作伙伴溝通,使其知曉必須具備哪些安全標(biāo)準(zhǔn)才能簽訂合同。
CISO還應(yīng)該索要第三方的網(wǎng)絡(luò)安全負(fù)責(zé)人的姓名和聯(lián)系信息,以便在發(fā)生事件時(shí)能夠聯(lián)系到他們(而不是嘗試通過客戶經(jīng)理進(jìn)行溝通,尤其是在發(fā)生網(wǎng)絡(luò)攻擊時(shí))。
六、將第三方風(fēng)險(xiǎn)管理常態(tài)化
合同簽署后,對(duì)第三方風(fēng)險(xiǎn)的管理并未結(jié)束。最有效、最成熟的TPRM計(jì)劃的第三方風(fēng)險(xiǎn)管理本質(zhì)上是一項(xiàng)持續(xù)工作,能隨時(shí)識(shí)別和緩解每個(gè)第三方關(guān)系存續(xù)過程中出現(xiàn)的風(fēng)險(xiǎn)。
第三方風(fēng)險(xiǎn)管理不是一個(gè)項(xiàng)目,而是一個(gè)流程。許多人對(duì)初步評(píng)估非常滿意,隨后就將文件束之高閣,無法回看風(fēng)險(xiǎn)是否相同、是否發(fā)生了變化,或者是否需要改變控制措施。
專家建議CISO持續(xù)監(jiān)控合同要求的遵守情況,并確定可能需要的調(diào)整和更新,并指出第三方風(fēng)險(xiǎn)管理程序軟件和流程自動(dòng)化可以大大緩解安全團(tuán)隊(duì)執(zhí)行此類任務(wù)的壓力。