隨著云存儲、軟件即服務(SaaS)和人工智能、網(wǎng)絡安全等外部產(chǎn)品的激增，管理第三方供應商的風險變得空前緊迫和重要。

2023年RSA會議報告發(fā)現(xiàn)，87%的受訪CISO過去12個月遭受過源自第三方的重大網(wǎng)絡安全事件的影響。SecurityScorecard 2022年進行的一項研究顯示，98%的組織與至少一個在過去兩年發(fā)生過數(shù)據(jù)泄露的第三方供應商有合作關(guān)系。

根據(jù)甫瀚咨詢對全球1000多名企業(yè)高管的風險預測調(diào)查，“第三方風險”是2024年全球企業(yè)高管公認的第四大風險(通脹預期與經(jīng)濟狀況惡化、吸引并留住頂尖人才和網(wǎng)絡安全威脅排名前三)。

咨詢公司S-RM網(wǎng)絡安全實踐副總監(jiān)Matthew Mettenheimer認為，管理第三方風險的重擔最終會落到CISO和CIO身上，并建議企業(yè)遵循第三方風險管理的六大最佳實踐：

一、讓所有高管團隊對第三方風險達成共識

Forrester Research安全和風險高級分析師Alla Valente表示，第三方帶來的風險不僅包括網(wǎng)絡安全威脅，還會影響企業(yè)的所有方面，包括其運營能力。

然而，許多企業(yè)(尤其是沒有首席風險官的企業(yè))并沒有采取全面方法來管理第三方風險。相反，他們采取了是孤立的方法;CISO僅處理與網(wǎng)絡安全相關(guān)的第三方風險，而其他高管則負責可能影響其各自職能的風險。Valente說：這種方法可能會造成盲點和漏洞，因為當今第三方風險的主要挑戰(zhàn)是沒有單個團隊能夠解決所有風險。

Valente表示，CISO應該帶頭教育董事會和高管團隊，了解第三方風險對企業(yè)造成的相互關(guān)聯(lián)的影響和損失。

二、制定第三方風險管理計劃

成功管理第三方風險的另一個關(guān)鍵步驟是建立一種以項目為導向的方法，制定可以重復應用于眾多第三方的流程和標準。每個企業(yè)適用的第三方風險管理(TPRM)計劃都是獨一無二的，，以確保其評估第三方風險的方式符合該企業(yè)的監(jiān)管要求、數(shù)據(jù)保護要求和風險承受能力。

專業(yè)服務公司BPM的咨詢實踐合作伙伴Fred Rica表示，一種有用的策略是使用評分標準來對第三方風險進行分析和分類。例如，根據(jù)評分標準將第三方評級為低、中、高。評分標準還使企業(yè)能夠有效地確定每個第三方所需的評估和緩解控制水平，其中標記為高的第三方將受到最嚴格的審查和最多的緩解措施。

第三方風險管理框架和軟件可進一步幫助CISO及其高管同事建立TPRM的程序化方法。然而，該方法雖然很有效，但研究表明許多企業(yè)尚未采取此類措施。例如，第三方安全風險管理軟件制造商Panorays發(fā)布的2024年CISO調(diào)查發(fā)現(xiàn)，94%的CISO擔心第三方網(wǎng)絡安全威脅，但只有3%在其工作場所實施了第三方網(wǎng)絡風險管理解決方案。

三、建立準確、全面、不斷更新的第三方清單

如果首CISO無法全面了解企業(yè)的第三方供應商，就無法充分管理第三方安全威脅。這也是一項富有挑戰(zhàn)性的任務，因為現(xiàn)在越來越多的技術(shù)由業(yè)務部門部署，而不是由集中式IT職能部門負責盤點所有技術(shù)資產(chǎn)。因此，CISO需要實施策略來識別和維護準確、全面和不斷更新的第三方清單，以評估和管理其安全風險。

雖然有一些軟件解決方案可以幫助CISO建立和管理第三方清單，但Valente建議CISO采取其他步驟來幫助找出第三方的問題。例如，CISO可以與財務部門合作審查經(jīng)常性付款(包括公司信用卡上的付款)，以識別在沒有企業(yè)采購部門參與的情況下所購買的軟件和訂閱服務(未添加到庫存清單中)。

四、創(chuàng)建高效評估流程

識別和清查第三方只是一個開始。CISO還必須了解第三方可能帶來哪些安全威脅，這是一項更加艱巨的任務?！癈ISO必須進行評估，但這些評估不能太長，以免CISO無法完成，”Valente說。同樣，CISO不能(也不應該嘗試)對每個第三方進行最嚴格的評估;這將是一項西西弗斯式的無休止任務。相反，她建議CISO制定方法來識別哪些第三方需要更嚴格的評估。根據(jù)Forrester的研究，不到50%的風險決策者評估了所有第三方，10%的受訪者表示只評估那些明確要求評估的第三方。

Valente警告企業(yè)不要將第三方的成本作為評估嚴格性的標準，因為某些第三方服務可能成本很高，但安全風險較低，反之亦然。評估的嚴格程度應與第三方所處理的數(shù)據(jù)的敏感性、其對運營的關(guān)鍵性以及涉及的技術(shù)集成水平掛鉤。

五、CISO深入?yún)⑴c第三方簽約流程

對第三方(無論是供應商、銷售商還是合作伙伴)的安全檢查通常在采購過程中進行，但評估往往發(fā)生在流程的最后階段，此時大部分談判已經(jīng)完成，這導致CISO成了擺設(shè)。

醫(yī)療保科技公司McKesson的風險管理副總裁Tim Witos表示，CISO最好盡早參與采購流程，并首先對企業(yè)領(lǐng)導者進行教育，使其了解第三方風險包含哪些安全要素。CISO還應該盡早與潛在供應商和合作伙伴溝通，使其知曉必須具備哪些安全標準才能簽訂合同。

CISO還應該索要第三方的網(wǎng)絡安全負責人的姓名和聯(lián)系信息，以便在發(fā)生事件時能夠聯(lián)系到他們(而不是嘗試通過客戶經(jīng)理進行溝通，尤其是在發(fā)生網(wǎng)絡攻擊時)。

六、將第三方風險管理常態(tài)化

合同簽署后，對第三方風險的管理并未結(jié)束。最有效、最成熟的TPRM計劃的第三方風險管理本質(zhì)上是一項持續(xù)工作，能隨時識別和緩解每個第三方關(guān)系存續(xù)過程中出現(xiàn)的風險。

第三方風險管理不是一個項目，而是一個流程。許多人對初步評估非常滿意，隨后就將文件束之高閣，無法回看風險是否相同、是否發(fā)生了變化，或者是否需要改變控制措施。

專家建議CISO持續(xù)監(jiān)控合同要求的遵守情況，并確定可能需要的調(diào)整和更新，并指出第三方風險管理程序軟件和流程自動化可以大大緩解安全團隊執(zhí)行此類任務的壓力。