隨著云存儲(chǔ)、軟件即服務(wù)(SaaS)和人工智能、網(wǎng)絡(luò)安全等外部產(chǎn)品的激增，管理第三方供應(yīng)商的風(fēng)險(xiǎn)變得空前緊迫和重要。

2023年RSA會(huì)議報(bào)告發(fā)現(xiàn)，87%的受訪CISO過去12個(gè)月遭受過源自第三方的重大網(wǎng)絡(luò)安全事件的影響。SecurityScorecard 2022年進(jìn)行的一項(xiàng)研究顯示，98%的組織與至少一個(gè)在過去兩年發(fā)生過數(shù)據(jù)泄露的第三方供應(yīng)商有合作關(guān)系。

根據(jù)甫瀚咨詢對(duì)全球1000多名企業(yè)高管的風(fēng)險(xiǎn)預(yù)測(cè)調(diào)查，“第三方風(fēng)險(xiǎn)”是2024年全球企業(yè)高管公認(rèn)的第四大風(fēng)險(xiǎn)(通脹預(yù)期與經(jīng)濟(jì)狀況惡化、吸引并留住頂尖人才和網(wǎng)絡(luò)安全威脅排名前三)。

咨詢公司S-RM網(wǎng)絡(luò)安全實(shí)踐副總監(jiān)Matthew Mettenheimer認(rèn)為，管理第三方風(fēng)險(xiǎn)的重?fù)?dān)最終會(huì)落到CISO和CIO身上，并建議企業(yè)遵循第三方風(fēng)險(xiǎn)管理的六大最佳實(shí)踐：

一、讓所有高管團(tuán)隊(duì)對(duì)第三方風(fēng)險(xiǎn)達(dá)成共識(shí)

Forrester Research安全和風(fēng)險(xiǎn)高級(jí)分析師Alla Valente表示，第三方帶來的風(fēng)險(xiǎn)不僅包括網(wǎng)絡(luò)安全威脅，還會(huì)影響企業(yè)的所有方面，包括其運(yùn)營(yíng)能力。

然而，許多企業(yè)(尤其是沒有首席風(fēng)險(xiǎn)官的企業(yè))并沒有采取全面方法來管理第三方風(fēng)險(xiǎn)。相反，他們采取了是孤立的方法;CISO僅處理與網(wǎng)絡(luò)安全相關(guān)的第三方風(fēng)險(xiǎn)，而其他高管則負(fù)責(zé)可能影響其各自職能的風(fēng)險(xiǎn)。Valente說：這種方法可能會(huì)造成盲點(diǎn)和漏洞，因?yàn)楫?dāng)今第三方風(fēng)險(xiǎn)的主要挑戰(zhàn)是沒有單個(gè)團(tuán)隊(duì)能夠解決所有風(fēng)險(xiǎn)。

Valente表示，CISO應(yīng)該帶頭教育董事會(huì)和高管團(tuán)隊(duì)，了解第三方風(fēng)險(xiǎn)對(duì)企業(yè)造成的相互關(guān)聯(lián)的影響和損失。

二、制定第三方風(fēng)險(xiǎn)管理計(jì)劃

成功管理第三方風(fēng)險(xiǎn)的另一個(gè)關(guān)鍵步驟是建立一種以項(xiàng)目為導(dǎo)向的方法，制定可以重復(fù)應(yīng)用于眾多第三方的流程和標(biāo)準(zhǔn)。每個(gè)企業(yè)適用的第三方風(fēng)險(xiǎn)管理(TPRM)計(jì)劃都是獨(dú)一無二的，，以確保其評(píng)估第三方風(fēng)險(xiǎn)的方式符合該企業(yè)的監(jiān)管要求、數(shù)據(jù)保護(hù)要求和風(fēng)險(xiǎn)承受能力。

專業(yè)服務(wù)公司BPM的咨詢實(shí)踐合作伙伴Fred Rica表示，一種有用的策略是使用評(píng)分標(biāo)準(zhǔn)來對(duì)第三方風(fēng)險(xiǎn)進(jìn)行分析和分類。例如，根據(jù)評(píng)分標(biāo)準(zhǔn)將第三方評(píng)級(jí)為低、中、高。評(píng)分標(biāo)準(zhǔn)還使企業(yè)能夠有效地確定每個(gè)第三方所需的評(píng)估和緩解控制水平，其中標(biāo)記為高的第三方將受到最嚴(yán)格的審查和最多的緩解措施。

第三方風(fēng)險(xiǎn)管理框架和軟件可進(jìn)一步幫助CISO及其高管同事建立TPRM的程序化方法。然而，該方法雖然很有效，但研究表明許多企業(yè)尚未采取此類措施。例如，第三方安全風(fēng)險(xiǎn)管理軟件制造商Panorays發(fā)布的2024年CISO調(diào)查發(fā)現(xiàn)，94%的CISO擔(dān)心第三方網(wǎng)絡(luò)安全威脅，但只有3%在其工作場(chǎng)所實(shí)施了第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)管理解決方案。

三、建立準(zhǔn)確、全面、不斷更新的第三方清單

如果首CISO無法全面了解企業(yè)的第三方供應(yīng)商，就無法充分管理第三方安全威脅。這也是一項(xiàng)富有挑戰(zhàn)性的任務(wù)，因?yàn)楝F(xiàn)在越來越多的技術(shù)由業(yè)務(wù)部門部署，而不是由集中式IT職能部門負(fù)責(zé)盤點(diǎn)所有技術(shù)資產(chǎn)。因此，CISO需要實(shí)施策略來識(shí)別和維護(hù)準(zhǔn)確、全面和不斷更新的第三方清單，以評(píng)估和管理其安全風(fēng)險(xiǎn)。

雖然有一些軟件解決方案可以幫助CISO建立和管理第三方清單，但Valente建議CISO采取其他步驟來幫助找出第三方的問題。例如，CISO可以與財(cái)務(wù)部門合作審查經(jīng)常性付款(包括公司信用卡上的付款)，以識(shí)別在沒有企業(yè)采購(gòu)部門參與的情況下所購(gòu)買的軟件和訂閱服務(wù)(未添加到庫(kù)存清單中)。

四、創(chuàng)建高效評(píng)估流程

識(shí)別和清查第三方只是一個(gè)開始。CISO還必須了解第三方可能帶來哪些安全威脅，這是一項(xiàng)更加艱巨的任務(wù)。“CISO必須進(jìn)行評(píng)估，但這些評(píng)估不能太長(zhǎng)，以免CISO無法完成，”Valente說。同樣，CISO不能(也不應(yīng)該嘗試)對(duì)每個(gè)第三方進(jìn)行最嚴(yán)格的評(píng)估;這將是一項(xiàng)西西弗斯式的無休止任務(wù)。相反，她建議CISO制定方法來識(shí)別哪些第三方需要更嚴(yán)格的評(píng)估。根據(jù)Forrester的研究，不到50%的風(fēng)險(xiǎn)決策者評(píng)估了所有第三方，10%的受訪者表示只評(píng)估那些明確要求評(píng)估的第三方。

Valente警告企業(yè)不要將第三方的成本作為評(píng)估嚴(yán)格性的標(biāo)準(zhǔn)，因?yàn)槟承┑谌椒?wù)可能成本很高，但安全風(fēng)險(xiǎn)較低，反之亦然。評(píng)估的嚴(yán)格程度應(yīng)與第三方所處理的數(shù)據(jù)的敏感性、其對(duì)運(yùn)營(yíng)的關(guān)鍵性以及涉及的技術(shù)集成水平掛鉤。

五、CISO深入?yún)⑴c第三方簽約流程

對(duì)第三方(無論是供應(yīng)商、銷售商還是合作伙伴)的安全檢查通常在采購(gòu)過程中進(jìn)行，但評(píng)估往往發(fā)生在流程的最后階段，此時(shí)大部分談判已經(jīng)完成，這導(dǎo)致CISO成了擺設(shè)。

醫(yī)療保科技公司McKesson的風(fēng)險(xiǎn)管理副總裁Tim Witos表示，CISO最好盡早參與采購(gòu)流程，并首先對(duì)企業(yè)領(lǐng)導(dǎo)者進(jìn)行教育，使其了解第三方風(fēng)險(xiǎn)包含哪些安全要素。CISO還應(yīng)該盡早與潛在供應(yīng)商和合作伙伴溝通，使其知曉必須具備哪些安全標(biāo)準(zhǔn)才能簽訂合同。

CISO還應(yīng)該索要第三方的網(wǎng)絡(luò)安全負(fù)責(zé)人的姓名和聯(lián)系信息，以便在發(fā)生事件時(shí)能夠聯(lián)系到他們(而不是嘗試通過客戶經(jīng)理進(jìn)行溝通，尤其是在發(fā)生網(wǎng)絡(luò)攻擊時(shí))。

六、將第三方風(fēng)險(xiǎn)管理常態(tài)化

合同簽署后，對(duì)第三方風(fēng)險(xiǎn)的管理并未結(jié)束。最有效、最成熟的TPRM計(jì)劃的第三方風(fēng)險(xiǎn)管理本質(zhì)上是一項(xiàng)持續(xù)工作，能隨時(shí)識(shí)別和緩解每個(gè)第三方關(guān)系存續(xù)過程中出現(xiàn)的風(fēng)險(xiǎn)。

第三方風(fēng)險(xiǎn)管理不是一個(gè)項(xiàng)目，而是一個(gè)流程。許多人對(duì)初步評(píng)估非常滿意，隨后就將文件束之高閣，無法回看風(fēng)險(xiǎn)是否相同、是否發(fā)生了變化，或者是否需要改變控制措施。

專家建議CISO持續(xù)監(jiān)控合同要求的遵守情況，并確定可能需要的調(diào)整和更新，并指出第三方風(fēng)險(xiǎn)管理程序軟件和流程自動(dòng)化可以大大緩解安全團(tuán)隊(duì)執(zhí)行此類任務(wù)的壓力。