长期以来,公司一直依赖制造商、服务提供商、供应商或顾问等丰富的外部各方网络来促进整体运营并从外部专业知识或产品中获益。虽然这些合作伙伴关系通常是互惠互利的,但公司也需要意识到第三方甚至第四方供应商带来的潜在风险,并考虑整个供应商生态系统的安全性。
不幸的是,80% 的公司担心他们无法全面了解第三方合作伙伴的安全状况。这是一个亟待解决的痛点,因为供应链中任何环节的漏洞都可能导致灾难性后果,例如数据泄露、巨额罚款、声誉受损等。
2020 年的 SolarWinds 黑客事件就是 一个典型的例子,当时国家黑客入侵了 SolarWinds 的 Orion 系统,并发起了供应链攻击,渗透了包括联邦机构在内的数千名 SolarWinds 客户的网络、系统和数据。虽然这种特定的攻击非常复杂,但供应链的弱点可能源于简单的监督或宽松的程序,例如外部供应商或承包商能够在不满足公司合同或程序的情况下访问敏感数据。
由于第三方风险管理 (TPRM) 的复杂性,整个过程可能会让人感到不知所措,尤其是对于没有专门的 GRC 团队来应对挑战的公司而言。
让自动化来完成繁重的工作
不幸的是,这种不堪重负往往源于公司依靠手动、劳动密集型流程来审查和管理第三方合作伙伴,从而浪费了他们宝贵的时间和资源。他们不仅需要评估供应商公司,还需要评估占美国劳动力 36% 的合同工、自由职业者和临时工,以及生成式人工智能等第三方软件和工具,这些都可以带来额外的影响。
数据安全风险。从本质上讲,任何被授予任何级别的内部系统或数据访问权限的实体、个人或工具都应被视为潜在的责任,尽管大多数第三方供应商努力维护与其合作的公司的声誉和安全期望。
虽然许多组织仍然使用电子表格来管理第三方关系并跟踪访问级别、已识别的风险、缓解问题的时间等指标,但研究表明,所有 TPRM 任务中近一半是由某种程度的技术或流程自动化支持的,并且预计这一比例只会增长。手动流程为人为错误留下了空间,因为通常存在大量供应商和数据,并且它们的状态经常变化,更不用说 GRC 团队本身就捉襟见肘。
此外,由于这些手动方法可能非常繁琐,许多组织只对其供应商进行一次评估(通常是在关系开始时),为他们提供有限的风险级别“时间点”快照,而不是评估他们的供应商。持续验证合规性。由于这些限制, 83% 最近接受调查的组织因其当前流程而遭受了负面后果。
这就是自动化合规解决方案可以发挥真正作用的地方。自动化缓解了许多常见的痛点,并帮助组织更轻松地根据既定策略标准衡量供应商的绩效。自动化可以处理重复性任务、为供应商提供风险评分、标记需要注意的问题、记录结果等。
最重要的是,这些解决方案可以实时了解第三方和第四方供应商的风险和安全状况。他们有能力不断验证自己是否符合数据隐私法规(例如GDPR或 CCPA)或安全框架(例如 ISO 27001 或 SOC 2)或更专业的相关框架。
在自动化合规工具的支持下,公司可以放心并且有文件证明,他们的整个供应商生态系统致力于最大限度地减少网络风险,并拥有必要的安全控制措施。公司可以依靠现成平台进行的 100% 客观审核,而不是依赖不可靠的手动评估或根据自行填写的安全调查问卷相信供应商的话。
转向每个阶段的持续监控
如前所述,管理供应商合作伙伴并不是一项“一劳永逸”的活动。这就是为什么技术如此重要,它可以避免这一过程成为一项艰巨的工作,并使持续监控在供应商生命周期的每个阶段都更加现实。例如,考虑初始评估阶段,公司邀请供应商投标或推介他们的服务。此时应该需要进行安全调查问卷,特别是对于将获得对系统的完全访问权限的潜在客户。
这些调查问卷可以自动启动,同时仍然允许受访者补充答案或资源。要求提供安全审计报告来阐明在签署合同之前需要解决的任何缺陷也是一个好主意。无论供应商前景的规模或影响力如何,公司在评估风险时都应始终进行尽职调查,以避免容易预防的攻击。
公司应向经批准的供应商提供一份合同,其中明确概述了合规性期望,包括他们必须在多长时间内解决早期安全审计中发现的任何问题的时间表。合同应明确指出,如果在审查周期中标记出未来的问题而未及时解决,则可能导致不续签甚至终止关系。此外,此阶段还确定管理每个新供应商的潜在风险以及需要哪些安全控制的流程。
一旦概述了这个流程,就需要坚持下去并持续监控供应商对公司风险管理政策的遵守情况。如果出现问题,公司应立即解决,如果问题特别令人担忧或难以解决,则终止合作关系。在与供应商的工作关系中,公司应该培训员工如何安全地与第三方打交道。
最后,当需要与供应商分道扬镳时,公司需要通过将供应商从系统中删除并确认他们不再拥有或继续访问敏感数据来远离任何剩余的风险。自动化合规软件可以帮助团队维护一份最新的活跃和终止供应商列表,以确保没有任何事情(也没有人)被遗漏。
创建值得信赖的生态系统
在公司与外部供应商建立关系的每一步中,安全都需要成为首要考虑因素,不仅是为了避免潜在的灾难性后果,而且是因为相互关联的组织有共同的责任来创建可信的生态系统并保护整个企业的数据和隐私。供应链(及其客户)。此外,加强监督可以防止小问题日后变成大问题。
虽然大多数第三方供应商关系将带来积极的业务成果,但公司需要定期审查他们所参与的每一个外部关系,以确保其供应商始终遵守安全协议。通过用自动化取代手动流程以及从定期第三方合规性检查转向持续性第三方合规性检查,组织将减少人为错误,节省时间和资源,并对其整个供应商生态系统的潜在风险拥有更高的可见性和控制力。
