做好第三方風(fēng)險(xiǎn)管理(TPRM)須面對(duì)8大挑戰(zhàn)

隨著軟件供應(yīng)鏈攻擊的不斷加劇,如何進(jìn)一步加強(qiáng)第三方風(fēng)險(xiǎn)管理(TPRM)工作已經(jīng)成為現(xiàn)代企業(yè)領(lǐng)導(dǎo)者們關(guān)注的焦點(diǎn)。因?yàn)?,今天的企業(yè)組織大量依賴于第三方生態(tài)來共同構(gòu)建產(chǎn)品,并完成對(duì)用戶的服務(wù)交付,因此創(chuàng)建一個(gè)有效的TPRM計(jì)劃對(duì)于組織評(píng)估潛在的安全風(fēng)險(xiǎn),管理不斷增長(zhǎng)的數(shù)字攻擊面至關(guān)重要。

1.png

本文來自微信公眾號(hào)“安全牛”。

隨著軟件供應(yīng)鏈攻擊的不斷加劇,如何進(jìn)一步加強(qiáng)第三方風(fēng)險(xiǎn)管理(TPRM)工作已經(jīng)成為現(xiàn)代企業(yè)領(lǐng)導(dǎo)者們關(guān)注的焦點(diǎn)。因?yàn)?,今天的企業(yè)組織大量依賴于第三方生態(tài)來共同構(gòu)建產(chǎn)品,并完成對(duì)用戶的服務(wù)交付,因此創(chuàng)建一個(gè)有效的TPRM計(jì)劃對(duì)于組織評(píng)估潛在的安全風(fēng)險(xiǎn),管理不斷增長(zhǎng)的數(shù)字攻擊面至關(guān)重要。

當(dāng)企業(yè)開始實(shí)施TPRM計(jì)劃時(shí),面臨困難和挑戰(zhàn)是在所難免的,這取決于其第三方生態(tài)系統(tǒng)的規(guī)模、安全態(tài)勢(shì)以及組織的現(xiàn)有安全狀況。日前,安全研究人員總結(jié)了企業(yè)組織在實(shí)施TPRM計(jì)劃時(shí)將面臨的最常見挑戰(zhàn):

●如何繪制有效地生態(tài)系統(tǒng)全景圖;

●如何開展供應(yīng)商盡職調(diào)查和風(fēng)險(xiǎn)評(píng)級(jí);

●如何為供應(yīng)商設(shè)置風(fēng)險(xiǎn)處置優(yōu)先級(jí);

●如何開展供應(yīng)商安全問卷調(diào)查;

●如何增強(qiáng)對(duì)所有供應(yīng)商的安全可見性;

●如何實(shí)現(xiàn)可持續(xù)地風(fēng)險(xiǎn)監(jiān)控;

●如何構(gòu)建自動(dòng)化TPRM流程;

●如何創(chuàng)建高效的TPRM管理策略。

01

如何繪制有效地生態(tài)系統(tǒng)全景圖

企業(yè)在實(shí)施TPRM計(jì)劃時(shí),面臨的第一個(gè)挑戰(zhàn)就是如何創(chuàng)建其供應(yīng)商生態(tài)系統(tǒng)的完整視圖。該視圖不僅應(yīng)包括組織當(dāng)前所有第三方供應(yīng)商的清單,還需要包括可能給組織帶來潛在風(fēng)險(xiǎn)的第四方服務(wù)商。當(dāng)組織無法有效地映射其供應(yīng)商時(shí),生態(tài)系統(tǒng)中就會(huì)產(chǎn)生盲點(diǎn),并導(dǎo)致組織混亂、缺乏風(fēng)險(xiǎn)可見性、未管理風(fēng)險(xiǎn)的增加以及供應(yīng)鏈攻擊的機(jī)會(huì)。

為了繪制完整的生態(tài)視圖,組織應(yīng)該在所有內(nèi)部部門之間共享供應(yīng)商信息,以有效地映射其整個(gè)第三方生態(tài)系統(tǒng)。組織還可以通過識(shí)別在第三方關(guān)系(會(huì)計(jì)、法律、運(yùn)營(yíng)等)中活躍的人員,專門評(píng)估每個(gè)人所涉及的重要供應(yīng)商信息(支出報(bào)告、合同、訂單等),并統(tǒng)一協(xié)調(diào)供應(yīng)商信息。在繪制生態(tài)系統(tǒng)視圖的同時(shí),組織還應(yīng)該同步設(shè)置入駐程序,以便將來添加新的供應(yīng)商。

02

如何開展供應(yīng)商盡職調(diào)查和風(fēng)險(xiǎn)評(píng)級(jí)

TPRM計(jì)劃實(shí)施的另一個(gè)常見挑戰(zhàn)是確定哪些風(fēng)險(xiǎn)評(píng)估措施是審核供應(yīng)商風(fēng)險(xiǎn)概況時(shí)所必需的。而在執(zhí)行盡職調(diào)查時(shí),組織又需要根據(jù)哪些因素(包括供應(yīng)商與敏感數(shù)據(jù)的接近程度、運(yùn)營(yíng)重要性等)對(duì)供應(yīng)商進(jìn)行風(fēng)險(xiǎn)級(jí)別評(píng)價(jià)?

風(fēng)險(xiǎn)評(píng)級(jí)可以幫助組織管理和準(zhǔn)確評(píng)估供應(yīng)商可能帶給組織的潛在風(fēng)險(xiǎn)程度。如果不能有效將風(fēng)險(xiǎn)分級(jí)納入到供應(yīng)商盡職調(diào)查計(jì)劃,企業(yè)將難以確定與該供應(yīng)商開展業(yè)務(wù)合作是否安全。為了做好供應(yīng)商盡職調(diào)查和風(fēng)險(xiǎn)評(píng)級(jí),組織應(yīng)該利用成熟的第三方供應(yīng)商管理工具來協(xié)助完成供應(yīng)商風(fēng)險(xiǎn)水平的評(píng)測(cè)。

03

如何為供應(yīng)商設(shè)置風(fēng)險(xiǎn)處置優(yōu)先級(jí)

在執(zhí)行完供應(yīng)商盡職調(diào)查和風(fēng)險(xiǎn)分級(jí)之后,組織還需要決定將哪些供應(yīng)商列為優(yōu)先進(jìn)行風(fēng)險(xiǎn)處置和事件響應(yīng)。通常,對(duì)企業(yè)業(yè)務(wù)運(yùn)營(yíng)至關(guān)重要的供應(yīng)商可能會(huì)獲得最高級(jí)別的風(fēng)險(xiǎn)處置關(guān)注。

一個(gè)完善的供應(yīng)商風(fēng)險(xiǎn)管理系統(tǒng)應(yīng)該允許組織主動(dòng)發(fā)現(xiàn)第三方安全風(fēng)險(xiǎn),按嚴(yán)重程度對(duì)安全風(fēng)險(xiǎn)進(jìn)行排序,并要求供應(yīng)商及時(shí)糾正錯(cuò)誤。對(duì)于高風(fēng)險(xiǎn)供應(yīng)商,可能需要更嚴(yán)格的第三方風(fēng)險(xiǎn)管理策略。對(duì)于最高風(fēng)險(xiǎn)級(jí)別的供應(yīng)商,可能需要遠(yuǎn)程或現(xiàn)場(chǎng)審計(jì)以確保信息安全。相比之下,低風(fēng)險(xiǎn)的供應(yīng)商通常只需要例行合規(guī)性檢查即可。

04

如何開展供應(yīng)商安全問卷調(diào)查

各種類型的供應(yīng)商風(fēng)險(xiǎn)評(píng)估方法(審計(jì)、滲透測(cè)試和問卷調(diào)查)都有其優(yōu)點(diǎn)和缺點(diǎn)?,F(xiàn)場(chǎng)審計(jì)和滲透測(cè)試需要大量的資源,包括時(shí)間、金錢和專業(yè)人員。在這種情況下,大多數(shù)組織都會(huì)選擇自我評(píng)價(jià)風(fēng)險(xiǎn)的問卷調(diào)查方式,這也比較適用于中等及以下風(fēng)險(xiǎn)等級(jí)的供應(yīng)商。

當(dāng)企業(yè)組織在整個(gè)供應(yīng)鏈中分發(fā)安全調(diào)查問卷時(shí),要確保每個(gè)供應(yīng)商都能夠認(rèn)真填寫問卷,并驗(yàn)證每個(gè)供應(yīng)商答案的有效性,這些都可能給組織帶來挑戰(zhàn)。為了應(yīng)對(duì)這一挑戰(zhàn),組織應(yīng)該考慮將問卷調(diào)查工作外包給獨(dú)立的第三方結(jié)構(gòu),這樣可以顯著提升問卷調(diào)查的有效性。

05

如何增強(qiáng)對(duì)所有供應(yīng)商的安全可見性

隨著數(shù)字化轉(zhuǎn)型發(fā)展的深入,企業(yè)的供應(yīng)商生態(tài)系統(tǒng)也在不斷增長(zhǎng),其安全可見性將變得越來越難以維護(hù)。對(duì)于組織來說,需要將所有供應(yīng)商的安全可見性與保護(hù)數(shù)據(jù)隱私的合規(guī)要求結(jié)合起來,以確保所有供應(yīng)商都能符合行業(yè)性的安全標(biāo)準(zhǔn)。為了應(yīng)對(duì)這一挑戰(zhàn),企業(yè)可以利用供應(yīng)商管理工具在一個(gè)集中位置監(jiān)視所有供應(yīng)商,并持續(xù)性分析整個(gè)供應(yīng)鏈中每個(gè)供應(yīng)商的合規(guī)狀態(tài),及時(shí)發(fā)現(xiàn)其中的違規(guī)風(fēng)險(xiǎn)。

06

如何實(shí)現(xiàn)可持續(xù)地風(fēng)險(xiǎn)監(jiān)控

在第三方風(fēng)險(xiǎn)管理過程中,很多風(fēng)險(xiǎn)評(píng)估方法僅能夠評(píng)估當(dāng)前時(shí)刻供應(yīng)商的風(fēng)險(xiǎn)態(tài)勢(shì)。但是,隨著業(yè)務(wù)的推進(jìn)發(fā)展,以及供應(yīng)商的安全態(tài)勢(shì)不斷變化,這可能會(huì)使組織無法及時(shí)識(shí)別出很多動(dòng)態(tài)產(chǎn)生的第三方安全風(fēng)險(xiǎn)。

為了獲取到最新的風(fēng)險(xiǎn)視圖,組織應(yīng)該在其TPRM計(jì)劃中實(shí)現(xiàn)連續(xù)的風(fēng)險(xiǎn)監(jiān)控。持續(xù)監(jiān)控可組織帶來如下好處:

●顯著提高第三方安全事件響應(yīng)指標(biāo);

●提高整個(gè)供應(yīng)商生態(tài)系統(tǒng)的持續(xù)可見性;

●消除問卷周期之間可能出現(xiàn)的安全盲點(diǎn);

●提供實(shí)時(shí)的安全狀態(tài)更新。

07

如何構(gòu)建自動(dòng)化TPRM流程

隨著企業(yè)規(guī)模的擴(kuò)大和第三方合作伙伴數(shù)量的增加,其TPRM計(jì)劃的維護(hù)將變得更具挑戰(zhàn)性。實(shí)現(xiàn)自動(dòng)化是企業(yè)加強(qiáng)其TPRM計(jì)劃的最佳方式。通過自動(dòng)化流程,企業(yè)可以將其TPRM工作標(biāo)準(zhǔn)化,減少風(fēng)險(xiǎn)管理中的錯(cuò)誤和疏漏。一些先進(jìn)的自動(dòng)化TPRM工具還配備了風(fēng)險(xiǎn)審計(jì)工具,可以確保部署的風(fēng)險(xiǎn)控制措施安全有效。

08

如何創(chuàng)建高效的TPRM管理策略

在TPRM實(shí)施過程中,企業(yè)將面臨的最困難的挑戰(zhàn)就是如何將風(fēng)險(xiǎn)管理的各個(gè)環(huán)節(jié)融合在一起,形成一個(gè)全面、高效的第三方供應(yīng)商風(fēng)險(xiǎn)管理體系。大量應(yīng)用實(shí)踐表明,一個(gè)完整的TPRM管理策略應(yīng)包括以下關(guān)鍵元素:

●供應(yīng)商合規(guī)標(biāo)準(zhǔn);

●供應(yīng)商在數(shù)據(jù)泄露事件中的責(zé)任;

●可接受的供應(yīng)商安全態(tài)勢(shì)和安全等級(jí)控制;

●發(fā)生第三方數(shù)據(jù)泄露或安全事件時(shí)的響應(yīng)計(jì)劃;

●組織對(duì)戰(zhàn)略風(fēng)險(xiǎn)和其他TPRM原則的態(tài)度;

●高級(jí)管理層的監(jiān)督管理制度。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無評(píng)論