2023年竟已接近尾声,2024年又该如何呢?安全和第三方风险管理的正忙于总结过去,展望未来。调查显示,仅有16%的组织表示,在过去的一年里他们有效地管理了第三方风险,我们需要重新审视现有流程效率的机会。
平均而言,一个组织会与88个第三方共享敏感或关键信息。对于员工超过10,000人的组织,这一数字增至173。这意味着第三方风险管理团队需要花费大量时间进行评估,而安全团队则需花费约三分之一的时间回应安全问卷。因此,与供应链伙伴合作是十分重要。
尽管在评估第三方网络风险方面进行了大量投资,但是,在分析结果和确定组织接下来应采取行动之间仍然存在差距。大多数评估最终并未转化为实际行动。
一、全球监管正在推动第三方风险管理的透明度
全球各地的监管和合规要求都在强调确保供应链的完整性。无论是美国最近的SEC网络风险披露规则、澳大利亚的CPS-234、欧洲的DORA,还是加拿大的OSFI TPRM指南,第三方风险管理都是全球企业的关注重点。虽然一些监管严格的行业可能已经建立了成熟的第三方风险管理项目,但仍有许多组织现在才开始建立他们的项目。
这种监管重点为第三方风险管理和安全团队在组织内部及与第三方合作伙伴之间的生态系统安全提供了新的机遇。组织需要重新考虑其第三方风险管理方法以及与供应商的关系。
二、通过合作提高全球安全水平
大多数安全评估每年进行一次,组织向其供应商发送安全评估,供应商的安全团队需要几天到几周的时间来完成,完成后通常就不再有后续动作。这种传统做法并不体现真正的伙伴关系。
现在,想象一下,如果安全团队不是通过电子表格或ITVRM平台进行年度评估,而是花时间与供应商合作,共享最佳实践,并共同解决关键安全问题,情况将如何?如果一个拥有成熟第三方风险管理项目的组织能够抽出时间与刚起步的供应商分享最佳实践,会有什么效果?
这将建立一种真正的伙伴关系,供应商更有可能响应其客户的需求,解决安全问题,并推动双方的责任。最终,组织能够通过评估加强与供应商的关系,并推动了安全的改善。
三、行动计划介绍:与您的供应链伙伴无缝合作
什么是行动与计划?这是一种让组织与其生态系统无缝合作并提升安全级别的方式。行动计划帮助客户通过一个仪表板与内部利益相关者和第三方进行简化的协作,生成动态的修复计划,优先处理关键漏洞,分派特定人员解决问题,并实时查看进展,从而节省时间并减少生态系统风险。
行动计划将通过以下方式根本改变第三方风险管理:
- 能够精确识别风险,并立即制定特定的修复计划,以达到所需的评分,从宏观到微观,或是针对符合风险偏好的特定问题。
- 实时掌握解决情况,能够协作、获取进展更新、提出澄清问题,并在一个仪表板上统一展示,简化沟通成本。
- 一个可扩展的工作流程,使第三方风险管理团队能够与整个供应链合作。对供应商解决状态的整体视图给安全团队和VRM团队提供了信心,让他们知道注意力应该放在在哪里,哪里需要驱动规模解决。