第三方供應(yīng)商風(fēng)險(xiǎn)評(píng)估|不要單獨(dú)管理第三方風(fēng)險(xiǎn)|虹科分享

使用ProcessUnity和虹科網(wǎng)絡(luò)安全評(píng)級(jí)的整體方法保護(hù)您的供應(yīng)商生態(tài)系統(tǒng)

賽義亞研究所的一項(xiàng)新研究發(fā)現(xiàn)，98%的組織與遭受入侵的第三方有業(yè)務(wù)往來。報(bào)告還發(fā)現(xiàn)，公司平均有11個(gè)第三方關(guān)系，以及數(shù)百個(gè)間接的第四方和第n方關(guān)系?？偨Y(jié)為一句話：不斷擴(kuò)大的攻擊面使公司更容易受到網(wǎng)絡(luò)攻擊。

即使有第三方風(fēng)險(xiǎn)管理(TPRM)計(jì)劃的組織也可能會(huì)遇到問題，因?yàn)槿绻麤]有正確的認(rèn)可級(jí)別，定期監(jiān)控供應(yīng)商合規(guī)性可能會(huì)很困難。雖然許多組織擁有IT和/或信息安全(InfoSec)團(tuán)隊(duì)，但這些部門可能不適合運(yùn)行TPRM。盡管在技術(shù)方面精通，但仍有合規(guī)、合同管理和與供應(yīng)商合作的問題需要考慮。與其將更多的工作分配給一個(gè)已經(jīng)捉襟見肘的部門，更全面的TPRM方法可能會(huì)有所幫助。

第三方風(fēng)險(xiǎn)管理：不僅僅是IT問題

當(dāng)涉及到第三方風(fēng)險(xiǎn)管理時(shí)，為如何收集數(shù)據(jù)、審查答案和補(bǔ)救問題建立流程和指導(dǎo)方針至關(guān)重要。此外，選擇調(diào)查問卷和證據(jù)收集解決方案將有助于使這一過程更加順利，并最大限度地減少不斷收到的電子郵件和多個(gè)數(shù)據(jù)點(diǎn)造成負(fù)擔(dān)過重的可能性。有了這項(xiàng)技術(shù)，組織就可以更好地提高其網(wǎng)絡(luò)彈性并降低供應(yīng)商生態(tài)系統(tǒng)中的風(fēng)險(xiǎn)。

供應(yīng)商風(fēng)險(xiǎn)管理聽起來像是一個(gè)IT問題，但實(shí)際上，它是一個(gè)業(yè)務(wù)問題。如果公司想要客戶信任他們，他們必須首先信任他們的供應(yīng)商。當(dāng)更多的部門將TPRM最佳實(shí)踐納入他們的日常工作流程時(shí)--在供應(yīng)商風(fēng)險(xiǎn)變成問題之前--供應(yīng)商風(fēng)險(xiǎn)管理將從痛點(diǎn)變成優(yōu)勢(shì)。

有效管理第三方風(fēng)險(xiǎn)的5個(gè)最佳實(shí)踐

要有效管理第三方風(fēng)險(xiǎn)并確保您的組織保持安全，實(shí)施以下最佳實(shí)踐非常重要：

1. 評(píng)估第三方風(fēng)險(xiǎn)

在評(píng)估第三方帶來的風(fēng)險(xiǎn)時(shí)，重點(diǎn)關(guān)注對(duì)您的業(yè)務(wù)最關(guān)鍵的領(lǐng)域是很重要的。此外，根據(jù)固有風(fēng)險(xiǎn)和供應(yīng)商數(shù)據(jù)確定評(píng)估范圍可確保您將資源專門用于最有可能成為攻擊者目標(biāo)的區(qū)域。這意味著對(duì)您的評(píng)估采用基于風(fēng)險(xiǎn)的方法，并利用網(wǎng)絡(luò)風(fēng)險(xiǎn)數(shù)據(jù)更好地了解每個(gè)供應(yīng)商的安全狀況。

2.找出工作流程中效率低下的地方

僅僅評(píng)估第三方供應(yīng)商帶來的風(fēng)險(xiǎn)是不夠的；您還需要識(shí)別您自己的流程和工作流中的低效。通過這樣做，您可以在您的路線圖中構(gòu)建解決方案來解決這些效率低下的問題，并改善您的整體安全態(tài)勢(shì)。這包括查看從您的供應(yīng)商入職流程到您的事件響應(yīng)工作流的所有內(nèi)容，并確定自動(dòng)化和簡(jiǎn)化可以提供幫助的領(lǐng)域。

3.協(xié)調(diào)內(nèi)部和外部控制評(píng)估

為了有效地管理第三方風(fēng)險(xiǎn)，重要的是使您的內(nèi)部和外部控制評(píng)估保持一致。這涉及到確保您用于管理內(nèi)部風(fēng)險(xiǎn)的控制與第三方供應(yīng)商之間的類似風(fēng)險(xiǎn)相對(duì)應(yīng)。通過這樣做，您可以確保在風(fēng)險(xiǎn)管理方面每個(gè)人都使用相同的語言，并且您的方法中沒有差距或不一致之處。

4.納入持續(xù)監(jiān)測(cè)

簡(jiǎn)單地對(duì)第三方風(fēng)險(xiǎn)進(jìn)行一次評(píng)估，然后繼續(xù)進(jìn)行評(píng)估是不夠的。為了確保持續(xù)的安全性，您需要將持續(xù)監(jiān)控納入您的流程中。利用自動(dòng)化來實(shí)時(shí)監(jiān)控您的供應(yīng)商，在出現(xiàn)任何潛在問題時(shí)立即標(biāo)記這些問題，并與您的第三方合作修復(fù)這些問題，這些都是主動(dòng)應(yīng)對(duì)威脅的方法，并確保您始終掌握最新的風(fēng)險(xiǎn)。

5.確定實(shí)時(shí)可見性的優(yōu)先順序

從供應(yīng)商入職的那一刻起，一直到下崗，持續(xù)跟蹤他們的網(wǎng)絡(luò)健康狀況是很重要的。通過這樣做，您可以確保您能夠在任何潛在風(fēng)險(xiǎn)或問題出現(xiàn)時(shí)立即識(shí)別它們，并在它們成為重大問題之前采取行動(dòng)加以緩解。這意味著利用自動(dòng)化和實(shí)時(shí)監(jiān)控來確保您始終清楚地了解您的供應(yīng)商風(fēng)險(xiǎn)狀況。

使用ProcessUnity和虹科網(wǎng)絡(luò)安全評(píng)級(jí)應(yīng)對(duì)第三方風(fēng)險(xiǎn)

ProcessUnity的預(yù)置連接器將虹科網(wǎng)絡(luò)安全評(píng)級(jí)的整體安全風(fēng)險(xiǎn)評(píng)級(jí)和單個(gè)域評(píng)級(jí)無縫集成到其第三方風(fēng)險(xiǎn)管理平臺(tái)中。這種集成使您可以在一個(gè)集中位置查看風(fēng)險(xiǎn)相關(guān)信息，而無需手動(dòng)輸入數(shù)據(jù)、持續(xù)更新信息或在您的安全評(píng)級(jí)解決方案和第三方風(fēng)險(xiǎn)管理平臺(tái)之間來回移動(dòng)。

虹科網(wǎng)絡(luò)安全評(píng)級(jí)與ProcessUnity的合作伙伴關(guān)系幫助客戶通過實(shí)時(shí)數(shù)據(jù)提高效率，同時(shí)對(duì)他們的第三方生態(tài)系統(tǒng)進(jìn)行一致、客觀和持續(xù)的監(jiān)控。培養(yǎng)更好的供應(yīng)商關(guān)系，密切關(guān)注危險(xiǎn)信號(hào)風(fēng)險(xiǎn)。獲得覆蓋整個(gè)生態(tài)系統(tǒng)的即時(shí)和持續(xù)可見性，從您自己的組織到您的第三方和第四方供應(yīng)商。