我们近期采访了一位第三方风险管理领域的思想领袖,旨在了解其如何在其他安全与风险考量中审视第三方风险。在这篇博客中,这位首席信息安全官阐述了构建可持续第三方风险管理计划所需的关键要素。鉴于文中观点涉及敏感话题——风险与安全领域向来备受关注——该首席信息安全官要求不公开其姓名及公司名称。
第三方风险管理如何演变?这如何影响了您的整体风险暴露面?
过去10到15年间,我们目睹了生态系统通过数字化进程迅速扩张,吸纳了更多第三方参与者。过去这些参与者仅提供现场商品与服务,如今模式已转向基于云端的"即服务"模式,这使得企业面临的风险敞口不断扩大。 企业往往以专业能力和成本节约为由,在一定程度上放弃了控制权。但需谨记:风险外包绝不等同于责任外包,切勿陷入这种误区。
在评估供应商及其他第三方时,您面临的最大挑战是什么?
我关注的是第三方是否遵循与我相同的准则,而这种情况几乎从未发生。 问题在于范围界定。他们在风险评估问卷中回答问题时,往往仅限于问卷范围内的内容。例如当我询问第三方是否对"传输中和静止状态"的数据进行加密,他们回答"是"就草草了事。要真正弄清问题本质,需要远超简单问答的投入和背景信息,且难以验证。这种做法难以规模化。
说到验证,那么用于验证控制措施是否到位的外部措施又如何呢?
这要看情况。如果你指的是扫描和评分工具,我发现它们通常都不准确。所有工具生成的数据都各不相同,既缺乏上下文又没有透明度。全是所谓的"独家秘方"。
你需要向董事会提交哪些报告?他们关注哪些内容?
不同组织的情况各异,但核心在于平衡你希望他们关注的事项与他们实际关注的事项。在董事会层面的每场对话中,都应从商业角度切入,识别业务面临的风险——重点不在于安全风险或事件本身,而在于该风险或事件对业务产生的实际下游影响。
问题在于,风险的真实面貌与如何有效传达风险之间始终存在着一道鸿沟。这一问题的根源在于责任归属——从概念上讲,这与财务报告并无二致。安全风险报告必须采用与财务风险报告相同的严谨标准和方法。我认为当前多数董事会尚未认识到这一点,在他们真正理解之前,这些组织将持续面临认知缺口。 还记得安然公司对财务报告造成的冲击吗?我衷心希望不必等到"网络版安然"事件发生才能唤醒董事会。但若无法明确界定危害程度,就永远无法获得决策层的支持。
隐私呢?除了因新冠疫情危机而产生的"业务韧性"或"业务连续性"之外,"隐私"近期已成为第三方讨论的主旋律。
在《加州消费者隐私法案》(CCPA)
及其他相关法案的推动下,隐私问题将成为问责讨论的核心议题。这正是立法最值得期待的成果:问责机制。如此级别的执法力度必将提升监管强度,迫使企业认真对待隐私保护,而非仅仅走走过场。
问题在于法律是在国界内制定的,但互联网却打破了国界。全球范围内有什么法律能管住互联网?它并不受物理边界的约束。从概念上讲,这与这个国家建立时的模式截然不同。
您心目中理想的第三方风险管理计划应具备哪些要素?其核心组成部分或关键要素是什么?
首先,深入企业内部,记录其核心诉求。判断这些需求是否与贵公司的使命和目标相契合。最重要的是,要全面采纳企业的建议。随后,列出X项最重要的事项,进行优先级排序,并带着企业可接受的风险范围范围返回商讨。这便是治理的开端。
一旦确定了治理框架,就需要评估第三方供应商,并衡量其风险水平是否符合企业声明的风险容忍度。随后——这通常是劳动密集型环节——需建立持续监控机制。具体包括:确定所需信息类型、判断是否适用于所有第三方供应商,以及制定长期管理方案。
建立正确的治理结构——并保持持续的教育透明度——对长期成功至关重要。
当您与其他组织交流时,您会给他们哪些指导?从何处着手、如何确定优先级等等。
首先必须明确对企业而言什么才是关键所在,正如我在前一问题中所述。一旦厘清重点事项——并确保与企业之间保持双向顺畅沟通——你便拥有了更坚实的基础,由此开展尽职调查并据此做出基于风险的决策。
此外,请记住这不仅关乎评估业务的财务风险——还必须考虑数据隐私问题。这些讨论必须在最高层级展开。 决策权与责任归属在于业务部门,而非安全部门。安全团队的职责并非接受风险——我的工作是进行风险评估。必须向业务部门阐明风险的实质,分析数据,提出关键问题,并提供充分信息,使其能够接受符合企业特性的风险承受能力。
什么让你夜不能寐?
身为首席信息安全官,我多年未曾安眠😊。说真的,我时常自问是否已竭尽所能完成使命。比如当事故发生时,我能否从容向业务部门汇报事件经过、成因及应对措施? 我早已接受首席信息安全官这个职位没有工作保障的事实,但我必须对自己坦然:我已倾尽全力,且在掌控可控之事。至于那些不靠谱的供应商们...那又是另一回事了。
若需了解Prevalent如何助您应对第三方权利管理挑战,请立即联系我们,下载最佳实践指南,或进行快速在线评估以确定您的TPRM项目成熟度水平。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
