作为大型跨国企业的首席信息安全官逾二十载,我曾为若干极其复杂的组织创建、运营并持续优化第三方风险管理项目。这段经历让我获益良多,包括深刻认识到哪些方法行之有效、哪些行不通。如今,作为剑桥网络顾问公司的首席执行官,我坐在董事会另一侧,与董事会主席并肩协作,全力支持首席信息安全官在整个安全领域实现最大程度的风险降低。
作为董事会顾问,我经常看到安全团队向管理层汇报复杂的指标和数据。由于安全团队需要为非安全领域的受众调整数据,许多本应传达的信息和预期结果往往在传递过程中丢失。为此,安全团队创建了自己的一套有意义的指标体系。
本文将阐释有效指标的定义,探讨在确定向董事会汇报的合适指标时所面临的挑战,并介绍一套成熟的第三方风险指标汇报方法。
何为有效指标?它们如何应用于第三方风险管理?
安全报告应清晰简洁,而在第三方保证领域,这一点尤为关键。从首席信息安全官的角度来看,第三方保证是最难量化和管理的风险领域之一,这主要源于三个因素:
- 庞大的第三方生态系统
- 供应商之间持续不断的变化
- 同时管理数千家供应商所带来的资源调配挑战
因此,需要有意义的指标来向高管或董事会成员清晰阐述一套整合的关键绩效指标(KPI)和关键风险指标(KRI)。这些指标通过提炼数字背后的真实安全影响,减少了对大型复杂安全仪表板的分析需求。
有意义的指标示例包括平均检测时间(MTTD)。该指标向董事会展示您在供应链问题检测方面的效能,反映领先与滞后关键绩效指标/关键风险指标的表现,并涵盖技术、流程及文化层面的信息。必要时可随时提供额外细节,但首要任务是呈现综合且有意义的指标。
为何第三方风险管理报告如此具有挑战性
第三方风险管理报告的挑战可归纳为三大类:方法论、资源配置与工具支持。例如,若安全团队缺乏有效的第三方保障策略,那么关于如何管理供应商体系风险的规划便沦为战术性操作。团队需要在风险管控所需资源与流程成熟度之间取得平衡,将风险控制在可接受范围内。 毕竟,不成熟的方法需要投入更多资源(如预算、人力、时间等)才能运行。正因如此,工具化至关重要——它能推动创新,帮助企业摆脱用电子表格管理供应商风险的困境。
构建成熟第三方风险管理方法的三个步骤
成熟的第三方保证与有效指标交付方法如下:
- 与业务相关方深入沟通,确保您对预期业务需求和成果有清晰的认识。
- 制定一项内部计划,该计划不仅涵盖战术性业务需求,还需采取战略性方法来管理供应商风险。
- 通过采用专为第三方保证开发的工具,确保流程的优化与高效。合适的工具将使您能够近乎实时地掌握供应商风险状况,而非仅依赖年度评估。
这些实用改进措施适用于任何安全团队,既能提升其第三方保障流程的成熟度,又能向业务部门清晰阐述有意义的风险指标。
了解更多内容,请观看我的网络研讨会点播版《从海量第三方风险数据中提炼有效指标》。或立即联系Prevalent,了解其第三方风险管理解决方案。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
