让管理层关注第三方风险

阿曼达·菲娜：大家好。我正看着这些数字跳动呢。无论您身处何地，早上好、下午好或晚上好。我是阿曼达·菲娜，担任今天会议的主持人。本次会议特邀嘉宾是剑桥网络顾问公司首席执行官布莱恩·利特尔费尔，他曾担任沃达丰集团和英杰华集团的全球首席信息安全官。他将分享如何让第三方风险管理成为高管团队优先事项的见解。 特别惊喜的是，我们的产品营销副总裁斯科特·朗也将参与今日讨论。我们很想知道各位参与本次会议的动机。现在开启名为"等待期间"的投票环节，想了解大家参与本次会议的原因： 是为获取知识？还是项目调研？抑或不知为何而来？后者本身就是个有趣话题。我们很想了解各位的参与动机——无论是偶然发现还是老客户重返，都让我们倍感欣喜。 现在说明几项注意事项：各位麦克风已默认静音，但我们希望保持互动性。请通过问答功能充分利用布莱恩和斯科特的专业知识，尽情提问。为保持流程顺畅，我们很可能会在最后通过问答环节配合另一项投票提问——这也引出下一条要求。 请如实填写投票选项，我们将根据反馈进行个性化跟进。特别是当您对某项内容表示赞同时，请知悉后续将收到来自我本人、梅丽莎或兰登的专属服务。为避免混淆，请务必明确选择。本次会议全程录制，视频将于今日结束前或明日发送至您的邮箱。 这样您将有充足时间回顾内容、分享给朋友等。我们会尽快将资料交付到您手中。我的部分就到这里，现在可以开始了。布莱恩，接下来请您主持。

布莱恩·利特尔费尔：谢谢你，阿曼达。大家好，今天能从英国与各位交流真是太好了。此刻你们或许正开始新的一天，或正值工作时段，而这边一天已接近尾声。但这个话题对我而言意义非凡。 正如阿曼达所言，我曾担任多家机构的首席信息安全官，如今仍以临时或巡回高管身份从事相关工作。我常在董事会会议室工作，也频繁在会议上发表演讲，探讨如何弥合首席信息安全官与董事会、或与高管团队之间的认知鸿沟，以及如何改善这种关系。 能借第三方风险管理这个我特别关注的主题，结合具体案例和方法论，分享日常工作中遇到的挑战，真是再好不过了。那么，我们开始吧。这就是我。 我该理发了，对吧？先做些背景铺垫。过去十年我频繁出席董事会会议，不仅限于安全议题。身为CISO，你总被推上台阶。 完成CISO职责后便被推走。而如今作为全球董事会及高管团队的网络顾问，我得以更深入参与董事会会议——这有利有弊。同样需要研读董事会资料包等材料。但这十年间我见证了转变：董事会开始真正理解网络安全。

布莱恩·利特尔费尔：嗯，我认为推动这一趋势的核心在于——我们正为众多跨国客户监测全球各地的监管动态。我们开始注意到，这些监管要求和指令正逐步趋于统一，尤其在受监管行业中，其对企业如何处理网络安全的期望已变得极其明确。 无论是在美国还是英国及欧洲，各国政府乃至公民都开始反思：我们把数据托付给这些企业，却遭遇一次又一次数据泄露事件。他们希望重建信任机制，让本国公民真正信任那些托管数据的企业。因此，相关机构必须建立适当的管控措施和防护机制。但众所周知，这不仅是企业层面的问题， 能对托管数据的机构产生信任。因此该机构必须建立适当的管控措施。但众所周知，这不仅关乎你对接的直接机构。在许多情况下，整个第三方、第四方乃至第n方的供应链都实际掌握着客户数据。正因如此，董事会和高管团队开始真正重视并聚焦这些议题。 我观察到他们正积极推动风险态势的清晰化，而当前诸多问题其实源于我们安全团队这边——我们长期试图传达的信息，虽然他们有所需求，却对我们的叙述方式并不完全满意，至少并非所有情况都如此。 许多企业在第三方风险管理方面起步阶段成熟度较低。要全面理解整个供应链对母公司构成的风险，需要经历漫长而复杂的认知过程。若刚踏上这条道路，固然可设置加速点，但要达到理想认知水平仍需时日。

布莱恩·利特尔费尔：正如我将在本幻灯片中阐述的，许多组织处于不同的成熟阶段。要知道，没有两家机构处于相同位置，每个组织都独一无二。但我认为，若能意识到董事会对你的见解感兴趣——尽管董事会与高管团队是不同实体，在此讨论中可视为同等主体——他们渴望获得清晰的洞见，渴求关键信息。 若能理解他们期望的信息呈现形式——毕竟董事会通用的语言是财务与风险——我认为你就能开始获得关注。今天我将分享一些行之有效的实践方法。 同时也会指出哪些方法行不通。当然，在斯科特和我发言后，我将预留时间进行问答与观点碰撞——正如我常说的，欢迎大家畅所欲言、提出异议。这些仅代表我的个人见解，若您有不同观点，我非常乐意展开讨论。 但我想，我们正在全球范围内目睹这些挑战。我们正面临这些问题。 我们看到黑客们公然宣称：通过供应链中已建立的信任关系攻击母公司，有时比直接攻击母公司更容易。母公司可能拥有200、300甚至400名安全团队成员，预算可能高达数千万甚至上亿，也可能规模小得多。 但那些被纳入信任网络的供应商，未必具备同等防护能力——至少绝大多数如此。因此黑客群体正倾力挖掘这些信任关系：X、Y、Z企业分别使用哪些供应商？能否通过既有的信任链条发起攻击？让我们认真思考这个问题。 让我们就此展开讨论。我认为当你们这样做时，就是在推动这扇敞开的大门。而这正是董事会希望达成的目标。

布莱恩·利特尔费尔：他们渴望信息清晰，是因为他们希望参与其中。不过很多人并不懂得如何参与复杂的安全议题。所以我觉得我们不必刻意简化——毕竟他们都是非常聪明的人。我们需要认可他们的专业能力，用他们能理解的语言呈现信息。这正是我们今天希望探讨的核心：为何需要第三方保险？管理层为何真正关注此事？我们已提及法规问题——在我看来，法规只会单向发展。我个人的愿望是监管机构能加强沟通。 例如，当你在60、70甚至80个国家运营跨国企业时，每个经营所在国的法规都各不相同。法规的协调统一——尽管存在诸多重叠——显然具有重要意义。我们已看到部分协调迹象，但远未全面实现，稍后我们将深入探讨。 这对我们的风险管理至关重要，对吧？因此我们必须厘清第三方在产品或服务交付终端客户过程中扮演的角色。 在多数情况下，他们承担着关键职能——可能负责运营我们的IT系统，或是为生产型企业输送原材料。这些环节可能受到多重因素影响： 例如他们可能遭受攻击，系统可能中断。那么我们如何继续销售服务？从风险管理角度看，我们同样需要关注实体环节——苏伊士运河封锁就是典型案例。 如果集装箱船无法通过运河，我们的产品自然无法抵达终端客户，这不仅会导致销售中断，更可能引发品牌声誉损害，甚至导致客户流向竞争对手。可见问题远不止网络安全层面。

布莱恩·利特尔费尔： 我们讨论的是第三方保证机制，这是一种更全面的风险管理视角，我们必须认识到其重要性。我们需要正确实施该机制，从而为业务决策提供支持。因此，业务部门需要有效利用我们提供的指标和数据，了解其行动速度、加速能力、 扩张速度，以及这些行动中固有的风险。我常看到安全团队评估风险和安全性的做法存在脱节——他们往往只为自身合规要求而评估，并未与更广泛的业务全面融合。我认为，真正有效的第三方风险管理计划需要获得业务部门的全力支持，同时所收集分析的数据被广泛传播至整个组织，切实支撑其他必要业务决策。这恰恰是正确方向的明证——当然合规性同样至关重要。 全球存在数千种合规法规缩写，它们共同规范着第三方管理方式。究其根源，正是由于我们已讨论过的种种因素，使得第三方管理成为巨大风险。值得注意的是，全球范围内对此的遵循度极低——涉及数据管理的法规多达160项。 无论是美国的《加州隐私法》还是欧洲的《通用数据保护条例》，全球范围内存在160种此类法规。因此，若您运营的是跨国企业，就必须厘清：我们究竟需要遵守哪些法规？这些法规在哪些地区生效？它们如何规定我们需要向供应链施加的要求与管控措施？ 从治理角度而言，正如我早先所言，客户非常重视企业能否妥善处理数据问题。当然，这取决于企业提供的产品与服务类型——例如金融服务、电信行业或制药领域，这些行业处理的数据往往具有高度敏感性。

布莱恩·利特尔费尔：客户将信任托付于你，期待你采取正确措施有效保护这些信息。我认为这正是管理层如今全力支持的原因——他们意识到客户对数据泄露的容忍度正在持续下降，各方都期待企业能采取恰当措施保障安全，毕竟数据安全才是所有攻击的真正目标。 所以他们确实应该重视此事。当然，若他们不重视，向他们说明情况也并非坏事。其次是质量问题——这点常被忽视，但质量至关重要，对吧？欧洲（不仅是英国）就曾面临肉类供应链质量问题。 我们发现某些情况下，马肉竟混入了预制千层面和加工肉制品中。消费者对此毫不知情，因为标签上并未标注。这完全是供应链体系的崩溃。由此再次强调：我们关注的不仅是网络信息技术风险。 质量管控、合规要求、监管机构的合规性——这些都是我们必须满足的。我们需要理解供应链中的风险：能否真正获取产品和服务？我们该采取什么行动？这需要全局视野。 当你将所有这些因素视为整体时，就能理解为何高管团队开始重视此事——因为一旦出现问题、质量开始下滑，显然会影响到你向消费者提供的产品和服务。消费者会要求知情，并开始向企业内部负责第三方风险管理的部门寻求答案。正因这种整体性，这并非总是由首席信息安全官主导，也并非所有组织都将安全置于首位，但你始终扮演着重要角色——关键在于认识到这一点。

布莱恩·利特尔费尔：那么不同公司如何应对这一挑战呢？我每天都能看到这种差异，当然我不会逐一详述每种情况，但坦白说有些公司确实做得非常少——仅满足业务所需的最低要求，比如签订合同安排。他们几乎不做尽职调查，因此根本不了解风险所在。 他们甚至不清楚业务背后的人是否在某些国家受到制裁。因此我认为，完全不作为的做法已不可接受。企业必须具备道德准则，必须清楚客户数据的流向。正如我所说，若从事受监管行业，建立有效的第三方合规管理机制更是硬性要求。 其他企业做得更多，管理更严格。他们虽有一定程度的参与，却未将控制环境延伸至供应链。他们不明确规定：这就是我们期望的行为准则，这是我们的安全政策。 "我们要求你执行这些措施"，"这是我们共同遵循的框架"。当企业逐步提升管理水平，进入更成熟的阶段时，第三方风险管理计划便会建立起来。此时与供应商合作前必须完成预合作尽职调查，在签订合同前全面识别所有风险。 在资金流动或服务交付启动前，必须完成上述流程。我认为这是最低标准，也是我们期望您逐步达成的目标——因为您将真正理解商业协议中蕴含的风险与问题，尽管协议尚未正式生效。但工作远未结束。因此至少需完成三阶段，而我们理应追求达成四至五阶段目标——核心在于：在合同签署前全面掌握供应商可能带来的所有风险。

布莱恩·利特尔费尔：我们已向他们扩展了部分管控措施，或者更准确地说，我们已将所有认为与该供应商相关的管控措施全面覆盖。因此我们深入了解该供应商，清楚他们在全球范围内为我们开展的工作。 我们了解其运营模式的本质，了解其部署的安全政策与实践，了解其团队的能力，了解其业务覆盖的地域范围。我们会根据供应商对我们的重要性，定期与他们进行深度会谈，以获得持续的保障——这正是合作关系的起点。 这是关系的起点。显然不可能对所有供应商都这样做，但目标是尽可能获取更多信息。正如稍后您将看到的，我强烈推荐像Prevant这样的工具——正因如此我才在此推介——因为当您从Excel或手动转向基于在线威胁驱动的风险模型组织（如Prevalent），就能获取更详尽的供应商足迹信息，而非依赖当前部分企业仍在采用的手动流程。 那么他们会遇到哪些问题？在实施有效的第三方风险管理计划时，我认为自己几乎都经历过这些障碍，它们阻碍了高效执行关系的建立。 最糟糕的情况莫过于：你竭力推行有效方案，而企业高层却视其为瓶颈、挑战或无效措施。因此必须与广泛利益相关方协作，真正理解这些问题与挑战，并探索突破之道。我对此深有体会——常见安全团队仍依赖Excel手动处理流程。 试想：一个50人的安全团队，仅有两人专职负责第三方风险管理，却要监管三千五百家供应商——这根本无法实现。

布莱恩·利特尔费尔：这就像试图用手工流程来运营安全运营中心，就像试图用手工流程来运行数据防泄露平台。数据量实在太庞大了。 所幸世界已向前迈进，我们必须拥抱技术发展带来的便利——借助科技处理海量数据并获取精准态势。我看到安全团队正承受着主要压力。我曾为Prevalent举办过网络研讨会，探讨如何改善安全团队与采购部门的关系，建议您关注该内容，因为双方的目标其实高度一致。 但若安全团队流程未优化——例如发送冗长问卷、每年仅发一次且不向供应商反馈结果——采购部门就会承受主要压力。 供应商会向采购部门投诉："我们已准备好交付产品或服务，但因未获得贵司安全团队的批准而无法执行"，这将导致采购与安全团队之间产生摩擦。 因此关键在于厘清流程优化方案，明确相关利益方，再向上级管理层（董事会或CEO/CFO/COO等高管）汇报。他们需要的是我提出的"有意义的指标"——这些高管追求的是： 他们需要的是完成分析后呈现的结果：了解供应链中的主要风险点、风险可能爆发的环节，以及我们采取的缓解措施。这个问题看似简单，但当扩展到整个供应链——某些情况下涉及两三千家供应商时——就变得极其复杂。 因此我们必须充分利用现有技术，以最快速度获取答案。那么高管团队究竟在寻求什么？

布莱恩·利特尔费尔：他们要求实现100%覆盖率，这在我们交付或部署的任何流程中都至关重要——必须覆盖全球所有第三方。我认为这对这些精简的安全团队而言是个挑战甚至障碍。要知道，有时仅靠三四人就要覆盖跨国企业，这确实是个问题。 坦率地说，从我的角度看，供应商往往喜欢将企业拆分处理。他们若能做到，就会分别向英国、印度、土耳其、美国、加拿大等地的业务部门销售产品。他们尤其青睐缺乏全球视野的企业，因为这样就能设定不同价格、采用不同合同条款，并利用这种不确定性牟利。 我们需要与采购同事高效协作，确保支出流向清晰可控，既实现资金最大化效益，又能有效管理风险敞口。若条件允许，将大量采购集中于少数供应商更为明智——这样你将成为他们的关键客户，既能建立稳固合作关系，又能逐步掌握风险动态。 若全球有十、二十甚至三十家供应商提供重叠服务，从风险管理角度看将极具挑战性。但同样地，这种做法在财务上也毫无意义。 但同样需要理解的是，当第三方审计团队驻扎在美国或英国时，他们或许熟悉我们与某供应商的本地业务往来，却可能忽视该供应商在印度等国具有重要地位。因此我们必须从供应商足迹出发，全面审视全球业务覆盖，并从风险角度评估其真实影响，进而实现风险平衡。 我们不可能耗费全部精力逐个供应商深度核查，必须建立分层管理机制，确保具备精准渗透的能力。

布莱恩·利特尔费尔：我们需要能够建模的数据。我们需要理解并注入威胁视角。这正是像Prevalent这类平台的核心价值所在。回想我刚入行安全领域时，真希望当时就有这样的工具。但当时我们只能用Excel，那可是我们仅有的工具。而且你无法引入风险。 要知道，一旦公司完成评估——抱歉，我们无法人为制造威胁。而组织完成评估后，数据几乎立刻就会过时。 我们都清楚组织内部的动态变化，供应商也不例外。风险态势可能日复一日、时移分变。因此我们需要从供应商视角持续把脉，真正洞悉风险动态。必须具备深入挖掘数据的能力，确保决策基于事实而非臆测。 若带着主观臆断而非事实依据进入管理层会议，很快就会站不住脚。因此我们必须提前完成分析工作，确保数据全面量化，对所呈现内容充满信心，并能对未来风险态势进行建模预测。 例如下水道案例：我们可能曾使用穿越该路线的供应商，但实际应预判此风险可能引发问题，并制定可立即启动的备用方案。同时需要运用前文讨论的有效指标体系。 必须争取董事会和高管团队的认同。稍后我会举例说明——你不能带着高度复杂的分析网格直接进入会议室，指望他们即兴完成风险态势的分析建模。 所有这些工作都应由我们提前完成。会议中他们根本无法处理如此海量的信息，更不可能展示那些布满杂乱数据的复杂表格。因此我们必须做好前期准备工作。

布莱恩·利特尔费尔：我们必须明确需要呈现的关键绩效指标（KPI）和关键信息指标（KIS），实际上我们希望这些指标能真正获得支持，从而推动我们做出有意义的决策以继续前进。 但若将其与首席信息安全官的职责相比较——首席信息安全官的核心使命是什么？以我担任大型企业首席信息安全官的经历而言，我的职责被视为"守护品牌形象"。企业投入巨资塑造积极的品牌形象，旨在赢得现有客户及潜在客户的信任。 而安全事件对品牌形象的破坏性无可比拟——供应商同样可能引发危机。你们（或更确切地说，本次通话的参与者）必然会将数据交由其他供应商代为处理。尽管数据所有权仍归你们所有，但实际控制者已转移。若其发生数据泄露，最终责任仍将由你们承担。 这仍是您的挑战。必须认清：在他人网络中保护数据是您的责任，这正是控制框架等机制发挥作用之处——这也是高管团队需要理解的核心。他们正逐渐适应分布式供应链和云计算等模式，但归根结底在于如何管控风险。 我们该如何将控制环境融入这些新型工作模式？在多数组织中，这属于首席信息安全官的职责范畴——金融服务领域可能设有首席风险官。但无论如何，管理这种风险暴露都极具挑战性。 在我个人看来，第三方风险是最具动态性且最难量化呈现的风险之一，管理难度同样巨大——因为你需要应对众多不同组织，而任何一家机构的突发状况都可能破坏你的计划，并给整个组织带来重大挑战。

布莱恩·利特尔费尔：所以关键是要厘清：哪些是我的关键供应商？需要重点投入时间的对象是谁？谁在代我们处理数据？谁能访问我们的网络？所有这些问题都需提前明确，这样才能真正量化风险，并在组织内部有效管控。 正如我们讨论过的，首席信息安全官的职责是确保合规与法规遵循。这只会朝着一个方向发展。但我认为，我们不能被合规要求压垮。这固然是必须履行的义务，但我并不认为合规等同于安全。 我曾为许多组织提供服务，这些机构在安全合规和法规要求方面都做到了百分百达标，却依然遭遇了相当严重的安全事件。因此我们不能安于现状，自满地宣称"我们符合这个标准，也符合那个要求"。 我们必须以风险和威胁为导向审视世界，真正认识到：即便严格遵守安全政策，仍存在绕过安全防护和规避流程的途径。 因此，我们需要培养黑客思维，思考如何自我检测、如何检验供应商，以确保达到最高安全级别——毕竟我们肩负着保护客户数据的使命。我认为这正是首席信息安全官的核心职责所在。 我们肩负着客户托付的信任重任，这是我们理应履行的职责。在许多安全措施执行不力的讨论中，我常采用"客户在场"的假设场景： 想象我们的客户正坐在那边的椅子上。他们会对我们的决策方式感到安心吗？会对我们的风险管理方式充满信心吗？这正是我始终用来检验未来决策正确性的试金石。那么我们究竟有哪些改进方案？对吧？

布莱恩·利特尔费尔：因此我们可以改进，可以投资于工具开发——这绝对是关键所在。希望在座诸位参与本次会议，正是为了探讨如何优化现有工作、推动未来发展。 当今世界早已超越Excel时代。若你此刻还在想：我们仍在发送手动问卷，由分析师人工审阅结果——当分析师A与分析师B审阅同一内容时，对供应商的评估角度可能截然不同。或者你正面临这样的情况：你所在部门采用一套流程，而采购部门另有一套，导致组织内部对供应商风险的认知存在双重标准。 我们必须统一这些观点。因此要投资工具——认识到市面上存在卓越的产品与能力，能助你快速获取供应商的未来视图。 我担任首席信息安全官时曾是Prevant的客户，从管理大型跨国企业的角度分享个小故事：当时我们每天要对接大量新供应商，还处于依赖Excel和手动流程的时代。业务部门常找我说："布莱恩，我们想和这家供应商合作，但对他们一无所知，只能 能通过谷歌搜索获取信息，这正是难题所在。随后我们需向供应商发送问卷，等待他们填写，再收集结果并进行分析——坦白说整个流程可能耗时数周。而如今，只需登录平台，成千上万的供应商信息已预先编码整合其中。

布莱恩·利特尔费尔：所以你们已经从一个巨大的飞跃起点开始，掌握了其他客户向该供应商提出的大量信息。实际上，你会发现，只需补充极少量问题就能满足自身安全政策或风险要求，从而全面掌握该供应商状况。这大大缩短了风险驱动策略的制定周期。但关键在于必须达成这一目标，而我更欣赏的是它引入了威胁视角。 正如我所说，供应商的威胁态势可能日新月异。您不希望通过天空新闻、CNN或本地新闻频道才得知供应商存在问题，而应主动掌握动态。 因此，社区协作机制——无论是使用该供应商的集体视角，还是供应商主动通报遭遇挑战的动态通知——都能提供近乎实时的供应链风险洞察。因为若仍沿用Excel工作模式，除非再次发送问卷并进行分析，否则根本无法发现实质性新信息。 因此我们必须告别这种工作模式，正如口号所言"告别Excel时代"。但分级工作需谨慎推进——我接触过众多采购部门和业务决策者，坦率地说，许多业务人员并不希望供应商进入一级供应商行列，因为他们明白这意味着额外的治理要求、额外的麻烦和额外的文书工作。 但真正需要与业务部门协作、界定一级供应商、二级供应商和三级供应商标准的，正是我们采购方。坦率地说，对参与本次通话的每家组织而言，这些标准都将因地制宜而有所不同。

布莱恩·利特尔费尔：其实并没有一套独特的规则体系来对这些进行分类。但确实存在一些标准要求，比如客户数据、对我们环境的逻辑访问权限和物理访问权限等各个方面。 因此关键在于精准定位，理解如何高效利用有限资源，将宝贵时间投入到推动供应商关系升级——从单纯供应商转变为真正合作伙伴。这种关系中，双方都需清晰认知彼此的期望，并理解对方的工作方式。我认为这应当是目标的核心所在。 接下来谈谈有意义的指标。这其实是我在咨询工作中见过的案例（当然经过模糊处理），仅展示其中一页——实际表格持续延伸。 这份材料竟出现在高管董事会文件包里。或许有人见过类似内容，但若按这种方式使用模型，根本行不通。它被提交到高管会议后，就留给非执行董事和管理团队去滚动查看供应商名单——先是红色标记的供应商，再向上追溯到控制措施，试图推断：这个供应商究竟是谁？ 他们为我们提供什么服务？该控制点有多关键？显然控制点和供应商都标有红色警示。这种操作方式根本行不通——体系过于复杂，无法准确识别与自身相关的风险，界面也过于繁杂。 就像看树木时看不见森林。但最糟的是这种视角是静态的——风险图景根本不会发生实质性变化。

布莱恩·利特尔费尔：每月更新这些数据集都需要投入巨大精力。这意味着要联系每位供应商，通过面对面或邮件沟通了解他们在XYZ控制措施上的进展、时间表和计划，进而判断当前状态是红色预警、黄色预警还是绿色正常。这个过程会消耗团队大量资源——这正是安全负责人或风险负责人向董事会提出增聘10-20名人员时的情形——但实际问题在于流程未优化、工具未精简。实际上，若能拥抱新型工作模式和能力，借助现代工具，即使团队精简也能处理相当复杂的供应链。当年我从Excel方案转向Prevalent等工具时——担任首席信息安全官期间——我直接将仪表盘带进会议室展示：这就是我们追踪到的动态。 "我们认为供应链中主要风险集中在这些环节。"由此便能展开实质性讨论：你可以深入挖掘， 点击关注特定供应商——无论是存在显著隐患的，还是我们认为可能涉及合规问题的——就能实时讨论当前实施的缓解措施及其预期影响。显然，这种转变意味着从静态复杂的信息呈现方式，迈向高度动态的可视化管理。 我认为这极大促进了与高管团队的协作。关键在于理解高管团队（CEO、CFO、COO等）的核心职责是运营公司，而当您上升到更高层级与董事会互动时——通常这取决于组织规模——

布莱恩·利特尔费尔：他们代表着股东的利益。在许多行业中，非执行董事需对自身财务状况承担个人责任与问责，确保事务处理得当且规范。同时他们也代表着股东的利益。 正因如此，他们才会提出质疑、要求改进、推动进展——我们是否采取了正确方式？其他公司如何应对？我们是否确认自身方法得当？因为我们必须不断成长，必须持续提升能力。这正是预算与资源分配中那些艰难对话的意义所在。 我个人会专注于确保工作方式得到充分优化，充分运用最新技术，然后向上级清晰呈现成果。这样既能展现你的认真态度，也能获得对未来目标的认可与支持。那么具体该衡量哪些指标和最佳实践呢？ 让我逐步展开说明。从董事会和高管团队的视角来看，我认为所有关键绩效指标（KPI）和衡量标准都可以归纳为四大核心领域：

• 风险
• 威胁
• 合规性
• 覆盖范围

布莱恩·利特尔费尔：如果你能把面向高管和董事会的沟通内容归入这些类别，那么在获得参与度并让他们真正理解你的目标方面，就不会有太大偏差。正如我提到的，风险是董事会的通用语言。你不能在董事会或高管团队面前谈论技术细节。 技术术语一旦脱离专业受众，就会立刻失去影响力。

布莱恩·利特尔费尔：在我看来，许多董事会成员和高管团队——当然这取决于具体组织及其性质——其实并不真正理解我们试图实现的技术细节。因此当出现技术问题或控制措施失效时，我们需要将其转化为风险评估。 我们需要将其转化为威胁。这种威胁发生的概率有多大？从威胁角度看，我发现许多组织不得不将威胁当作事件来处理——我的意思是，他们实际上并不掌握供应链基础的信息。当某个威胁在外界流传，比如新闻报道中提到的Blue Yonder事件或某种加密恶意软件正在传播时， 你却无法回答：我们的供应商是否易受此威胁影响？近期出现的Log4j漏洞挑战又如何应对？ 许多企业能立即回答，因为他们清楚供应商的技术能力、补丁管理机制、技术部署情况以及开源技术使用策略。而采用手动模式的企业则表示："我们得联系3000家供应商，发送邮件询问， 还得等回复。"这本质上意味着我们根本不清楚自身面临的威胁暴露程度。由此可见，我们不仅需要理解风险，更需要通过威胁情报和威胁情报源进行建模分析。至于合规性，我们已有所涉及——它不会消失。 这是必要的恶，但值得肯定的是全球合规标准正趋于统一——这在某种程度上是好事，因为它促使组织提升安全防护水平。尤其在英国，金融服务、电信及关键国家基础设施领域更是如此。

布莱恩·利特尔费尔：欧洲各国政府正大力推动企业从红队演练或道德黑客的角度进行压力测试，真正摆脱政策和流程的束缚，转而追问："若遭遇黑客攻击或入侵，你们实际能做出什么反应？"这种洞察与学习对风险管理的前瞻性指导意义更为深远。 至于覆盖面问题，我见过太多企业误以为自身不受影响，实则因未能从供应商视角或地缘政治风险视角全面评估自身足迹而中招。所以请思考这些维度：你们如何向董事会汇报？是否真正融入了这些更广阔的领域？ 这是我最后一张幻灯片，接下来将交由斯科特接续。我们希望预留充足时间处理陆续涌入的提问。那么我如何看待行业趋势动态与未来走向？这些趋势如何影响我们与高管团队的协作模式，以及如何推动积极足迹的形成？静态信息已然过时。 希望各位能理解这是我的个人观点，但我屡屡目睹这种现象——相信本次通话中也有不少人正想着：我们采用的是静态流程， 虽然我们对静态流程不满，却难以获得推进变革的支持。希望诸位能驳斥那些论调——诸如"威胁无法建模"、"无法洞悉他人动向"、"数据采集即过时"等。要知道，客户期待企业将安全防护视为重中之重。

布莱恩·利特尔费尔：要知道，我们必须开始向前迈进，拥抱这项技术中实现的增强功能，从而真正获得这种能力。我看到越来越多的组织意识到，他们需要近乎实时的视图。就像我之前举的例子——你不会用手工流程来运营安全运营中心，同样地，你也不会运行手动数据丢失防护平台。所有这些方面，包括第三方风险管理，本质上都是数据处理工作。你需要工具和平台来帮你处理这些数据，从而防止实际损失发生。同样地，第三方风险管理也需要数据处理工具——这本质上是数据分析工作，需要借助平台实时或近实时掌握当前风险暴露状况。我认为威胁态势的演变将彻底改变一切。 我曾亲眼见证过。当时我参加以色列的贸易投资考察团——众所周知该国孕育了大量安全技术——这是场全球性的贸易投资活动，汇聚了世界各地的首席信息安全官。就在此时蓝天公司遭遇重创。对某些企业而言这堪称灾难性事件，但并非所有公司都如此。我目睹了五花八门的应对措施： 有人火速赶往机场，因为母公司组织正召回他们——事态已然失控；也有人只是简单检查几个应用程序，便断言"确实存在威胁，但我们认为风险可控"。 我们清楚自身补丁状态，也掌握供应商的补丁状态。因此获取实时视图实际上能避免重大成本损失、减少巨额投资，或至少减轻影响——毕竟不必将每个威胁都当作紧急事件处理，还能从这个角度推动工作进展。感谢各位拨冗聆听，我看到许多问题正在涌入。 现在请Scott接续发言，他将通过几张幻灯片介绍Prevail平台，随后进入问答环节。Scott，请开始。

Scott Lang: Hey, that’s great. Thanks so much, Brian. And if you could advance to the next slide, please. Um, you know, one of the big takeaways that I took for Brian’s presentation is the inherent level of complexity to understand risks as they are presented to the organization in whatever format at whatever stage of the third party life cycle that your vendor suppliers are in and then presenting that meaningfully back to decision makers, leaders, executives, board members or whatever. That takes a solution that addresses risks at those different levels. You know, the last thing you know we want to end up doing or that you want to end up doing is presenting a set as Brian said of disperate data that doesn’t really tie together or make any sense or you know doesn’t have any kind of context to it and that’s how and what prevalent specializes in is the context that you need to understand risk at every one of these stages and present it in a meaningful way back to you know senior leadership in the organization not just to manage you know ongoing incidents but also to show proactivity and discipline and rigor in the process uh to address potentially um you know compliance and audit requirements as well. And that approach has some some derivative benefits as well, including less cost and risk when you’re selecting new vendors. If you’ve got good visibility into the risk postures that those vendors bring, uh, inherently um, you know, a faster onboarding process to, you know, as you get more intelligence and insight over a vendor’s, you know, security and data protection and business resilience policies, you know, you reduce some downstream risk by getting that picture early on in the cycle. Um, um, You know, the next piece of it is not just looking at the periodic risk assessments that you do during uh onboarding and due diligence or during contract renewal, but perhaps you know in between those uh you know detailed internal controls assessments. What type of intelligence do you need to make sure you’re on top of whatever you know persistent threats that you know uh that you’re facing in your extended supply chain and then incorporate that context, collate it and then you know be able to use it to validate the presence of internal controls. at those vendor sites or validate that you know they they’ve got the right policies in place. Um uh and then it also extends to uh you know a vendor’s ability to deliver. It’s not just about um you know a cyber security, information security, data privacy, business resilience problem that a vendor or supplier could face. It’s also about their ability to just simply deliver on expectations whether those would be KISS uh KPIs the things that that that Brian has has presented on thoroughly in the past. And then finally, you know, the risk stage that most companies just don’t pay enough attention to is offboarding and termination. We do tons of due diligence before selecting vendors. We, you know, assess the inherent risks that those folks bring to our organizations. We deliver good reporting. We we, you know, recommend remediations. You know, we follow them through the life cycle. But then when that relationship ends, um, you know, very seldom does an organization follow that prescriptive process to say, okay, you know, what are your data destruct destruction policies. Is our data destroyed? Have final payments been made? Have we met all of our reporting obligations? And more. You know, all of these types of things are going to come up at some point from a board when an offboarded vendor, for example, uh suddenly becomes a a risk because, you know, they didn’t follow the proper protocols to destroy your data, for example. And this has benefits throughout the enterprise from procurement to security to risk management to compliance and more. Next slide, please, Brian. Um you know what I think you’ll find um in in in the prevalent approach is that we you know absorb, assess and analyze risks from literally hundreds and thousands of different sources. Not just completed assessments that vendors complete but also you know half a million sources of um outside or external threat intelligence and we bucketize those into you know these six buckets that you see in front of you. Now these are just representations. Yeah, there’s more than this. Um it’s all I could fit on a on a slide. Uh but we look at risk holistically, not just uh the most obvious data privacy and protection risks, but we also look at things like health and safety and ESG ratings and more. So you have a full view of the risks that those vendors, suppliers and third parties are presenting your business. So when there’s a a reputational problem for a supplier who’s been using, you know, forced labor overseas to um produce, you know, an input into your process, you know, you you will have that visibility. to be able to respond to it accordingly. Next slide, please, Brian. You know, at the end of the day, our process is really three-fold. What we’re trying to help you accomplish is this is that, you know, we help make you smarter with a datadriven, comprehensive, and contextual approach to risk intelligence. Give you the inputs that you need uh to make, you know, good uh risk based decisions. Unify what normally is a whole disparate set of siloed tools that are used to kind of consume this information report on it uh and unified into one solution to to you know so everybody’s singing from the same himnil as we say and finally be very prescriptive in our approach with built-in intelligence risk response and plans remediation guidance and more to you know accelerate the process of thirdparty risk management and reporting you know to the board and executives and ultimately kind of close the loop on um on those potential risks could impact your environment and really that’s it that’s our approach is, you know, how we take information from all these disparate sources, uh, you know, translate it into a meaningful, uh, fashion that you can utilize and then that translates to, you know, actionable steps to take to remediate risk, uh, down on the other side. So, that’s our approach. Uh, Amanda, I’ll pop it back over to you if you want to open it up for questions.

阿曼达·菲娜：好的，我这就来。我自己准备了一个投票问题，马上投到屏幕上。嗯，各位是否计划在2022年建立第三方风险管理项目？我们对此很感兴趣。 请务必如实作答。会议开始时还有个问题，现在请布莱恩来回答。朱莉安娜问："你们是否认为第三方风险管理与采购是两个独立部门，各自向董事会汇报？"

布莱恩·利特尔费尔：是的。我确实这么认为。我的意思是，从风险管理的角度来看，安全部门和采购部门的目标确实存在部分重叠，但同时也有许多不重叠的重要领域。采购部门的职责是采购产品和服务，从支出角度实现有效杠杆作用。因此我认为他们需要独立的董事会沟通渠道。而我认为行不通的是——从风险角度来看，如果我们从供应商角度获得两种单一或不同的风险视角，这种做法就不可行。你知道，我经常看到的情况是，尤其是大型组织，它们使用大型ERP平台，但这些平台往往无法有效整合风险数据。从风险角度看，问题在于供应商风险评估可能出现双重标准或不同视角。我观察到许多企业——尤其是大型组织——在采购领域使用大型ERP平台，这些平台固然具备供应商沟通与交互功能，有时也能用于评估风险等级。 我们需要做的是整合这些平台，形成全组织统一的供应商风险视图。因为如果采购部门和安全部门各自为政、观点不一致，这种缺乏协同的状态对业务发展绝非良策。 建议您观看我关于采购的网络研讨会，其中探讨了首席采购官与首席安全官在目标与成果实现上的高度共通性。这将帮助您厘清我的观点，并了解如何将沟通渠道整合至董事会层面。

阿曼达·菲娜：如果您对那场网络研讨会感兴趣，想观看并快速获取访问权限，只需给我发邮件。我的邮箱在这段聊天记录里。我很乐意为您找到它。下一个问题是问布莱恩的。能否请您简要讨论一下如何对这些第三方供应商的风险等级进行分类的最佳实践？

布莱恩·利特尔费尔：是的，我的意思是说，这都取决于他们为你做了什么，以及这些行动对母公司可能产生的影响。 虽然这个例子可能不太恰当，但要知道，每个组织都需要采购厨房用品、卫生间用品等各类物资。这类供应商虽能成为你的战略合作伙伴，但其风险等级远不及负责数据中心运营的供应商。 因此，准确划分供应商类别至关重要，这样才能明确重点投入方向。但同样重要的是——以这个例子为例——我见过组织因厨房供应商而遭受攻击的案例。毕竟两家企业之间存在专属连接通道。所以你绝不能轻视或忽视低层级供应商。 你仍需要求他们达到基本安全标准，但关键在于认识到从安全角度全面管控所有供应商是不现实的——至少目前如此。这正是我们今天推广这类工具的原因：——一旦完成分类，就能获取威胁情报数据，了解供应商对安全的重视程度及其风险倾向。因此我认为分类至关重要：哪些供应商能访问我们的网络、接触客户数据模型、代表我们处理客户数据、代表我们与客户互动？这些都是关键环节，其余则依次递减。

阿曼达·菲娜：当然可以，我们这里也有类似的简易方案，如果你初期只想做这个，我们可以详细讨论。若想深入分析供应商的风险状况，随时联系我们。这会很有帮助。下一个问题是给布莱恩的。好的。 风险评估师通常依赖供应商报告来评估供应商的控制措施。这种方法是否合理？——噢不，刚才问了两个问题。抱歉，那是上个问题的第二部分。让我重新提问：布莱恩的问题。好的。风险评估师通常依赖供应商报告来评估供应商的控制措施。这种方法是否合理？

布莱恩·利特尔费尔：我认为这是个合理的方法。而且你知道，我理解谷歌、亚马逊云服务、惠普这些巨头的处境。因为想想看，他们拥有数以万计的客户，每个客户都想评估自身的安全措施、处理方式和应对策略。 嗯，大家都想获得审计所有环节的权利，但这根本不可能实现——毕竟客户共享环境（除非付费使用专用环境），数据中心还存放着其他公司的数据等等。他们不可能敞开大门任人随意参观，任人查看线缆接驳方式之类细节。 我认为安全基线报告（SOC）及其后续版本正是在此发挥价值——它们能提供基础认知：企业如何构建安全体系？重视程度如何？曾遭遇哪些挑战？但仅依赖SOC报告显然不够。关键在于通过这些报告获取可验证的信息，从而真正理解企业的安全能力。比如报告可能提及"已修复漏洞"，但实际存在公开漏洞长达30天，而政策规定应在24小时内修复。——通过开源信息验证其能力。比如某机构在报告中宣称采取了某项措施，但其实他们存在公开漏洞长达30天，而政策规定应在24小时内修复。所以，通过这类平台，你可以依据安全报告追责——毕竟人们所言与所行往往存在差异。 这正是我个人运用这些功能的场景。但要知道，这只是我的例子——当大型组织需要服务大量客户时，软性要求就显得至关重要，不是吗？

阿曼达·菲娜：我们还提供其他服务，我这纯属打广告。毫不掩饰地打广告。

布莱恩·利特尔费尔：嗯。我正在为你铺路。对。

阿曼达·菲娜：当然。看来我们给两位准备的问题已经问完了。呃，还有人需要其他资源吗？比如想要幻灯片？我知道很多人都问过这些，或者想看看我们和布莱恩合作过的其他内容，以及我们介绍过布莱恩的专题。请随时联系我，我正在努力跟进这些请求。 不过我会再留一次邮箱。若有人想深入探讨今天涉及的任何内容，欢迎随时联系，这样你们就有直接沟通的对象了。嗯，我想就到这里吧。我们提前五分钟结束，让大家能早点结束今天的工作。非常感谢两位。布莱恩，见到你总是很高兴。斯科特，见到你也很高兴。

布莱恩·利特尔费尔：太好了。谢谢大家。讨论得很愉快。非常感谢。

斯科特·朗：非常感谢。

阿曼达·菲娜：再见。

斯科特·朗：再见。