PHOENIX, May 10, 2023 – Prevalent, Inc., the company that takes the pain out of third-party risk management (TPRM), today announced a new report, The 2023 Third Party Risk Management Study: How Are Organizations Avoiding TPRM Turbulence?, which provides deep insights into current trends, challenges and initiatives impacting third-party risk management practitioners worldwide.
The findings clearly illustrate that 2022 was a turbulent year for the practice of third-party risk management (TPRM). Over the past year, organizations dealt with the fallout from the Russian invasion of Ukraine and resulting supply chain disruptions, damaging and widespread third-party breaches and security incidents (including LastPass, OpenSSL, Okta, Toyota, and several in healthcare), and emerging regulatory oversight in areas beyond IT security such as ESG. While organizations have matured their TPRM programs since last year’s study, there is still more work to do.
2023 年第三方风险管理研究》的主要发现包括
41% 的公司在过去 12 个月中遭遇过影响重大的第三方漏洞,但由于依赖重叠的工具和人工流程,导致事件响应速度减慢
绝大多数公司(71%)表示,使用第三方最担心的问题是由于供应商安全措施不力而造成数据泄露或其他安全事件。然而,人工方法仍然存在,使用电子表格的公司比例之高令人失望,而使用新闻源来了解外泄信息的公司比例也在增加。好消息是,不监控第三方漏洞的公司从 12% 下降到了 4%。
第三方数据泄露和安全事件促使信息安全越来越多地参与到 TPRM 中来
70%的受访者表示,信息安全(InfoSec)比以往任何时候都更多地参与第三方风险管理,71%的受访者表示信息安全完全拥有第三方风险管理计划。在今年的研究中,62% 的受访者表示,第三方数据泄露和安全事件是促使他们更多地参与第三方风险管理的主要原因。
近半数公司仍在使用电子表格
2023 年,令人失望的趋势仍在继续,因为越来越多的企业(48%)正在使用电子表格来评估第三方。这一比例比 2022 年和 2021 年有所上升,2022 年和 2021 年分别有 45% 和 42% 的公司表示正在使用电子表格。好消息是,只有 4% 的受访者表示,他们目前根本没有对第三方进行评估,这延续了 2021 年(10%)和 2022 年(8%)的下降趋势。
在整个生命周期内跟踪和补救风险之间存在巨大差距,平均有 20% 的公司无所作为
毫不奇怪,在第三方关系生命周期的离职和终止阶段,跟踪(47%)和补救(38%)风险的公司比例最低,而完全不采取任何措施的公司比例最高(39%)。在初始评估、采购和合同前尽职调查阶段,跟踪和补救风险之间的巨大差距尤其令人吃惊,因为这些阶段是在风险影响企业之前发现和补救风险的主要阶段。
"Prevalent公司首席战略官Brad Hibbert表示:"我们继续看到供应链中断和广泛的第三方安全事件逐年大幅增加。"尽管这项调查表明,企业正在将第三方风险管理计划作为优先事项,整个企业有更多的人参与其中,只有 4% 的企业表示没有对第三方供应商进行监控,但仍有许多工作要做。企业需要永远抛弃人工流程,与自动化的第三方风险管理解决方案合作,管理整个第三方风险生命周期的风险。
本研究的结果表明,TPRM 团队正在向更具战略性的 TPRM 方法迈进,但有四个方面需要进一步改进,以使公司保持正确的发展方向:
- Automate Incident Response to Reduce Costs and Risk Exposure: Shortening the gap between incident discovery and mitigation can reduce costs and limit the company’s risk exposure with automated incident response processes. Eliminate spreadsheets or overlapping tools that only tell part of the incident’s origin story.
- 建立单一真相来源,消除各自为政,将风险可见性扩展到整个企业: 这项研究的结果表明,尽管信息安全风险被认为是最重要的风险,但多个企业团队都参与了第三方风险管理--每个团队都有自己的目标、工作流程、评估过程和需要审查的风险。用一套单一的工作流程、第三方风险档案、评估和报告来统一所有内部团队。
- Do Away with Spreadsheets and Automate Assessment and Monitoring Processes Across the Lifecycle: Invest in a solution that centralizes contract lifecycle management to ensure key contractual provisions are tracked throughout the lifecycle; offers remediation guidance to ensure offboarded vendors meet company compliance and security requirements to an acceptable level of risk; and delivers a prescriptive process to address final tasks and report according to compliance requirements.
- 补救: 这项研究的数据显示,风险跟踪与补救之间存在明显的落差。要将风险补救到业务可接受的水平(或要求提供补偿控制措施的证明,以取代具体的补救措施),可利用具有内置补救建议的第三方风险管理平台。
阅读博文并下载完整的电子书和信息图表,了解更多统计数据、背景和建议,为现有的 TPRM 实践制定基准。申请与 TPRM 专家进行战略会议演示。
关于 Prevalent
Prevalent 解决了第三方风险管理 (TPRM) 的难题。公司利用我们的软件和服务,在整个第三方风险管理生命周期中消除与供应商合作带来的安全和合规风险。我们的客户从灵活、混合的 TPRM 方法中获益匪浅,他们不仅获得了根据自身需求量身定制的解决方案,还实现了快速的投资回报。无论客户从哪里开始,我们都会帮助他们止痛,做出明智的决策,并随着时间的推移调整和成熟他们的 TPRM 计划。
媒体联系方式
Angelique Faul,Silver Jacket Communications,513-633-0897,[email protected]
编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
