治愈第三方风险的创伤

彼得-舒马赫好的，欢迎并感谢您参加我们今天的网络研讨会。医治第三方风险管理的创伤，由 Keith Likton Walner 主讲。Keith 是 Fizer 安全风险管理和治理高级经理。此外，Prevalent 公司的 Brenda Ferraro 也将出席今天的会议，她是我们负责第三方风险的副总裁。我是彼得-舒马赫。我是今天的网络研讨会主持人。在正式开始之前，我有几项内务要处理。首先提醒大家，所有与会者的线路都是静音的。我们这样做是为了减少背景噪音，比如狗叫声、孩子的尖叫声，以及我个人最喜欢的冲厕所声。不过，为了保持本次会议的互动性，我们邀请大家使用 Zoom 控制台提交问题。请大家踊跃提问。如果时间允许的话。一小时后，我们将进行现场问答。今天的网络研讨会正在录制中，我们计划在明天早上将录制的内容发送到您的收件箱。我知道你们不是为了看我的脸或听我的声音而参加的。所以，现在我想把时间交给布伦达和基思。非常感谢你们参加今天的会议。布伦达，请把它拿走。

布伦达-费拉罗：谢谢。谢谢、在我们开始之前，我想向大家致以衷心的祝愿，基思也向大家致以衷心的祝愿，嗯，今天的网络研讨会将由彼得（Peter）来主持，我想你没有打开静音，你可能想把手机调到静音，我们开始吧。在过去的一年里，很多事情都发生了变化。很多公司都提出了一些方法，来解决你在这一过程中遇到的问题，并使之走向成熟。因此，基思和我决定参加这次网络研讨会，因为我们以前都在医疗保健领域工作，而基思现在在制药和医疗保健领域工作。我们以医疗保健为主题，讲述了通常情况下，如果你要去医院就诊，其逻辑步骤的流程。你会被分诊。你会被确定诊断。然后，你会有治疗这些情况的协议，支持，嗯，一些指标和机器会告诉你，如果你在正确的轨道上或需要重新设置。但我相信，就像彼得一开始说的那样，你们不是来听他说话的。你们在这里也不会像听基思说话那样听我说话。所以，我们会很快开始介绍。凯斯，你认识很多人，但可能有些人在电话里不认识你。所以，你能不能给我们简单介绍一下你的历史和职业生涯，你今天在菲泽做什么，然后也许是一个有趣的事实。

基思-利肯沃勒我叫 Keith Likenwaller。我在《财富》500 强企业的基础设施领域工作了 15 年，为每个公司的每个团队提供服务或管理这些组织。2004 年，我被一家财富 500 强公司选中，组建了一个风险管理部门，开始了我的职业生涯。我在这个领域已经摸爬滚打了 16 多年。在这个过程中，我想你今天会听到很多事情，你知道，我们打的都是同样的仗。但在不同的行业和不同的公司，这些都是不同的。嗯，希望我们今天分享的这些花絮能让你放心，嗯，你正在和其他人一样战斗。Um and also some ideas of how maybe to think about approaching uh some of those tough challenges uh as you continue to take your program and and activities in a positive direction.有趣的是，我最喜欢做的事情就是户外活动，尤其是在树林里。因此，在童子军活动中，我花了大量时间与当代青少年在一起。但我也因此受了伤我被蛰了几十次，包括上个周末，都是被森林里的大黄蜂蛰的，我发誓这些大黄蜂比当地社区里的大黄蜂要厉害得多。这对我来说是个挑战

布伦达-费拉罗：不错。谢谢你提供的信息。至于我，嗯，我在一开始很快就介绍过了。我是 Prevalent 第三方风险副总裁。我曾在 Charles Schwab、eBay、PayPal、Etna 等公司工作，致力于帮助公司成熟第三方风险计划，重点关注风险数据决策以及如何利用 Prevalent 平台。我几乎是客户和产品之间的代言人，这样我们就能让他们互相交流，做正确的事。说到我的趣事，我也是一个崇尚自然的人。很多人不相信这一点，但我喜欢在树丛中、森林里或小溪边徜徉、远足。我对蚂蚁高度过敏。所以，你有大黄蜂的问题，但我可以站在一个地方，不往下看，注意到我会听到蚂蚁杀戮的声音，所有的灾难都会爆发。所以，我们今天要讨论的是关于蚁群的问题，要积极主动地确保在发生任何事件时，我们知道我们需要提前做些什么。不用说，每一个风险项目都有被咬的可能。因此，我们会给你一些启示和技巧，以便你在今后的工作中付诸实施。凯斯，首先，举个例子，我们说到医院，你去医院，他们会进行分诊，找出问题所在。如果你不需要直接做手术的话。你在项目成熟度方面使用了哪些不同类型的分流技术，以了解从人才工具或技术角度来看，你需要发展或成熟的到底是什么？

基思-利肯沃勒谢谢 布伦达我认为在我看来，分流最重要的部分是用正确的技能把自己圈起来。嗯，我会用一些很尖锐的例子。嗯，首先，嗯，分流对我来说意味着，如果你想了解自己的成熟度，嗯，你需要首先与那些正在努力实现并将自己的程序提升到嗯，你梦想的水平的人为伍。因此，找到一个比你的程序更强大的人是非常好的。找到和你打同样的仗的人，也是极好的。嗯，找到一个能真正帮你征服渠道的伙伴，帮助别人成熟。这也是非常好的一步。所以，在我看来，如果你在考虑成熟度和如何分流你的项目，首要目标就是走出去，找到一些好的合作伙伴，以及你所在行业内外其他同行公司中的一些好的个人，在那里你可以交流想法，讨论挑战，并利用这些想法来分流你的例子。我喜欢有一个合作伙伴，在那里我可以把那些可重复的、在我们的环境中已经成熟的东西，比如问卷收集等，外包出去，这样我就可以把我的核心员工集中在那些将重塑我们并把我们带入新的成熟水平的活动上。嗯，我认为非常重要的一点是，嗯，你要考虑用不同的方法来处理事情，嗯，因为如果不改变，嗯，这个环境就是一个我开始工作时认为会成熟的环境。我认为在很多地方，它还处于需要推动的成熟初期。数据管理等方面的挑战在不断增加。

布伦达-费拉罗：是的，我认为分流的一个有趣之处在于，当你有一个项目时，如果你是在起步阶段或刚刚起步，很多公司都在使用电子表格，这可能会成为一种痛苦。因此，将收集工作自动化是一件好事。我很喜欢你谈到的，与其他志同道合的同行接触，可以帮助你学习他们正在做的事情，以及你可能没有想到的事情，这也是让你的项目更加成熟的关键所在。然后，对你的计划进行成熟评估，看看你在行业内或你自己可能处于什么位置，这样你就可以确定哪些领域是重点，从而给你带来最大的投资回报。你同意这一点吗？

Keith Likenwaller：我完全同意，我还想补充一点。我认为现在有一种谬论，认为你需要与相同规模或相同行业的人交谈。实际上，我认为反其道而行之会让你受益匪浅。我认为我从小型公司或中型公司中学到的东西最多，他们也在以同样的方式挣扎。嗯，你知道，如果你有幸在一家大公司工作，那么面临的挑战就是自动化变得更加重要。嗯，因为我们正在谈论成千上万的潜在业务，嗯，我们需要确保在我们的风险承受能力。中型公司面临的挑战也不例外。他们可能只有一百个供应商，但答案是他们的资源能力要差很多。嗯，要做到这一点。因此，所有这些因素都是建立自动化程序的必要条件，以重新评估你的方案和情况，并真正能够快速确定这是我想要花很短的时间来确保没问题的空间，还是我想要脱离的空间？我需要深入了解吗？因为这对公司的成功和企业的目标非常重要、

Brenda Ferraro：对吗？同意这一点。那么，让我们进入下一个场景。IO.所以，你已经做了很好的工作，确保你知道你的计划在你自己的公司里处于什么位置。你已经从整体计划的角度确定了一些需要改进的地方。但是，一旦你完成了对你的计划和绩效指标的分流，你该如何诊断该从哪些评估开始，或使用哪些配置文件，或确定你的层级，或哪些是真正有风险的？你为此做了什么？

Keith Likenwaller：这绝对是一段旅程。嗯，但我所做的是真正利用与其他行业的同行和合作伙伴交谈的机会说，好吧，他们用来识别的触发因素是什么？我坚信，如果你想设定风险等级，就应该与企业、同行坐在一起，收集所有可以收集到的数据，然后说，好吧，我们有哪些清单？我们有哪些触发因素可以从中获取数据？在这个过程中，我发现尤其是在过去的几年里，我认为这是一个非常受关注的领域，人们都在讨论如何消除公司之间的语言差异。肯定有一些来源的主题。嗯，我看到的真正有帮助的主题首先是防火墙日志。很多公司都有不同的防火墙程序，将自己与合作伙伴等连接起来。他们想怎么叫都可以，但答案就是那些将两家公司连接在一起的规则。这是一个非常重要的地方，要跟踪连接情况，并跟踪你现在让合作伙伴进入你的门内，是否是在一个安全的环境中运行？所以，我看到你对这些进行了适当的评估。这只是一个例子，但我们已经做了一些事情，与企业坐下来谈谈，我们生产的哪些产品能带来最高收入。确保我们了解从一开始到我们收到付款的供应链。查看整个供应链和所有供应商参与的关键步骤。如果你有任何类型的外部流量分析功能，也要回过头来看看你的数据，嗯，在你的 DLP 程序中。查看从电子邮件系统流出的内容。了解哪些信息在流动，看看哪些公司可能与你有大量的互动，或者有高度敏感的信息。以上只是几个例子，但我发现，当你开始与他人交谈时，会有很多主题触发他们。你会看到遵从的主题。但当每个人都说，"那么，我的首要供应商是什么？"我发现，我提到的其他一些事情是获取数据的好方法，列出清单，与内部适当的业务人员分享清单，讨论它们，然后针对有意义的清单启动您的计划能力。

布伦达-费拉罗（Brenda Ferraro）：是的，我注意到，当我们作为同行一起工作的时候，你有一个信息分类模型，你有一个分级方法，你有对你的组织非常重要的关键控制措施。你是否发现，在我们必须平衡工作与生活、在家办公的情况下，这些控制措施发生了变化？

基思-利肯沃勒我发现，随着我们的成熟，我们真正了解了对我们当前业务非常重要的风险。这改变了我要关注的供应商，但控制措施经受住了时间的考验。嗯，我认为基本控制或卫生控制是真正做好基本工作，并在发生事故时做好应对准备，我认为这仍然是一个理念，因为一个好的公司会做这些，因为他们做这些，他们将处于一个良好的位置，嗯，我想与那些正在做行业最佳实践的公司合作，忠实于这些基本控制，并准备在发生事件的情况下或在每个人都有可能在某个时间点发生事件的情况下做出反应。如何应对非常重要。

布伦达-费拉罗（Brenda Ferraro）：对于关键控制措施，你们是使用标准问卷，还是使用多种问卷和威胁情报来识别风险？

基思-利肯沃勒我们一开始做了一份在我们行业很常见的关键问卷。我认为这是一个很好的开始。嗯，但我认为随着时间的推移，嗯，我们正在逐渐成熟，我们的工作方式是能够处理多个调查问卷，因为有这么多的供应商与你合作，嗯，有这么多的合作伙伴与你合作，嗯，我认为他们是同义词嗯，如果他们有例如SIG灯完成嗯，对于企业来说，重要的是要了解哪些控制是值得讨论的，哪些是不值得花时间讨论的，因为它似乎是在坚实的地位。你能越快弄清这一点，就越能帮助企业实现他们的目标。因此，对我来说，你可以接受任何问卷调查，但你需要在规模上能够知道只有某些问卷是你准备真正分析和快速审查的。嗯，但如果供应商或合作伙伴有一个SIG或不同的一个嗯，和你熟悉它，把它，使用它，节省他们的时间，迅速下来的控制是什么，我们应该讨论，在这个约定嗯，给你的业务带来风险。

布伦达-费拉罗：是的。因此，补偿控制接受从其他标准中收集的信息，并将上下文应用到这些项目中，以实现有意义的相关性。我完全同意这一点。所以，我想基思在这个时候会问听众，他们是否有任何技术可以用于这个特定的优势领域，或者我们可能想讨论的新兴强势领域。所以，在你的聊天框中，如果彼得你不介意的话，可以看看是否有人输入了其他一些技术，他们一直在使用这些技术来评估剖析、确定层级、使用补偿方法进行控制，例如呃问卷收集或信息收集，并确保这些东西对于适当类型的尽职调查是有意义和相关的。所以，彼得，如果你在接下来的几分钟里有什么想法，请告诉我们，我和基思会来回思考。在那之前，如果需要的话，我们会的。

彼得-舒马赫是的

彼得-舒马赫好的，我会通知你的。

Keith Likenwaller：是的，Brenda，我还要补充一点，我们发现在人们思考和提出想法的时候，还有一个非常有价值的地方可以找到数据。嗯，很多人都没有意识到，无论你使用的是 Oraba 还是其他主要的 PO 系统，其中都蕴藏着大量的重要数据。嗯，如果你正在使用任何类型的 PO 系统或你的采购部门，嗯，跟踪较小的公司，嗯，仔细看看那里。嗯，那里有很多关于公司提供的材料类型的数据元素。如今，在大型系统中，有很多标准化的内容，可以真正帮助你触发这两家公司的流行语。这不值得你花时间去追寻。比方说，针对割草服务的网络风险的真正价值并不存在。但同样的，我在一些 PO 分析中发现了我们公司的一些重要信息，在这些信息中，我可以找到该企业甚至没有意识到的供应商列表。因此，搜索这些数据非常有价值。我们还发现，查看这些数据。我不太赞成严格按照花费的金额来计算。嗯，因为有时最小的小公司的小合同也会带来巨大的风险。嗯，但有时你必须在今年的某个地方削减它。所以，不要害怕说我要先看看那些高金额的合同，然后再根据其他标准进行深入研究。我认为，真正的分流计划是每年都要进行灵活调整，确保你能以多种不同的方式审视你的业务。因此，我们会仔细跟踪我们所做的分析，以及我们是如何触发这些分析的，这样我们就能真正找到我们没有关注到的数据，而这些数据可能会给我们带来我们没有真正关注到的应用区域。因此，我们要找到对公司成功非常重要的前 10% 或 20% 的供应商和合作伙伴。

布伦达-费拉罗：是的，彼得，有什么消息吗？

彼得-舒马赫看起来今天上午的听众很安静。呃，这很令人吃惊，因为我们这里有很多人，但呃，是的，没有人愿意分享他们如何识别关键供应商的例子。不用担心，我们还有很多要谈。希望在我们的时间内还会有其他机会。我们还需要讨论的当然是治疗方案。我们有很多客户，或者我跟他们谈过，规模和合规性都很重要。嗯，彼得，你是如何解决和跟踪所有的业务如何保留或理解如何扩展所有必须完成的工作？

基思-利肯沃勒绝对有很多。嗯，这是我接触的每个人都会遇到的问题，从小型公司、中型公司到大型公司，大家都表达了同样的担忧。嗯，我认为有几个基本要素，嗯，一个项目的成功，你要与你的领导层保持一致。第一个是真正与业务保持一致。归根结底，网络安全风险以及对供应商和合作伙伴的评估，其实就是帮助企业做出正确的决策。我总喜欢说，网络安全是 18 种风险之一，应该与好的合作伙伴或第三方一起管理。有时，对企业来说，说我们要承担网络安全方面的一些风险是正确的决定，因为供应商在他们需要的其他方面具有独特性和卓越性。嗯，这就是为什么它需要真正的业务所有权。因此，首先要确立这一点，与领导层一起思考并确立这一点。考虑到这一点，我认为尽可能让所有东西都能重复使用是至关重要的。我们以供应商为基础评估供应商。然后，我们将评估结果应用到与同一供应商或合作伙伴的多个合作项目中。嗯，这意味着，如果他们失败了，我们有一个领先指标的问题，他们失败了一定的控制，我们觉得很可能是不充分的嗯，我们的正常预期。嗯，它可能不适用于与该供应商的第一次合作，这很好，但我们仍会将该控制显示为控制差距，嗯，作为存在的风险。我们会说它不适用于当前的业务约定，但下一次业务约定出现时，他们需要问自己同样的问题。他们没有通过那个特定的项目吗？这是一种方法，既能真正查看呃的规模，又能确保你符合约定和活动的要求。

Brenda Ferraro：是的，我认为从审计的角度考虑，当我们收集信息时，我们希望让不同的部门都能看到这些信息。比如说，采购部门希望看到，如果我在对五家不同的第三方进行审查以进行选择，我希望能够看到，在我选择了特定的第三方之后，我需要了解哪些重要的信息，如果会有提升的话。另一件事是服务水平协议。因此，要有关键性能指标和风险指标，说明收集信息需要多长时间，或他们降低风险的速度有多快。这些都是我们必须关注的合规性问题。但你提到的业务部门的责任，并非所有公司都有。他们的第三方风险管理团队仍在进行账户能力建设，并走这条路。在我们工作过的一些公司中，你和我都很幸运，因为业务部门已经认识到他们需要承担责任，以帮助完成安全态势和风险缓解的重任，但也有一些公司没有这样做。那么，为了改变业务部门和采购部门的文化，使其承担起选择或降低风险的责任，您使用了什么技巧？

Keith Likenwaller：是的，Brenda，这绝对是一个很好的观点。我有一个技巧，可以说是磕磕绊绊摸索出来的，希望其他人也能从中受益。在第三方风险管理方面，我确保在我的计划和工具箱中加入一些商业人士，有商业背景的人士。具有讽刺意味的是，我过去有管理餐馆和帮助我妻子管理殡仪馆的广泛背景。但是，这些商业背景让我在进行风险评估时，能够真正采取不同的方法。它不只是说这个控制是拖欠的。我们真正进入了下一个领域，我们说这个控制似乎不符合我们的规范。不仅在合规性方面，在操作方面，这项控制措施也会出现问题。嗯，随着时间的推移，我发现即使是最简单的事情，这家公司也缺乏一个强大的变革管理计划，而这在操作上会如何伤害他们。这意味着他们更有可能做出实际上会导致停机的变更。他们更有可能停机更长的时间，因为他们没有日志来查看最近的三次变更。突然之间，企业就会有兴趣说，我真的很关心这些网络控制。这让他们开始参与进来。因此，即使你没有承诺企业要承担责任，有时你提供风险响应的方式可以帮助他们感受到更多的所有权和参与，这就是你可以开始让文化发生变化的地方，他们会采取更多的领导所有权，因为他们觉得他们真的处于风险之中。

布伦达-费拉罗：是的，我认为你说的 "知识就是力量 "是非常准确的，以一种易消化的格式来展示风险内容，例如，也许可以用一份风险总结报告来告诉他们，我们发现了什么，我们要减少什么，然后开始向这些业务部门报告，说你知道吗，我们有所有这些不同的供应商在为你提供服务。这是他们的弱点。这是他们的强项。这里有太多的供应商在提供相同的服务，其中有些供应商的安全态势成熟，有些则不成熟。因此，这些报告和指标非常重要。让我们来谈谈成功监控、Kri 和 KPI。在 Fizer，您通过哪些方面来了解您是否需要调整或加强您的计划，或者您的风险是否似乎没有得到关注？

Keith Likenwaller：是的。所以，有几件事情我真的很想和大家一起讨论一下。嗯，监控程序的组织健康状况以及运行情况。首先，当你真正开始说 "好吧，每个人都说你必须要有服务水平协议 "时，我认为任何指标计划的建立都会变得简单很多，但你也要想想，你需要一些指标来支持你的运营活动，你知道你收到了多少请求，我们是否在两周内至少有50%的时间收到了请求。设定这些目标并了解如何在操作层面上衡量这些目标是必要的。但是，你也一定要退后一步，看看你能做些什么，以确保你正在寻找呃更多的战略层面，嗯，你实际上会与你的高级领导层或甚至你的董事会分享。如果我们说有 400 家供应商的风险水平适合审查，那么我们是否成功了？嗯，我在这一过程中学到的一件事是，无论我与哪家公司交谈，也无论我在哪家公司实施该计划，让供应商回复都很困难。这是一场艰苦的战斗。公司与供应商的联系不断变化。供应商的联系人也在不断变化。我们与特定公司的合作每天都在变化。嗯，你可能遇到的特殊情况数不胜数。因此，与领导层一起设定现实的期望值，说："嘿，我想说这里有 400 个我想关注的项目，但我可能真的只能实现 300 个。嗯，那另外的 100 个可能会有几十个理由。你可以把所有的资源都花在追踪和追逐那最后的 100 个，以及合规性复选框上。我一定会一一实现。或者你可以说，等一下。我是否已将这里的风险耗尽到合理的程度，我是否最好开始将我的资源花在另一个我以前从未关注过的空间？嗯，我非常小心地寻找何时我的资源回报会递减。因此，要有一个度量标准来观察，观察你把时间花在了哪里，然后转过身来说："等一下，我觉得我在这里已经走得够远了。嗯，尽管我还没有 100%完成，但现在是时候把一些资源转到另一个启动区了，我想在下一波集中精力。从逻辑上将事情分成几波，是我发现的另一个非常有价值的技巧，它可以帮助员工集中精力到一个点，宣布成功，继续前进。

布伦达-费拉罗：是的。我认为变化是不可避免的。看看我们现在所处的环境。所以我完全同意这一点。另一件事是，很多公司都开始使用管理服务或我们所说的风险运营中心来帮助提升可扩展性或监控成功率，基于管理者验证返回的信息是否准确，或者是否与你试图确定的风险有误。这样一来，公司就不一定要把原来负责第三方风险的资源从坚果变成螺栓，而是要把他们变成风险管理者。这样，他们就能真正地审视风险、识别风险，并将这些风险纳入他们可以跟踪到结束的计划中，并采用更持续的评估方法。那么，在识别风险，然后将其转化为整体风险管理和风险缓解技术和基础方面，你们采取了什么样的进化措施？

基思-利肯沃勒首先，我认为首先要有一套标准，我认为公司的规模并不重要。因为在我的谈话中，更多的是围绕每家公司的资源少于他们所能做的来审视第三方的整个车队。因此，真正的关键在于为自己的业务和商业模式设定标准，即哪些事情是我们绝对有必要关注的。每个行业都有自己的规定。因此，了解这些法规的触发因素是什么，从而推动你的特定公司嗯是标准，应该进入你的选择过程嗯，你知道真正推动。但我也认为，不要忘记运营的重要性。嗯，真正帮助说什么是那种真正会触发我们说这是对我们绝对重要的业务活动标准。因此，与业务部门一起制定这些标准，并举例说明这些标准与您所支持的各个业务部门的关系，在我看来，这对帮助您在实际开始分析数据时选择重点至关重要。嗯，我相信你知道，在企业政策中，你知道哪些事情应该评估，为什么要评估，但最终，嗯，风险治理监督嗯需要采取第三方风险管理计划，并说现在让我们看看公司实际发生的数据，并帮助企业看看他们可能没有真正观察到他们应该有的每一个第三方，并真正分析，但嗯，这是当务之急，我认为我们这样做嗯，当你跟踪风险。嗯，从小做起，不断发展。从跟踪最关键的已识别供应商开始。嗯，然后你跟踪这些后，跟踪关键漏洞，关键控制，他们失败嗯，你要跟踪到关闭。嗯，我就从这里开始。嗯，有了这个列表，通常会发生什么，它变得非常快，从数据。我们认为，我们正在寻找的是最重要的，你知道，几百个供应商，嗯，已确定。当我们去剥开洋葱，实际进行评估，并与企业讨论控制措施时，我们发现其中一些供应商不再是顶级关键供应商。他们实际上只是中等水平。嗯，没关系。嗯，确保你存储了这些知识，这样你就可以在以后做出决定。嗯，但要不断调整，这就是我认为真正关键的地方，要看看有哪些自动化和外包之类的收集，你可以做，让你有更多的灵活性来改变。嗯，这个 COVID 时间是一个很好的时间。作为一家公司，我们显然非常关注某些部分。正因为如此，第三方风险管理计划需要随时做好准备，"嗯，你知道吗？我本打算对这些供应商进行评估，但在接下来的四个月里，该业务部门有更重要的优先事项。嗯，所以我打算转到这里来，为其他业务部门工作，帮助他们。"因此，我认为有一个好的合作伙伴来完成这些收款等工作，就能灵活变通。工作流程自动化工具箱允许你改变方向。我认为，这样的灵活性对项目的成功极为重要。

布伦达-费拉罗：是的。我首先要感谢菲泽尔公司，它是帮助我们摆脱目前困境的制药公司之一。你所说的机器学习、人工智能或将风险捆绑在一起的促进作用。很多公司都会采用问卷调查的方式来进行整体评估，当然，这也可以为他们提供信任度评估。还有一些公司正在使用不同的威胁情报报告，并将这两项内容绑定在一起，说这就是公司所说的他们正在做的风险工作，这就是我们在开源馈送中发现的内容。嗯，我知道有些公司正在使用一种解决方案，如 prevalent，来完成所有这些工作。但是，从你的角度来看，拥有从 prevalent 中获取数据的灵活性也很重要，这样你就可以将其放入我想你可能拥有的 Splunk 环境或类似的东西中，这样你就可以将这些信息关联起来，用于企业风险管理方法，对吗？

Keith Likenwaller：是的，没错。我认为，作为公司的风险官，要想真正做好第三方风险管理，就必须把它看成是公司管理的风险之一，你需要把这些东西都放在一个共同的地方，这样你就可以丰富各种活动。第三方风险管理计划给我们带来的最大价值链之一，就是密切关注供应商和合作伙伴报告的重大故障、勒索软件或恶意软件，甚至随着时间的推移可能出现的小漏洞。当他们报告这些事情时，我们会回过头来看，好吧，我们有哪些指标，我们有哪些公共信息工具箱，可以为我们观察公共信息并提供报告，并将这些信息与表明控制失效的问卷调查等相关联。随着时间的推移，我们可以从这些数据中更好地了解到，哪些类型的控制措施通常会被违反，或者最常被违反，以及哪些控制措施实际上是导致实际事故的主要因素。通过观察，可以帮助你了解，你知道，哪些控制措施是你真正需要关注的，哪些控制措施是你要应对的，嗯，我想说的是，你要用更多的宝贵资源与企业进行讨论。

布伦达-费拉罗：是的，有一本操作手册和一种应对风险的方法真的很重要。我认为，如果你根据你使用的不同技术预先配置风险建议，无论是问卷调查还是线程情报，或者两者兼而有之。然后让风险识别人员互相交流，看是否真的存在风险。然后，这些风险评级就能告诉你，根据你的参与情况，是否需要解决这个问题。我认为，在一个灵活的平台或解决方案中，所有这些都是至关重要的，它将帮助你获得这些数据。

布伦达-费拉罗：所以，在我们进入教学之前，我相信这是我们的最后一个问题。主要收获。你有没有做过像猪拉丁语那样的事情，你把所有的字母都换了，这有点像我马上要开始讲的那样，但我们要讲的是从你的支持系统中获得治疗。所以，当你经历了分诊、协议、治疗和监控治疗以及方法，作为一个前瞻性的思考者和创新者，呃，我们在一开始就谈到了这一点，你将拥有一个由不同行业的其他公司组成的支持系统。那么，你对支持系统有什么看法？

Keith Likenwaller：是的，我发现这种支持系统，你知道，我们称之为无价之宝，嗯，在成熟计划和管理计划的各个方面，并获得投资回报率的计划，嗯，领导让我带到桌子上。嗯，在这样做的时候，我认为有几个关键的组成部分，嗯嗯第一，关键的组成部分是嗯降低自己的压力。嗯，只要知道大家都在打类似的仗。嗯，我觉得这让你开始意识到，好吧，我可以做到这一点，但我有一些支持结构在那里，这种支持结构很快就会出现的想法。每家公司都有自己的内部政治，都有自己的发展历程，都有自己的明天。随着时间的推移，我所了解到的是，他们可能要遵守的政治和合规法律，他们的领导层当时的关注点，嗯会使某些事情或某些供应商或合作伙伴更加重要，嗯要适当地处理，嗯并真正对他们进行很好的评估。嗯，但听听其他公司在做什么，听听他们的决定是什么，是什么真正促使他们做出这样的决定，嗯，这真的很有价值，有助于建立一个良好的支持系统和一套良好的理念，真正写出我自己的路线图，我驾驶的程序。嗯，当我从战略的角度去做这件事的时候，嗯，我真的发现有一些事情是成功的根本，嗯，你知道，回归基本。我总是喜欢说，嗯，最大的挑战之一就是如何把你获得的知识保存下来，以便你可以重复使用。嗯，认识到数据变得陈旧的速度比你可能保持它的速度更快。

布伦达-费拉罗：是的。只要你完成了填充、

基思-利肯沃勒：最完美的例子是

布伦达-费拉罗：哦，说吧。世界上最难处理的事情。

布伦达-费拉罗：请说。

基思-利肯沃勒对不起，布兰登。是的，人脉可能是最难处理和维护的事情。在公司内部很难。但是，当你开始谈论供应商之间的所有销售代表等，以及在某天、某周、某月或某年发生的一切变化时。嗯，回来后，你知道，经过适当的时间和说，"我们仍然有一个防火墙暴露在这个合作伙伴和我之间，所以我想重新评估他们"。可能十有八九，我在一年前或一年半前对他们进行评估时所涉及的人员，现在可能已经不是原来的那些人了。所以，在你实际想要实现的目标上有很好的文档记录，非常干净利落地分享这些启动信息，准备好文档记录和追逐，并为所有不同的部分和片段准备好备份联系人，这可以为你节省很多时间。所以，想想你将来可能需要什么。在你现在做活动的时候，把这些东西记录下来，这样你以后就可以回来使用了。这样可以节省很多时间。

布伦达-费拉罗：是的，我喜欢看你和其他客户如何互相讨论你的进化方法和心路历程，因为你总能从对方身上学到一些东西。所以，感谢你参与这些类型的活动，无论是 HISAC 还是工作小组，或者是某种类型的对等小组。那么，让我们简短地谈谈主要收获。您希望人们从我们今天的讨论中得到哪些启示，从而避免他们从我们过去经历的 "减速带 "中吸取教训。

Keith Likenwaller：是的。所以，我认为有四点是我想强调的，我想说的是，当你在考虑自己的计划时，想想如何改变这些计划，以达到你想达到的成熟度。第一，考虑一下你的外包和自动化活动。寻找可以为你进行收款的合作伙伴，这样你就可以真正利用了解你的业务、了解你的公司、了解你的团队或你自己的优秀资源，真正确保你自己专注于真正处于旅程末端的讨论。我试图真正推动收集工作，实际上，我们已经实现了自动化。嗯，有了这种类型，我们就可以把重点放在这是否适用于这个约定？我们需要对企业进行哪些教育？这些都是高价值对话，真正需要你的内部知识才能真正有效。因此，将资源集中在这里意味着自动化和外包催收，这些活动真正帮助你从内部资源中获取全部价值。另一个启示是，我们发现，将问卷调查与控制措施进行映射具有巨大的价值，而这些控制措施可能是我们所缺乏的，或者没有达到我们所期望的成熟度。所以，如果你提出关键问题，实际确定控制失效，而不是试图收集所有问题，我想你会发现，你的企业会喜欢把重点放在只有 50 个问题要回答，而不是 500 个问题上。嗯，真正的重点是那些实际上会让企业说 "你知道吗，我可能会决定不使用这个供应商 "的问题。嗯，我非常怀疑企业一般会说，好吧，他们不会一直做背景调查。我不认为这会改变他们对供应商的选择，但我确实认为，当我们开始讨论运营控制时，缺乏变更管理计划对供应商和你正在使用的供应商之间的成功和持续关系是一个更大的问题。因此，要确保你真正针对的是可能导致变化的控制措施。特别是在改造过程中，将现有供应商更换为新供应商会给企业带来高昂的费用。嗯，必须要有充分的理由进行更换或推动供应商进行控制变更。在对供应商进行分级时，要有创意。寻找数据，你的采购系统，嗯，你的 PO 系统，你的 DLP 系统，系统，你的防火墙规则，所有数据的机会，可以帮助你选择哪些公司或合作伙伴可能是你最重要的，或者嗯，实际上是处理数据，你真的说，我真的应该有一个很好的评估文件。然后，在内部建立合作伙伴关系，尤其是与 Prevalent 等合作伙伴，或与工具箱中的其他供应商建立合作伙伴关系。与财务和采购部门合作，真正了解他们面临的挑战，花时间编写教育材料。嗯，他们每天都在对话。如果你能把他们培养成这样的员工和合作伙伴，他们会说："等等，这个问题真的让我很害怕，因为基思教过我一些东西"。嗯，这是一个很好的机会，可以接到电话，然后说："我们得到了一个机会，但没有以其他方式抓住，但我们真的应该谈谈这一个通过。嗯，所以能够抓住我之前谈到的那些特殊情况。对采购和 PO 的内部合作伙伴进行良好的教育非常重要。嗯，我们在这一点上获得了巨大的价值，因为在 PO 流程中会提出一些问题，这些问题实际上会触发我们说，根据他们回答问题的方式，我们应该有一个评估存档。我们要么看到，要么看不到。然后，我们会对他们进行适当的跟进，告诉他们即使档案中有评估结果，但他们之前的评估结果存在差距，我们也会确保再次与他们沟通，告诉他们这是一个差距，如果他们想进行安全对话，就应该承认并考虑这个差距。

布伦达-费拉罗：是的，我同意这四点，然后是我的三点，或许是四点。其中之一是对自己进行一次成熟度评估，你可以用它来确定你在创建计划时做了哪些出色的事情，以及你在计划下一年时可能需要提前关注的任何改进。另一件事是要有一个灵活的平台，可以收集多方面的数据，并将数据报告出来，还可以针对报告中的不妥之处提供电子邮件通知和回复，这样你就可以调整你的计划和风险。我们有一个平台，可以关联信息或为你提供数据，这样你就可以将其关联到其他地方，如 Fiser 所做的那样。然后像你说的那样在全公司范围内共享，这样如果财务部门需要查看，法律部门需要查看，隐私部门需要查看，他们就可以在对他们重要的视图中查看。所以，非常感谢你，基思。我想我们还有 10 分钟左右的问答时间。现在我把时间交给彼得，请他回答一个民意调查的问题，然后我们再回答观众提出的一些具体问题。

彼得-舒马赫谢谢，布伦达。嗯，是的。现在，我要发起一项民意调查。这个投票随时都会出现在你们的屏幕上，但对于那些正在等待投票的人来说，投票的内容是：你们今年是否打算加强或建立第三方风险计划？是，否，还是不确定。我们确实收到了几个问题。那我就直接说了。布伦达，根据你刚才谈到的主要收获，这里有一个问题是，目前是否有第三方评估成熟度模型？所以，你谈到了第三方评估成熟度和某些成熟度评估。有模型吗？

布伦达-费拉罗：是的。因此，有几种不同的模式。Prevalent 公司采用的是 CMMA 模型，CMM 模型内置于 Pro 协议中。所以，你进去之后，基本上就像你的供应商填写调查问卷一样填写问卷，然后你就会得到一份光荣的报告，告诉你在这个持续成熟度模型上你的成熟度在哪里。我们已经在我们的系统和资源中运用了我们的专业知识。我相信菲泽尔甚至把那个成熟度模型进行了评估，并找到了一些你将来会用到的东西，让你从投资回报的角度来看看该把时间花在哪里。

Keith Likenwaller：是的，当然，Brenda。我的意思是，我们确实做了这部分工作。嗯，嗯肯定有几件事情，我们已经添加到我们的路线图嗯在未来一两年，我们将采取一些集中的时间进入。嗯，当这样做的模型和真正看如何评估自己，第一步，我认为作为你之前，你甚至开始说什么是所有程序的一部分，什么是嗯，如果你有一个调查问卷或方法，你正在寻找嗯第一件事，我总是嗯说这样做是体验自己。因此，当我得到第一个版本 10 的时候，我做的一件事就是，我实际上去提出了一个要求，通过我希望我的合作伙伴经历的相同过程来评估我自己 Fiser 本身，我是客户，真正经历了这一过程，我才知道你是否平衡？你问的问题正确吗？你自己是否能够正确回答问题？你花了多少时间来收集和处理这些问题？这将帮助你了解你的伙伴们在做什么，因为你会发现自己也在为一些同样的问题而挣扎。因此，有时只需在自己身上实践和做一些具有讽刺意味的事情，这是你能做的最大回报之一，因为你可以说，你知道这最终是否达到了我想要的效果，我是否在我想要的地方运作，它给了你另一个强有力的声明，你可以在你的成熟度和对自己的衡量中给予回报，就是帮助你设计你的前进方向和控制，说我期望我的合作伙伴拥有与我在内部构建时遇到的相同的控制。当你与企业坐在一起时，这句话很有力量。你不是要求他们做得更多。你要求他们达到的要求，与我们内部构建时的要求是一样的。

布伦达-费拉罗：是的。我觉得用这句话来表达我想到的三个不同的短语很合适。先喝自己的酷爱。先吃自己的狗粮。或者我喜欢说的是先吃自己的鱼子酱，因为狗粮并不是那么好吃。有时鱼子酱也不好吃 但我就是这么说的我们还有什么，彼得？

彼得-舒马赫我想，我们有一条评论与你试图围绕如何识别关键供应商展开的对话有关。所以，我想读一下这条评论，看看是否能引发更多的讨论。所以，它说："我们正试图通过发送信息收集调查，并将结果与网络情报相结合，对我们庞大的供应商网络进行剖析。调查将帮助我们根据共享数据（如有）、数据位置、连接方式和分包商的使用情况对供应商进行分层。

布伦达-费拉罗：是的，我认为这是一个非常好的方法。很多时候，如果你没有能力获得一份能够提供你需要了解的属性的接收表单，以便进行适当的尽职调查，那么你可以去找供应商，向他们询问这些信息，然后利用线程情报优先处理你想要处理的问题。然后，在你改变公司文化的过程中，如果你的公司没有业务部门问责制或糟糕的采购数据，那么就需要联系点。我认为这是最好的方法。你怎么看？

Keith Likenwaller：这是一个很好的方法。我的意思是，走出去，努力确保你了解参与是如何工作的，并获得初始数据，嗯是一个很好的筛选方式，找出我们真正想要深入的地方。嗯，我认为嗯了解你预计会发现失败的控制措施。在这里，你可以去找你的合作伙伴，提出几个问题，并真正规划出筛选问卷，实际上可以让你进入一个地方，在那里你有最好的情报，说这是我们真正做更深入的意义。因此，考虑一下哪些控制措施会让你感到害怕，并会引发你想要做更深入的调查，嗯，作为公司计划的一部分，我已经看到几家公司做了正在描述的事情，嗯，因为他们没有内部数据。嗯，我看到了一些很好的转机。所以我鼓励你，如果你认为这对你有用，就去做吧。试一试。扩大规模。从小事做起。确保你有正确的问题，这样你就不用多次去找供应商了。然后，确保你的车队覆盖面广。然后制定一个方向性指标，让你的领导层同意你的计划。

同意。还有什么消息，彼得？

彼得-舒马赫下一个问题是，在网络之外，你还考虑哪些领域？

Brenda Ferraro：其他风险领域？

布伦达-费拉罗：是的，商业情报变得非常非常重要，这样你就可以看到他们的公司是否有任何变化，或者他们是否陷入了一些财务困境。嗯，现在很多线程情报能力都有网络情报，这真的很重要，它能提供你需要知道的信息，从开放源代码的角度提供情报，但业务部门或商业情报也同样重要，尤其是对高风险的业务部门，所以我会把它作为一部分添加进去，你怎么看基思？

Keith Likenwaller：哦，当然，我是说商业智能，这又回到了我关于成为采购合作伙伴的评论，嗯，十有八九他们有一些已经购买的服务，他们有一些数据。在我工作的 16 年里，我亲眼目睹了一些案例，这些案例表明，企业的财务状况不如以前那么稳健了，然后你就会开始看到一些偷工减料的行为，比如在线服务器的报废等等，这些最终都会对企业的运营造成影响或带来违规风险。在我的人生旅途中，我已经看到了一些这样的情况，尤其是在运营方面。因此，要密切关注其他风险指标。我称这种复合风险为 "复合风险"。

Brenda Ferraro：同意。

彼得-舒马赫很好。我想我们还有时间再问两个问题。嗯，我们这里有好几个问题，所以很抱歉，如果我们不能在一小时结束前回答你的问题，但嗯，我们会在这里继续提问。你能分享一些脱离电子表格的自动化实例吗？凯斯，你想谈谈你是怎么做到的吗？

基思-利肯沃勒嗯，自动化有两个部分，我们从中获得了最大的价值。显然，收集的自动化很重要，但除此之外，我们发现工具箱中的工作流自动化对于真正能够将协调收集的知识传递给评估人员至关重要。嗯，能够把这些东西移交出去，进行清理。因此，工作流程至关重要。但是，可能最重要的自动化点是，它能提高我们的能力，让安全评估员在一年内完成更多的评估，花时间映射问卷，这样，如果供应商提供我要说的问卷失败答案，问题 10 表明控制失败，选择您最喜欢的控制，自动响应或风险响应，通常由安全专业人员举例说明，并实际将其放入工具中、你的评估人员就不会再看 200 个问题了。他们关注的是五个不符合要求的关键控制措施。

基思-利肯沃勒他们不是在评估一大堆文件。他们实际上是在集中精力说："这是五份文件。让我和企业谈谈它们"。

Brenda Ferraro：因此，自动魔法表示法、自动魔法表示法会向您显示，这里是您需要去研究的内容，而不是评估反馈回来的整个文件和其中的所有回复，但这里是我们通过平台确定的内容。这对您来说非常重要。

Keith Likenwaller：是的，我为企业提供了所有的失败案例，并说你应该完全可见。Y

Keith Likenwaller：嗯，但这些都是我们发现的，我们认为你应该最关注的，原因就在这里。对不对？

基思-利肯沃勒通过集中对话，我们节省了大量资源。B 我们获得了很多牵引力和尊重。我发现，随着时间的推移，我去过很多企业，企业会说："我真的很感谢你帮我把重点放在对我来说最重要的地方。

布伦达-费拉罗：所以翻译时，你要过滤掉噪音，把注意力集中在重要的事情上。是的。

Keith Likenwaller：是的。

布伦达-费拉罗：还有时间吗，彼得？

彼得-舒马赫我们把最后一个问题挤进去。很抱歉我们说得太多了，但当你们收到第三方违规的通知时，组织的哪个部门会牵头与供应商进行后续互动？是隐私部门吗？是信息安全部门？是法律部门，还是其他部门？

布伦达-费拉罗（Brenda Ferraro）：我在盛行之前在那里工作。是第三方风险管理小组负责我们和他们之间的协调工作。基思，对你来说有什么不同吗？

Keith Likenwaller：对我们来说是不同的。我们有一套管理事件的流程。无论是否发生违规事件，我们都有相应的程序。但是，在这些程序中，第三方风险管理团队是必不可少的。有即时响应。你有风险吗？贵公司的数据是否已经泄露？你的内部是否存在直接风险，因为你可能与合作伙伴之间存在防火墙漏洞，你是否需要开始检查？对手是否也因为这种情况而在你这里立足？快速完成所有这些项目。这是反应组织的事情，让做这个的人做得最好。嗯，但要确保他们拥有你在过去评估供应商或合作伙伴时看到的所有控制故障。让他们立即看到这些数据，然后通知他们正在发生的事情，然后在适当的时候，也就是一个月之后，对供应商进行重新评估，说他们是否把控制措施提高到了一个新的水平，是适当的，嗯，还是我们在这里有一个持续的风险问题，我们应该与企业一起努力？因此，我倾向于稍后再与年龄有关。我确保我所掌握的数据能够立即提供给做出回应的组织。然而，因为他们应该有所有的英特尔，这将有助于他们。

布伦达-费拉罗（Brenda Ferraro）：基思，一如既往，我很荣幸，非常感谢你让我们与你同行。彼得，我把电话交给你来结束。

彼得-舒马赫非常感谢。谢谢大家的参与。在此提醒大家，我们将对本次会议进行录制，明早我们将把录制的内容发送出去。感谢基思的真知灼见和分享。希望大家都能有所收获，也感谢布伦达。我们下次再见，祝大家今天愉快。谢谢。

基思-利肯沃勒注意安全

布伦达-费拉罗：谢谢。