您的 TPRM 计划可能遗漏的最大风险

马特：让我们先做一些自我介绍。我叫马特。我在这里从事业务开发工作，今天我们请到了一位返场嘉宾，布莱恩-利特尔费尔（Brian Littlefair）。他是剑桥网络顾问公司的首席执行官。他还曾在沃达丰集团和 A Viva 担任 CISO。欢迎回来，布莱恩。

谢谢，马特。嘿，很高兴见到大家。

马特：最后，斯科特-朗（Scott Lang）也将出席今天的会议。斯科特是我们的产品营销副总裁，他将在会议的最后深入探讨我们如何使您的 TPRM 项目更加成熟。谢谢斯科特。

马特，你好吗？

很高兴见到你。很高兴见到你。好的，作为内部管理，本次网络研讨会将进行录制。网络研讨会结束后，你们很快就会收到这个视频和幻灯片。最后，你们都被静音了，所以在网络研讨会期间有任何问题，请使用问答框功能。嗯，废话不多说，我先把事情交给布莱恩，由他来分享你的 TPRM 计划可能缺失的最大风险。请讲，布莱恩。

布莱恩：谢谢，马特。非常感谢你的介绍。大家好。正如马特所说，我是布莱恩。我很期待今天向大家介绍这个话题。我有一点家务事。我有点感冒，所以要喝水。我喉咙有点疼，但我们会很愉快地讲完这个话题。所以，我们今天要讨论的，正如马特所说，是你的 TPM 计划可能会遗漏或可能遗漏的首要风险。实际上，我们将重点讨论与 IT 无关的风险，对吗？所以，我认为，正如你所知道的，安全专业人士，也就是电话中的主要人员，你知道，我们倾向于关注信息、数据、网络风险等。但我要关注的是一些其他风险和角度，我个人认为，你知道，为了拥有一个全面的 TPLR 计划，你必须包括这些风险和角度，也许我们都还没有把它们考虑进去。对吧？所以，说说我吧。这是我的照片。你们可以看看。在我们开始之前，先放几张幻灯片，介绍一下场景。我们从统计数字中了解到，普遍都会进行自己的审查和问卷调查等。但同样，在第三方风险管理领域，我们知道很多时候，或者说在大多数情况下，进行第三方风险管理的责任传统上由安全职能部门承担，因此，正如我所说，我们的首要任务是关注网络和信息安全风险，但我们并不是这些数据的唯一接收者，我们也不是唯一应该为数据集做出贡献的人，你知道，数据集是代表我们的客户群收集和分析的。因此，我仍然认为这种趋势会继续下去。要知道，CISO 下属的安全团队仍将是主要用户。但是，为了获得全面的整体风险图景，我们知道我之前做过一次网络研讨会，讲述了与采购职能部门合作的重要性，但同样的，我们也有法律、风险、合规等方面的问题，他们都对 TPRM 计划中的数据有兴趣。

坦率地说，他们都有不同的专业技能，你知道，这些技能是对安全技能的补充，可以真正帮助我们建立丰富的图景，你知道，这个供应商对我们业务未来的风险有多大。我们都知道监管。不管你是爱它还是恨它，它都将继续存在。我认为，你知道，我们都将经历的监管水平，显然，取决于你所处的行业，只会越来越高。我稍后会用幻灯片介绍监管问题，但可以肯定的是，自从我多年前开始从事信息技术/安全工作以来，目前主观上的监管数量是当时的 10-20 倍。因此，我认为这种趋势只会继续下去。在最新的 Verizon 威胁报告中，有 62% 的系统入侵是通过合作伙伴和供应商渠道进行的。我想我们都知道，通过我们的威胁情报来源，你知道激进组织等肯定会把重点放在供应链上，因为你知道他们最有利可图，你知道攻击载体捕鱼是最呃你知道使用的工具，但在针对组织方面，为什么要针对一个特定的组织，并把所有的精力投入其中，当你可以针对一个主要供应商，并掌握你知道成千上万的客户连接到他们的平台和系统。因此，这是一个非常真实的威胁，你知道，它不是恐吓软件或恐惧、不确定性和怀疑，你知道，有时它被称为。它是非常真实的，我们必须对此加以关注，并了解如何才能在未来减轻这种威胁。所以，今天，我们知道这一切，对吗？我们了解这些。我们明白我们需要关注什么，但正如我所说，我们今天要关注的是那些我们日常可能并不关注的领域，即非 IT 领域，以及它们在确保我们的整体网络风险方面有多重要。那么，与业务相匹配的整体方法实际上是什么样的呢？

因此，我非常提倡与业务保持一致。我认为，如果你是一名 CISO 或安全主管，不管你的头衔是什么，如果你没有完全与业务战略保持一致，那么你就是在一个孤岛上运作，而孤岛对任何人都没有真正的帮助。因此，不仅要制定 TPRM 战略，还要将整个信息/网络安全战略与你所要保护的业务紧密结合起来。因此，要真正了解该企业，你知道，它提供什么产品，在哪些地区运营，你知道，它向客户提供服务的方式是什么？是直接面向消费者，还是 B2B 组织？因为所有这些最终都会改变你的风险状况。因此，你必须决定，你知道，如果我要运行一个有效的 TPRM 功能，我需要向企业提供哪些产出，这样他们才能，你知道，围绕未来战略做出有意义的原则性选择。这就是这项计划的最终目的，对吗？它了解业务运营需要哪些外部供应商，他们对服务的连续性和潜在的组织声誉带来哪些风险，以及我们如何确保这种风险继续存在。我从事安全工作的时间已经够长了，那时还没有像现在这样的好工具。你知道，我肯定会开始时，你知道微软Excel是我们唯一可用的工具，我们有你知道巨大的长复杂的电子表格，我们试图跟踪你知道补救在成千上万不同的供应商，我知道你们中的一些人可能仍然在今天的世界呃，这绝对是一个挑战，做一个有效的TPRM计划在微软Excel上。一些很酷的技巧，比如实时更新供应商的表现，以及威胁情报等，在 Microsoft Excel 上是无法实现的。很明显，它不是为运行第三方功能而设计的，这就是为什么开发了像盛行这样的工具的原因。所以，是的，我们绝对需要确保我们有正确的工具。我们需要确保在人员方面有合适的资源。

我从来没有走进一家企业，看到他们的第三方TPRM功能，就觉得这里面的人太多了。我经常走进一些企业，看到两三个人在手工操作的流程下，试图真正掌握企业的关键战略风险，坦率地说，他们做起来很吃力，因为他们要么技术不够熟练，要么主要问题是他们手头没有合适的工具来推动这项工作。因此，我们需要认识到，我们正在收集非常丰富的数据源。我们需要确保将所有这些数据汇集在一起。我们对整个组织的风险有一个统一的认识。我在其他网络研讨会上也谈到了这一点。筒仓问题同样不仅仅是组织问题。收集所有这些数据并将其保留在安全职能部门是没有意义的，同样，对供应商给企业带来的风险有两种不同的看法也是没有意义的。因此，如果安全部门有一个视角，而采购部门可能对他们正在使用的不同系统有一个视角，那么很明显，我们在同一业务中就有了两个视角，这没有任何意义。因此，在一个真正专业的工具上对所有不同的业务部门进行整合和协作，将为你管理组织内的风险带来红利。因此，让我们来谈谈范围和细分，因为这些对于无法实际评估供应商足迹内的风险至关重要。要知道，我们不可能对每一个向我们组织提供产品或服务的供应商都给予同等程度的关注和重视。因此，我认为 TPRM 计划有时并不是真正的全球性计划。因此，我走进大型跨国企业，看到他们在本国或本地区有一个非常有效的流程。然后当你说，你知道这个流程在亚洲是如何运行的吗？这个项目在欧洲或美国是如何运行的？

这并不总是在同一水平上，你知道治理并不总是在蹩脚的同一水平的标准和类似的东西。因此，真正要确保的是，在可能的情况下，你有一个全球性的流程，在可能的情况下，你有一个全球性的工具，这有一个很大的原因，如果你反过来看这个问题，从供应商的角度来看，他们显然有动力销售尽可能多的产品和服务，他们会分化和征服一个组织，我见过很多次，甚至在我运行的组织中，如果你没有得到正确的管理，供应商和控制他们在你的组织内的互动，而不是真正有不同的服务水平和不同的风险。全球各地的价格和服务水平协议等也不尽相同。因此，真正有意义的做法是了解供应商在全球各地的运营情况以及与贵组织的互动情况。要做到这一点，显然你必须是真正的全球供应商。这个领域肯定存在监管。如果监管机构能开始规范他们的方法，那就太好了。我个人花了很多时间与监管机构接触，发现全球各地的一些法规存在严重重叠，但每个国家或民族都希望有自己的一套监管标准，适用于其职权范围内的不同行业。因此，尽管这些标准相当普遍，但它们之间还是存在细微差别和差异。因此，我们必须充分了解它们，明白它们是什么，这一点很重要，我稍后会讲到这一点，但同样，你知道，这也是一个盛行的插曲。你知道，我应该说，在我的工作中，你知道，我曾为大型跨国组织工作过，我代表流行说话，因为，你知道，我认真地使用过这个工具。我了解它能为组织带来的价值。因此，我们的计划必须涵盖供应商的整个生命周期。我们常常把精力和资源放在前面。

因此，我们的组织中来了一家新的供应商。因此，我们会全力以赴，了解所有权模式，了解他们的运作模式等。但我们并没有一直保持这种努力。如果他们是我们企业的一级或关键供应商，显然还有一些二级供应商，我们就需要确保对该企业进行持续监控。同样，对于那些使用 Microsoft Excel 或手动发送调查问卷的人来说，如果你仔细想想，每 12 个月才有一次更新。你没有实时了解该公司发生了什么，其财务状况如何，是否有违规行为等。有时，你可能会突然发现你的某个供应商发生了重大事故。组织中的高级利益相关者知道这件事，但你可能不知道。因此，您希望第一时间了解情况，并向企业提供建议，而不是相反。因此，为了能够有效地做到这一点，希望这也是我们都想做的。我们需要确保对我们所负责的一切进行全面覆盖。同时，层层细分也非常关键。此外，我们还可以进行第 n 次细分。很多人都不看 nth，我认为这真的非常重要。我说的第 nth 指的是供应商中的供应商。所以，你可能会给你的一个供应商一份合同。他们可能会将合同分包给其他供应商，而这些供应商有可能是你不知道的，但当然，在受监管的行业中，当我们谈论 PII 个人身份信息时，你知道该数据的端到端路径是非常关键的，我们稍后也会谈论这一点。因此，让我们来看看我们将重点关注的非 IT 风险的活动桶，我个人认为这些风险对我们今后的监控至关重要。

首先是运营，确保我们的合作伙伴和供应商有能力继续为我们采购的产品或服务提供服务。我们需要确保他们的业务连续性，他们的灾难恢复和其他一系列措施都达到了要求，否则你知道，如果他们发生了什么事，同样默认我们也会发生什么事，我们如何才能潜在地规避这种风险。很显然，我们已经有了一个合规的世界，在网络安全的世界里，我们对此非常熟悉，但很明显，它比信息和网络安全更广泛。我们还需要注意很多其他的合规法规。我们都希望成为优秀的全球公民，但这取决于你在世界的哪个角落，也取决于企业社会责任/环境、社会和公司治理的要求。我们都想确保我们的产品和服务令人惊叹。当然。但我们不希望为了达到这一点而剥削任何人。那么，我们如何确保当我们外包或离岸外包给远岸国家时，我们也能得到同样水平的管理和控制？然后是财务，你知道的，确保该组织的流动性很强，确保他们不会明天就破产，这样当一个关键供应商破产时，我们又会无力为我们的客户提供服务。因此，我将对这些领域逐一进行深入探讨。我显然会举一些例子，但正如马特在一开始所说的，欢迎大家在聊天中提出任何问题，我也会一一解答。我们来看看运营风险。举几个例子。我也会一一介绍。很明显，我们有 COVID。我们有，你知道，全球大流行病造成的问题。我们有政治不稳定。我们有俄罗斯的乌克兰危机。中国有可能入侵台湾。还有后勤方面的挑战

因此，虽然不会立即与网络相关，但绝对会对我们的组织运行能力或业务运行能力产生影响。因此，正如我们所看到的，全球事件显然会对企业造成影响。我认为，运营风险往往没有得到应有的重视或严肃对待，因为它可能会对企业造成影响。很明显，我们已经看到了全球冲突对国家造成的影响。它们极大地破坏了全球贸易，无论是实体贸易还是虚拟贸易。因此，这不仅仅是一个物流问题。你知道，很多人都有，你知道，在俄罗斯和乌克兰工作的组织。你知道，与俄罗斯的联系必须切断。你知道，乌克兰的许多劳动力不得不拿起武器，等等。因此，劳动力和雇员一夜之间消失了。所以，你采购的不一定只是有形资产。你知道，如果资源消失了，那么如果你使用的编码员或开发人员等不再可用，那么数字资产也会中断。而且，你知道，运营方面的挑战也很容易导致家喻户晓的公司破产。我举了露华浓（Revlon）的例子，他们在美国的破产申请中提到，无法生产足够的产品和批发商的罚款是他们申请破产的原因。因此，他们的供应链被打乱了。你知道，原材料的供应中断了。他们向供应商承诺 每个月都会交付一定数量的产品他们无法实现这些承诺。这给母公司带来了巨大的损失，结果就像滚雪球一样越滚越大，最终像露华浓这样家喻户晓的品牌不得不以供应链为主要问题申请破产。但是，正如我们刚才提到的，还有许多行业依赖于乌克兰和俄罗斯的产品和服务。对不起。

因此，如果我们看看乌克兰的粮食生产，就会发现大量的粮食堆积在乌克兰，而他们只能用很少的船将这些粮食运出乌克兰，但实际上这些粮食的 80% 都被联合国世界粮食计划买走了，因此这对发展中国家和那些需要援助的国家造成了巨大的影响。如果我们看看俄罗斯，当然，在欧洲，我们对从俄罗斯进入多个国家的大型天然气管道有着巨大的依赖性。不仅是汽油，几乎所有的石油衍生品都受到了影响，这给供应链带来了巨大的挑战，我们真的要想一想，如果那是俄罗斯，如果是乌克兰，如果是中国入侵台湾，我们要想一想，如果我们对俄罗斯实施的制裁同样施加在中国身上。再想想我们对产品、商品、服务的依赖，对中国企业和中国服务的外包，等等。甚至像物流和航运这样的行业，你知道，他们几乎是行业巨头，这将对我们几乎所有的组织产生直接或间接的巨大影响。因此，我们需要根据过去的事件建立模型。那么，我们对过去发生的事情了解多少，又该如何预测未来可能发生的事情呢？看看我们的供应商，他们是否在某一特定地点过度暴露，你知道，那里可能会有一些政治干扰？你知道，如果你是英特尔或 AMD 或类似的组织，而乌克兰生产了全球 54% 的半导体级霓虹灯，那么，你知道，你会希望他们有一个计划，你知道，A 计划、B 计划、C 计划和 D 计划。

我们来看看合规风险，我提到了每个地方的合规情况，这只是数据安全方面的合规情况。所以，你知道，有很多单独的呃，你知道，法规和重点，这正在呈指数级增长。我敢说，到明年左右，非洲大陆就会被填满。因此，在如何管理数据方面有很多不同的方法。如果你是一个国家的国家级组织，那么很明显，你只需要真正关心这个国家的公民。但是，如果你是一个全球性的跨国企业，在 60 个、70 个不同的国家开展业务，那么这就变得非常复杂，你需要管理这些数据，抱歉，我只是提前播放了幻灯片。因此，你知道人们经常认为他们可以将问题外包出去，我接触过很多企业，他们说这对我们来说不是问题，因为我们使用的是外包商。正如我提到的，对于跨国公司来说，合规环境如今非常复杂。随着时间的推移，它只会变得越来越复杂。像 Prevalent 这样的工具可以真正帮助您了解各个地区的合规要求，并通过生成报告，说明不同地区的工作情况，帮助您进行内部或外部审计。我认为，正如我刚才提到的，共同的主题是，你知道你要满足这 60 种不同的要求，但有一点是共同的，那就是你要保持责任感。

你可以外包责任，但不能外包责任。您可以让他人代表您运行一个流程或处理您的数据，或者运行一个呼叫中心并访问您的客户记录，但最终在监管机构和大多数国家的法律制度眼中，您仍然要对这些数据负责，这就是了解您的 ENT 的关键所在。如果你与某个组织签订了合同，他们是否将该合同外包给了其他人，当涉及到 PII 时，这真的很关键，所以在这种关键的情况下，我们能做些什么呢？很明显，使用像盛行这样的工具将对你非常有用，呃，你知道，如果你有数据泄露，不同地区的监管要求具有非常不同的时间框架。我一生中大部分时间都在从事金融服务和电信工作。因此，我对这两个行业的监管情况非常了解。我知道，如果我在新加坡和在印度都发生了信息泄露事件，我的响应时间就会明显不同。我对事件的编目方式也必须截然不同。你知道，我告诉谁，谁参与进来，也是完全不同的。所以，你必须完全理解这一点，你知道，要能够在你的记忆中，把这一点放在前面和中心的位置。有两件事是确定无疑的。复杂性和不确定性是我的口头禅。它们是安全的敌人。如果一个东西非常复杂，就很难保证安全。如果你的环境不确定，有很多不断变化的因素，那么也很难确保安全。这就需要你的 TPRM 流程以及更广泛的安全策略。因此，在这样的世界里，合同和工作方式必须绝对清晰。你知道谁是数据的所有者，你知道一点线索，那就是你自己，就像我前面说的，你不能外包。因此，认识到这一点并不重要，重要的是你要签订什么样的合同。

谁来进行日常工作并不重要。数据所有者仍然是数据的实际交互者和处理者。当你接触到真正敏感的信息时，支付记录等。你必须详细到个人姓名。你必须能够远程管理谁能够每天访问你的信息。他们的 "加入者 "和 "推动者 "流程是怎样的？你知道，如果有人离开了组织，他们的访问权限会立即被取消吗？如果有新员工加入，如果他们要访问敏感信息，我们是否也对他们进行了适当的审查？各个国家对公民个人数据的合规性有什么要求？例如，在某些国家，即使是外包，也必须由来自该国的人员实际访问这些数据。而这，你知道，要么太难做到，所以不会发生，但你知道，你仍然必须考虑到这是一个要求。要知道，向前迈进的一个好办法就是找出完美的样子。我发现，你知道，当进入一个新的空间或做类似的事情时，要确保你，你知道，找到完美的样子。联系同行组织。在网络或信息安全方面，我很少发现人们会相互竞争。我认为，人们愿意对他们信任的人或信任的圈子真正做到公开透明。所以，你要知道，参与讨论组和论坛，确保你了解其他人是如何做的，然后确保你将类似的流程落实到位，你知道，你不必从一张白纸开始。那么，我们来看看 ESG 和 CSR 风险。嗯，这取决于你在哪里，不管你怎么称呼它，就像我说的，我们要做一个好公民。

我们希望从组织的角度确保我们做的事情是正确的，我们都希望有好的产品和服务，但我们需要认识到，世界是一个非常大的地方，它并不总是与我们在自己国家所认识到的一样。因此，无论是企业社会责任，还是 ESG，我们都要确保我们在做正确的事情，我们要确保我们在保护环境，我们在做正确的社会方面的事情，我们要确保我们有正确的治理等等。因此，我们都会认识到的一个趋势就是离岸外包和外包。其中一个主要驱动力就是降低成本。因此，其中一个关键因素就是我们要到世界上成本较低的地区去。但我们需要认识到，正如我所说的，并非所有地方都是一样的，并非所有国家的企业道德水平都和我们一样高，有些地方的员工显然仍然受到剥削，但这是我们必须面对的事实、你知道，贿赂是为了润滑车轮 或者是为了让高度复杂的官僚机构一夜之间消失。这种情况世代相传。你知道，对于某些地方的某些人来说，这是一种非常正常的工作方式，但你知道，我想说的是，对于我们这个电话中的大多数人来说，很明显，我不知道我们拨入电话的所有地区，但我想说的是，对于我们大多数人来说，我们有一些法律和，你知道，其他合规法规会规定，你知道，这是非法的。

因此，我们面临着这样的挑战：我们必须以我们的工作方式、我们的道德规范、我们的信仰体系和我们的文化来开展工作，而且我们必须强加于人，因为这是一个很强烈的词，但我的意思是，我们必须将这种工作方式强加给遥远的地域，如果他们想与我们的组织合作并开展我们的业务，那么他们的传统工作方式并不重要，这些都是我们要强加于人的标准、但同样，我们也要确保对其进行正确的管理，以确保在合同签订后继续执行。我们都在新闻和报纸上看到过类似的问题。例如，我们看到石油泄漏破坏了环境。我们看到运动鞋制造商使用童工。我们看到咖啡生产商支付给工人的工资低得令人发指。我们都知道现在一杯铜咖啡要多少钱，对吧？所以利润肯定是巨大的。所以，你知道，支付给那些真正种植产品、烘焙产品、采摘咖啡豆的人，等等。要知道，确保他们有公平的工资来购买公平的产品，这对大多数组织来说都非常重要。这只是几个例子。你知道，即使是在呼叫中心工作的人，也是如此。因此，我们要真正思考，我的组织是做什么的？我们的承诺是什么，我们的道德立场是什么，我们在这种环境下的合规性和法律监管是什么，以及我们如何确保我们拥有有效的治理流程。这是真正的确保，你知道，我说的是作为安全专业人员，但这比安全更广泛，但它都会影响到你的 TPRM 计划。我们必须确保充分了解供应链中的整个监管链。然后还有财务风险，对吧？所以，嗯，你知道，我们在全球范围内看到了 COVID 大流行，你知道，这对我们所有人来说都是一个巨大的惊喜。

你知道大多数信息安全专业人士，如果你签署了NIST或ISO或类似的东西，你总是有一个全球大流行性流感政策在你的武库中，但你知道大多数人会认为这是相当不现实的，你知道从来没有想过它会看到光明的一天，但事实上，它做到了，我们都看到，你知道，遭受的组织，没有你知道适当的IT基础设施，为他们的员工立即从家里工作。他们没有能力迅速调整自己的运营方式，或向客户提供产品和服务，并迅速从物理场所和类似的东西中将东西搬到网上。因此，这确实影响了一些组织的底线和资产负债表。现在，我们已经走出了那个时代，但放眼全球，不是吗？通货膨胀加剧，利率上升，全球各国政府借贷增加。再加上组织机构，加密恶意软件的使用率是有史以来最高的你知道，这些恶意软件会对组织机构的数据进行加密，并勒索赎金。所以，你知道，如果他们没有正确的保险，你知道，这可能，你知道，我们看到，你知道，世界各地的几个组织，呃，你知道，实际上有一个加密恶意软件事件。他们的财务无法承受。他们没有投保，或者当时的政策实际上不包括支付。他们没有能力迅速恢复该组织，实际上已经倒闭了。如果没有正确的计划，这种情况几乎会发生在任何组织身上。因此，我们需要未雨绸缪，把这一切都考虑周全。我们需要问的问题不仅仅是网络和信息安全方面的，还有这个组织的流动性如何？它的财务承受能力如何？

稳定性如何？要知道，对于某些例子来说，它可能会在一夜之间发生变化。那么，我们能做些什么呢？你知道，你知道，每个供应商的趋势是什么？大多数大型企业都会向公众公布他们的财务报表，因此我们可以开始利用这些信息，了解趋势如何？他们是否在组织内部获得了更多的自由现金流？他们在偿还债务吗？还是现金流减少，债务增加？是否开始逐年增加风险？还是风险开始下降？你知道，他们是否为组织可能受到的影响购买了保险？不只是从网络风险的角度，而是从业务影响的角度。所以，你知道，他们是否投保了因无法为供应商提供服务而造成的损失。所以，以雷富隆为例，你知道，他们是否已经对冲了潜在的风险，是否已经从保险市场上获得了保障？实际上，你知道，他们的总部在哪里？呃，你知道的，它们在全球各地的位置。它们的总部在哪里？它们是否有能力受到腐败政府的操纵或挑战？它们是否可能受到政治不稳定的影响？所以，你知道，所有这些事情都是绝对的因素，获得准确的信息是真正的关键，但正如我在一开始所说的那样，确保我们已经掌握了所有这些信息，我们可以在我们的组织内传播这些信息。因此，在我把工作交给斯科特之前，你知道我们可以采取哪些不同的做法，你知道怎样才能真正有所作为，所以我认为我们必须协同工作，嗯，我们经常这样做，我也很内疚，你知道我们是网络和信息安全专业人员，可能还有许多其他学科的人员也在电话中，但正如我所说的，你知道这个工具、这项技术和这个过程的更积极的用户。

作为信息安全专业人员，我们必须认识到，我们并不掌握所有的答案。我们有自己的思维模式和处理问题的方式。我们需要在组织内部广泛合作。因此，正如我所说的，请看我做的关于与采购职能部门合作的网络研讨会，你会发现首席信息安全官和采购总监或首席采购官在风险方面的责任是重叠的。因此，要确保利用不同职能部门的不同专业知识。因此，要与人力资源、法律、财务部门合作，确保我们已经建立了正确的关键绩效指标，这样我们就可以开始看到事情出错时的情况。我们不想做的是，当车轮完全熄火时才发现。要知道，有领先和滞后指标，我们可以开始看到挑战开始悄然来临，当我们看到这些指标时，我们就可以开始了解我们的应对措施是什么，要知道，大多数成熟的组织都不会把所有鸡蛋放在一个篮子里，而只放在一个关键供应商身上。因此，无论你从两三个不同的供应商那里获得原材料，还是从地理位置分散的供应商那里获得原材料，你都已经具备了这种应变能力。因此，如果出现影响，它显然不会对你造成巨大的问题。然后，显然要确保你在供应商的足迹上进行整体操作。正如我所说，大多数使用盛行工具的组织都有能力做到这一点。你有能力在全球范围内对供应商提供产品和服务的位置进行规划。但是，如果你正在运行一个手动流程，这可能是一个挑战，特别是如果你是跨国公司，你的供应商与你的组织互动。

因此，在可能的情况下，创建全球流程，确保您在全球范围内运行您所知道的单一流程，然后确保您在整个组织中真正考虑到终端关系，然后真正建立您所知道的情景模式，当然，在 COVID 袭击之前，我认识的一位优秀的 CISO 与他们的会议室进行了一次关于全球大流行性流感的演习，每个人都认为演习非常好。我想首席执行官事后把他拉到一边说，我们下次能不能选择一个可能性更大一点的场景。几个月后，下水道又堵塞了，我们无法把货物送到客户手中，也无法把原材料运进来。你知道，目前在红海的胡塞武装会对我们的组织产生什么影响，你知道，这将转移 2,000 亿美元的贸易，并使某些国家和地区的过境时间增加数周。所有这些事情都会产生影响，模拟一些这样的场景有很大价值。所以，是的，要做传统的网络模拟，但同样要考虑得更广泛，要真正了解哪些情况会对我们的组织产生影响，因为它并不总是网络攻击。我认为，如果我们负责这个风险流程，我们就必须能够有效地指导业务，这显然要比网络思维更广泛、更宽泛。然后，你必须把握脉搏。显然，你必须要有实时的威胁情报反馈。同样，这也是人工流程无法做到的。你知道，你可以输入关键供应商的信息。你知道，你可以实时监控正在发生的事情。你可以看到其他人对他们的发现。在管理和监控供应商足迹时，这一点非常关键。

当出现我之前说的霓虹灯的挑战 在芯片制造领域 IBM的一位员工非常敏锐地意识到这是个大问题不是所有的组织都有这种实时情报 不是所有的组织都能做出反应 因为这家伙知道他事先有空中掩护 能做出这样的事要知道，如果你正在实施一项真正有效的供应商风险计划，你就会考虑到供应链中可能发生的、会扰乱你的产品和服务的几乎所有情况。然后，归结到成本角度。你知道，你愿意投资多少来规避风险？是去找保险公司？是把其他几家能提供同样产品和服务的供应商纳入你的账簿？ 呃，只是为了确保你已经对冲了未来的风险。很好。希望你觉得有用，还有很多问题要问我。我现在交给斯科特做几张幻灯片，然后我们就进入问答环节。斯科特，交给你了。

马特：太棒了。非常感谢，布莱恩。如果你愿意，可以继续看下一张幻灯片。

斯科特：嗯，你知道，我从布莱恩的讨论中真正学到的东西之一是，你知道，我们必须意识到这个非常多样化的风险类型领域，我们都陷入了这个陷阱。 你主要担心的是供应商或供货商以两种方式之一为企业带来的网络安全风险。一种是软件供应链风险。你知道，你正在与一个软件供应商做生意，或者你买了一个软件，你在组织中使用了这个软件。这就变成了 "要么移动，要么被风吹走 "的情况。代码被泄露。突然之间，代码就出现在你的环境中。那么，这些代码也可能在你的第三方环境中。如果他们正在管理你的数据，或者与你的系统有连接，那么这同样也是通向你的组织的途径。第二种网络风险是外泄风险，对吗？PJNA类型的情况，例如，管理客户数据库以开具医疗账单的医疗账单提供商受到攻击。你知道，你的客户信息被泄露了，突然间，这些信息就会在暗网上被出售，这就是你的责任。这些都是媒体关注的焦点。但正如布赖恩在前面的演讲中所说，我们真正需要关注的，是那些潜伏在背后的更隐蔽、更不明显、更定性的风险，以避免它们在未来对我们造成某种破坏。要知道，供应链影响、供应链中断、有人被收购或供应商发生并购，突然之间就会对你的生态系统产生战略影响。总之，从第三方风险管理的角度来看，我们看到企业在三件事上挣扎，呃，因为他们正试图围绕计划呃，你知道建立那个计划什么的，这是第一人工流程。

我们每年都会对行业进行调查，其中一个问题是，你们是使用电子表格还是使用什么工具来管理第三方风险？几乎有一半，48%的受访者说，他们完全依靠电子表格来管理第三方风险计划。我知道你们中的很多人今天都在打电话。没关系。呃，总是有一个很好的开始，呃，以一种抛弃你的电子表格，你知道，这可能是，你知道，这一天做的一天作出这样的选择。非常手工的流程。你知道手工操作的风险。很难及时更新，很难获得实时信息。很难有效地在电子表格中绘制控制图，以补救第三方风险问题，并有效地实现闭环。其次，研究表明，大约有 20%的公司正在跟踪第三方供应商风险生命周期中至少一个阶段的风险。每 10 家公司中就有 20% 的公司在跟踪整个生命周期的风险。这就有问题了。你知道，我认为我们的自然倾向是，当你入职一个供应商或当你评估一个供应商时，做一个相当深入的尽职调查评估，看看你是否想与他们做生意。了解他们的网络态势、竞争态势、财务态势、ESD 评分、声誉问题等等。一旦完成，我们就继续前进。我们很放心。他们符合企业的风险偏好。我们就继续推进。然后我们会定期重新评估。但在那之后，你知道，时间会发生变化，然后，你知道，我们作为人类的天性，我们倾向于关注下一个大问题，也许我们有一些供应商，你知道，我们在生命周期中已经有一段时间了。与我们有业务往来的供应商仍在继续给我们带来一些风险。数据显示，很少有公司真正从头到尾关注风险。

第三，在许多企业的第三方风险管理中，出现了 "人人喊打 "的疯狂局面。71%的公司表示，第三方风险由信息网络团队负责，但63%的公司表示，第三方风险由采购团队负责。所以，我向你们提出这个问题。这是你的环境吗？对不对？你可能是安全、合规或第三方风险团队中的一员，可能负责管理评估流程或了解你必须管理的第三方信息类型。但真正与他们有日常接触的可能是采购团队，或者至少是支付账单的团队。因此，他们需要保持联系。如果管理不当，如果你没有为所有利益相关者提供正确的见解，你知道，这种对立、这种所有权可能会导致一些冲突，或者在最坏的情况下成为一个烫手山芋，没有人真正管理这种关系。请看下一张幻灯片，布莱恩。嗯，最终，你知道，我们从20年的工作中了解到，企业希望从第三方风险管理项目中实现以下三点。首先是获取他们需要的数据，以便做出更好的决策。我们谈到了这一过程的人工化程度。我们谈到了不同的数据源是如何导致可能不是一个真正实时的呃呃你知道那种方法，或者没有在整个生命周期中关注风险。第二，提高团队效率，打破孤岛。你知道，如果你的 IT 安全团队需要执行一项评估，以了解潜在供应商的安全状况。采购团队想知道他们的财务状况如何？他们能否支付账单？信用评级是否良好。也许合规或风险管理团队想知道，他们是否有任何声誉问题？他们上过新闻吗？是否有需要担心的产品质量问题？诸如此类的问题。最后的结果就是，你会遇到三个不同的受众，他们都想知道一点关于第三方的信息。

在任何规模的企业中，我们都很少发现有能力将所有这些东西汇集在一起，这样，无论你想管理哪种类型的风险，你都能对第三方有一个统一的视角。第三，随着时间的推移，不断发展和扩展你的计划。我的意思是，你看，我明白了。这是一个挑战，对吧？你得为新的第三方做好准备，为退役做好准备，你知道，呃，你不再与之有业务往来的供应商。嗯，你需要在你的流程和解决方案中加入一些弹性，你知道，这样才能做到这一点，你知道，电子表格、人工流程什么的是无法做到这一点的。下一张幻灯片你知道我们要做的是全面看待风险，呃，在第三方供应商或供应商关系中。我们认识到，从你决定寻找新供应商、选择他们并让他们入职，到合同到期，你对续约不感兴趣，你想离开供应商并终止合同和关系，我们在这种关系的每个阶段都能看到风险。这些阶段中的每一个阶段都会带来独特的风险，而这些独特的风险会给整个组织中的多个不同团队带来风险，无论是对你想要选择的潜在供应商没有真正的风险洞察力。传统的 RFX 流程通常无法解决这个问题。其次，在入职时，我们发现合同流程往往不能很好地与风险分析或风险缓解流程相结合。如果有一种方法可以统一管理合同中的 KPI、Kri、SLAs、绩效衡量标准，并将其视为不履行合同的风险或未达到预期的风险，或者你知道的网络风险，或者其他可以完全管理这类东西的东西，那岂不是很好。我们看到的第三大挑战是衡量内在风险所需的所有人工流程。

你知道，如果你没有一个出发点，你就无法真正了解你无法很好地把握下一步应该怎么做，如果你没有一个出发点，你就无法很好地把握下一步应该怎么做，如果你没有一个出发点，你就无法很好地把握下一步应该怎么做。我们需要深入了解，确定他们在数据隐私等方面的政策。第三，评估和补救。你知道，我们已经谈到了放弃电子表格和人工流程之类的东西，但你知道，我认为在评估过程中，一个关键的成功因素是拥有一个问卷库或问题库，以解决整个企业不同部门都希望了解更多的风险。就像我说的，财务团队想知道这个，采购团队想知道这个，IT 团队想知道这个，所以你知道，做那种像基于手工电子表格的流程，或者可能只看一个问卷，呃，你知道只是呃，通常不会让任何人满意。监控和验证是流程中的第五步，我们在这里看到的是，这些信息孤岛开始出现。你知道，你会得到网络评分、ESD 评分、金融评分，你知道，信用评级，诸如此类。那么，你该如何处理这些信息呢？你知道，如果你是那种管理关系的人，或者你知道你与谁分享这些信息，你如何以何种格式分享这些信息，这些信息如何影响决策，呃第三 SLA 和性能，我们谈到了呃承包和风险管理之间的整合，然后最后入职，你到了你知道是时候结束这种关系的时候、这样，你就可以非常安全可靠地说："好了，我们到此为止，所有这些项目都已经勾选。我们可以继续了。"下一张幻灯片 布莱恩你知道，我们解决这个问题的方法是三件事的结合。

首先，我们有一个第三方风险管理平台，如果您选择走这条路，我们的内部管理服务团队可以利用这个平台。但我们将代表您执行所有第三方风险管理工作。这包括供应商入职、执行固有风险评分、发布评估、分析、提出补救建议、协助签订合同等。我们的服务覆盖整个第三方风险生命周期。如果你想自己做，也没问题，因为我们有这样的平台。等式的第二部分是数据。我的意思是，我们的平台可以与业内任何其他平台相媲美。第三，我提到了平台，它能够将所有的工作流程、问卷调查、风险、报告、合规框架以及更多内容整合到一个平台中，帮助你减少执行风险评估所花费的时间和精力。请看下一张幻灯片，布莱恩。嗯，你知道，今天演示的核心是，你知道，我们为很多不同类型的风险做了这个，我刚刚在幻灯片上放了六类风险。所有的小点都是我们平台上的情报或问卷，可以帮助你收集这些信息。当然，包括网络业务运营、财务、环境、社会和治理、声誉和合规。同样，我们将这些信息集中到平台中，帮助您做出基于风险的正确决策，决定是否要与特定供应商开展业务，或继续与供应商开展业务，或建议采取补救措施，以达到与公司其他部门一致的剩余风险评分。

请看下一张幻灯片，布莱恩。我想这就是我今天想和大家分享的全部内容，也就是我们如何帮助解决环境中多种不同风险类型的问题，以及我们如何将这些问题整合到一个解决方案中，帮助大家进行一些分析、一些报告、一些补救措施，最终长期降低风险。这就是我今天想和大家分享的全部内容。我想，马特，我们把话题转回给你，然后我们再开放提问。

马特：好的，非常感谢，斯科特。好的，请看这里。所以，呃，现在实际上是一个很好的时机，你们都可以在问答框中提出任何问题。我现在就在屏幕上发起最后一个投票，这样我们就可以跟进您的任何 TPRM 项目，基本上就是您是否希望普盛公司跟进，讨论如何加强您的 TPRM 项目，请您诚实回答，因为我们真的会跟进您的问题。所以，让我为您快速发起投票。好的。好的。投票要开始了，呃，我们的问题好像有点多，布莱恩。所以，如果你有什么问题想问的话，我先给你看看。否则，我可以很高兴地挑一个 我们可以去通过一些。没问题看起来你是静音的 You're on mute it looks like.

布莱恩：好的，如果可以的话，我就给你们介绍一下马特。我们有一些问题，你知道，我们需要哪些文件来监督分包商？我们之前说过，你需要向分包商提出与主供应商相同的问题，对吗？所以，如果他们能获取数据，你也需要了解他们的一切。地点和所有权模式，你知道的，产品、服务、地点等。所以，这是一个扩展。所以，这不是额外的。这是你向现有供应商询问的内容的复制，你知道，把这些内容也传授给他们。有几个关于 ESG 的问题，你知道，我不太清楚 ESG 与 TPRM 功能之间的关系。所以，你知道，试想一下，你的一个主要供应商，你知道，被发现参与奴役儿童或严重违反健康和安全规定等。很显然，报纸会闻风而动，说 X 公司使用童工等。因此，你不会希望自己的品牌与这种情况联系在一起。这些就是联系，对吗？并且认识到有监管和法律的驱动力来确保这种情况不会发生。我想你知道，大多数公司都有责任把这些推向你的供应链，以确保它们不会发生。嗯，斯科特，我想我是为你从帕特里克当前SIG被移植到流行的工具。

Scott: Yeah.是的。问题是，当前的 SIG 能否导入流行工具，以确定内在和残余风险评级，然后与业务风险偏好进行比较？答案是肯定的。我们已将 SIG 2024 导入流行平台。那么，在今年开始使用 2024 对供应商进行评估之前，您可以将 2023 年及以前的答案迁移到新版本中。这包括内在残余风险分析，然后是业务风险映射，以及合规性框架映射。

布莱恩：很好。然后我们有一个问题，你知道，在努力使 TPRM 组织成熟时，应该关注的前三个项目是什么？不，我是任何网络安全问题，对吗？人员、流程、技术。我看到斯科特在第 19 张幻灯片上展示了人员数据平台。所以，你知道，这很相似，对吧？因此，我们需要确保你有合适的人，你知道，技术熟练的人，能够识别工具给你的输出，你知道在你的组织内推动适当的行动。你需要全局流程和良好的数据集，以确保你能获得良好的整体画面，然后就像斯科特说的那样，我在这次网络研讨会上已经说过好几次了，你知道，如果你今天正在运行一个手动流程，我想你知道这是一个很好的开始，但世界肯定已经向前发展了。我认为你应该看看像 Prevalent 这样的工具能为你做什么，并认识到你在为组织提供风险服务的能力方面的转变。还有一个问题是，联系或承包服务的业务部门是否有理由不拥有与客户的关系。我认为这要归结到各个组织。我曾为一些组织工作过，这些组织没有集中采购，但他们确实拥有与最终用户的关系。我认为，你知道，这是一种合作关系。我认为，只要你有单一的视角，这一点就非常重要。你不希望采购部门对客户群有一个看法，而你却有另一个看法，因为很明显，你们都在以不同的方式指导业务。因此，我认为这一点非常关键。斯科特，你想接这个电话吗？对于普遍存在的风险，我们是否可以选择一个特定的风险情报类别，例如只选择财务类别？

斯科特：是的，当然。我的意思是，这个问题的简短回答是肯定的。如果你只想监控供应商的财务风险，你完全可以通过一个流行的平台做到这一点。但你从平台上获得的最大价值是，从多个不同类型的内部企业团队中全面审视风险。因此，是的，有一些工具，你知道邓白氏公司、信用保险箱，你知道，他们是否能为你提供供应商的财务报告，但重要的是你如何处理这些数据，这就是我们提供的价值，我们利用这些数据，将其映射到潜在的风险、标志和警报，并让你采取行动。

布莱恩：很好。最后一个，斯科特也是为你准备的。

Scott: Yeah.是的。问题是，如果我使用工具以问卷形式发送 SIG，但供应商通过电子邮件将 SIG 返回给我。我能把他们的答案上传到我发送的问卷中吗？答案是可以。然后你就可以打电话给供应商，在电话里怒斥他们这样做。

很好，马特。我们成功了

好吧。Okay.真棒。非常感谢你，布莱恩，当然还有斯科特。谢谢大家的提问。所以，如果你想继续关注 TPRM，请随时在 LinkedIn 上向我们提问。最后，我希望能在你们的收件箱里看到你们，也许还能在我们未来的网络研讨会上看到你们。再次感谢大家，保重。

布莱恩：谢谢大家。干杯

大家保重。再见干杯