衡量第三方风险的正确 KRI 和 KPI

梅丽莎：大家好，欢迎各位。看，参与者陆续进来了。今天应该会很精彩。周四愉快！很高兴看到大家陆续加入。在等待各位连接就绪期间，我将启动本次两轮投票中的第一轮。若您曾参加过我们的网络研讨会，应该熟悉流程。 我们总是好奇大家为何参加今天的研讨会。是出于学习需求？还是刚启动第三方风险管理计划？现有Prevalent客户请告诉我。这个投票会一直显示，我先做个开场介绍。我们有位特别嘉宾——布莱恩·利特尔费尔，曾任沃达丰集团和英杰华集团全球首席信息安全官。 我们还邀请了Prevalent产品营销副总裁斯科特·朗，以及阿曼达和我——我们是业务发展团队成员，通常会在研讨会后跟进各位。相信部分观众之前已与我们交流过，若非我或阿曼达联系您，也定会收到兰登或努尔的联络。请留意他们的消息。今天布莱恩将深入探讨《第三方风险评估的正确KPI与KRI指标》主题。他将展示如何关联绩效与风险指标，打造更具洞察力的TPRM项目报告。（此时我的狗突然叫起来）在此提醒各位，我们非常重视您的时间。请确保您正在使用——抱歉阿曼达，您能接手聊聊聊天区吗？

阿曼达：当然啦。现在大家都居家办公，家里养狗的人也多了。嗯，没错。所以我们希望大家尽量保持互动。若有疑问，请使用问答环节。 具体来说，有疑问请用提问区，单纯想发表意见请用聊天区。但我们确实需要分区管理，因为相信大家想问布莱恩 和斯科特的问题很多。大致就是这些。本次会议将全程录制，视频会于今日或明日发送至各位邮箱。布莱恩，接下来就交给你了。我们准备就绪。

Brian: Great. Cheers, Amanda. Thanks, Melissa. So, yeah, a really important topic today. How we get the right KPIs and KISS and it’s something, you know, strangely enough, I’m quite passionate about and something that I spend a lot of time advising, you know, boards and executive teams because not a lot of us get it right, myself included. Um, you know, it’s a it’s a hard area to to mature, to get the right KPIs and messagings from your security program up to the board, but it is critical to get correct so that we get that right engagement. So, you know, today I’m going to give you my views and I’m hopefully going to leave plenty of time after Scott’s done his section at the end where we can, you know, get into some of your questions and answers and hopefully I can give you the benefit of some of my experience. So, uh, please, as as Amanda said, use the the Q&A aspect so that we can get those questions flowing in. I think, you know, one really interesting dynamic that I observe and I’m asked to speak at a lot at the moment is you know if you look at all the security conferences around the world so whether you’ve got RSA or infosc over in in Europe there’s specific streams that are pulling uh some fairly big CISOs and leadership teams in security organizations into into focus groups and the topic it might have a different title but it’s focusing on how does the CISO communicate with the board uh and the word chasm is is often used because there’s a gap there’s a there’s a misunderstanding or a miscommunication or the CESU isn’t getting through to the board with the right level of information. So, the board are ultimately disengaging. I just find it’s really interesting that, you know, these discussion groups are happening. If they’re happening, it’s it says there’s a problem because obviously the industry’s kind of picked up on that and how do we resolve that and how do we take it forward? And a lot of that comes down to to the KPIs, how we present, you know, the effectiveness or uneffectiveness of our security programs up to our senior management for intervention for support for backing all of those aspects. So it’s a really key important aspect that we get right. So I think you know it’s not just large enterprises facing this problem. So not all of you on the call will you know have a an expansive global board and leadership teams around the world etc. But it still is important because all of us are on a security journey. No one in security is ever finished. It’s the job for life. You never actually get to tick that box at the end and say well security is done. We can move on. There’s, you know, constant challenges that arise. So, it’s relevant for all of us understanding, you know, how do we capture where we are on that maturity journey and and reach out for that help and support from from upper management. I think the one thing I see and I’ll try and highlight it later on is when security leaders are communicating upwards in the chain around third party risk but but equally more holistic around the security program, they forget the language of the board which is risk and finance. And all too often we’re talking, you know, what a board member would call technical mumbo jumbo, right? They’re they’re very clever people. Uh they certainly shouldn’t be put down because they don’t understand the nuances of security technology. Uh they wouldn’t be on the board if they if they couldn’t add value, but it’s up for us to translate our security technical lingo, if you like, into the language of the board, which is purely centered around risk and finance. So, we can’t go in there with raw security events, firewall logs, and all of those aspects. they’re rapidly lost when they’re not you’re not talking to a technical audience. So, we need to recognize that and you know I’ve coined the phrase meaningful metrics uh because they have to be meaningful to the recipient. They have to understand what you’re trying to tell them. They almost have to jump off the page in terms of clarity and conciseness and you know a lot I see aren’t there and hopefully we can have a good conversation today about how we mature from where everyone is today and and how we kind of get to where we need to be at the end goal. Sorry. So, you know, third party risk management, I’ve run security for numerous organizations, some very big and and some not so big. Uh, so I’ve got a, you know, very good exposure to third party risk. I’ve always managed it when I’ve been a CISA. Um, and certainly if you listen to, you know, the government organizations around the world, so whether it’s NSA in in the US or the NCSC in the UK and the various other bodies around the planet, Everyone is sending out the advice and guidance that it’s not sufficient just to secure your organization. We all have a distributed risk in terms of managing the risk that presents itself from our supply chain. We will all have different levels of suppliers from people that supply ingredients into the kitchens for our staff all the way through to people and organizations that manage our data centers when we outsource them uh to them. So there’s a different complexity in that risk model and in that picture. But we need to get better at, you know, understanding what that risk is and how can that mis risk materialize because we need to know that because we need to mitigate it and if we don’t know about it then it’s really hard for us to actually mitigate it going forward. But many organizations uh and thankfully this is starting to change but certainly when I started in security uh probably 20 25 years ago uh platforms like prevalent weren’t around so we had to do our third party risk on on Excel spreadsheets and similar database processes. But now platforms like Prevalent are around, we really shouldn’t be using Microsoft Excel. And and I apologize in advance if you are a Microsoft Excel user because I’m going to give it a bit of a bashing today because u you know Excel has its its place within an organization, but it it it’s not on managing third party risk and and I’ll get on to that in a few slides. We need to get, you know, our interaction with our customers and suppliers in near real time as possible. uh an Excel won’t allow you to do that. Um we can’t be in a world where we’re gauging risk in a in an annual cycle where we’re sending out questionnaires. Uh uh third party suppliers are filling in those questionnaires. They come back into our analyst teams who are massively overstretched. Uh and then obviously they have to diagnose those results and try and produce a risk position. But as soon as that’s done, it’s out of date. As soon as you get that, you know, questionnaire back, it’s it’s practically useless because we all think about our own organizations, how much management changes, how much strategy changes, how we release new products and services, new policies and procedures that are released internally. That’s exactly the same in in the supplier world. And if you’re just capturing that and analyzing that annually, then you know thousands of changes are going to happen and occur between those cycles and you’re just not going to know about it. So you might think that a supplier is pretty unrisky, but actually they’ve, you know, launched on a new venture or a new product But that actually really increases their risk profile. So it’s about focusing on getting that risk trigger about focusing on getting that information from your suppliers as near real time as as possible. And I think you know moving away from the Excel way of the world into platforms like Prevenant is hopefully why you’re all on the call today to understand how you can achieve that if you’re not already on that journey.

Brian: Sorry, wrong way. So three of the common challenges that you know, I think organizations face and hopefully some of you might resonate with this and again feel free to put any questions in the chat and we’ll get into that later on. But I’ve coined this really the the art quadrant. Uh what I see are challenges in third party risk management around the approach, the tooling that’s being used and the resource that’s within the team. So let’s I’m going to run through these and and they all have a slide each but you know that art quadrant if you if you don’t have the right strategy in place, if you haven’t adopted the right tooling and you’re not optimizing your resource and I use optimizing you know why ask for more people when when ultimately you haven’t optimized your tooling. So if you have those three things then it’s almost the perfect storm and you’re going to have a challenge around doing third party risk management correctly uh or being able to advise the business in the right way. So if you if you’re in the art quadrant your priority today is is how do I get out of that and and hopefully we can help give you some answers to that as well. So if we look at the approach, you know, the third party risk management needs to have a strategic approach and and what I mean by that is it has to be designed to assess, evaluate, capture and ultimately treat risk. It can’t be just to run an annual cycle that sends an auditor out to a tier one supplier and sends a questionnaire out to a tier three. The results are assessed. You know, just because you’re running that cycle doesn’t mean to say you’re doing third party risk management. The who is in the M. You’re managing that risk. You’re effectively capturing it. You’re understanding the potential impact on your parent organization. You’re advising the business about that risk. You’re putting in treatment plans. You’re having the dialogue with with the supplier and you’re mitigating or accepting those risks, but you have that informed position. That is, you know, the risk management aspect of of the third party program. It absolutely, you know, needs alignment with the the broader business. But it shouldn’t be driven by the business and and what I mean by that is you are the expertise in this space. You are the expertise in in risk. You are the expertise in security. So it needs to be you know the accountable person whether you’re in procurement or whether you’re in the security function. It doesn’t make much difference. But whoever’s owning and running this process needs to have that pure direction around we’re here to tackle risk. If the business is you know trying to dictate how it happens and you know which which supply buyers get which attention. They need to have that security background. They need to have that risk background to actually understand what the potential impacts on that will be. So you can’t just be purely driven by the business because it won’t lower your risk profile. So let’s look at resources. So when I look around organizations, I think that the third party risk uh uh risk management teams are, you know, often heavily underresourced. But then I start to ask the question, you know, Have you optimized the the resource? If you’re trying to run, you know, three and a half, four and a half thousand suppliers around the globe in 60 70 countries using an Excel-based process, that’s never going to work. It doesn’t matter how many people you throw at it. It doesn’t matter if you spin up a captive in India and put 100 people on it and things like that. It’s just not going to work. Um, so rather than just thinking we haven’t got enough people, we need more people. You need to step back from the problem and say this process isn’t working. Are in the our quadrant. So rather than just looking at resource, what can we do around the technology, what can we do around the process and how do we actually optimize the resource that is needed to run an effective third party risk management program. So I personally have ran um obviously I’m on this presentation because I’ve used preent extensively in my past but I’ve personally ran you know global multinational organizations with four and a half thousand suppliers with a team of six people. U so it absolutely can be achieved if you’ve optimized the process, the technology and you know the data flows that are coming in and out of the team. But you know it is focusing down on how do you support those people bestly you know you need the right resource they need right skill uh they need to be focused in you know tiering the the the companies that are within there effectively so they know who to spend the most time with um and equally they need to know the the global ramifications of those suppliers and I’ll get on to that a little bit later on so Optimization is the key thing about resource. Don’t just throw people at the problem. It’s it’s not going to fix it. And then if we look at the the sorry you keep going the wrong way. And if you look at the uh the tooling aspect so so we talked earlier on around innovation in this space and there’s a lot of innovation in this space because you know governments and organizations are recognizing that they can’t just secure the mothership. They have to effectively secure everything that is interconnected with that mothership. And you know We’ve talked around different suppliers, different criticalities to the organizations. Some might have, you know, physical connectivity into your networks. Some might have staff members on their sites that have virtual logical access into your networks. And we need to understand what that looks like. And that’s a very complex picture. You know, building all of those nuances together and then actually understanding the the global aspect of that. So, for example, if you are working for a large organization, you might have a supplier in one country that is fairly insignificant but actually in another one of your countries they’re major. So you have to actually understand the global ramifications of of your suppliers as well. So we need to we need to mature we need to move up that maturity scale recognizing that if we are looking at what you do today and you would view it as a manual process in terms of manually sending out questionnaires relying on individual analysts to actually interpret those results and you know they’re very skilled people and I’m not doing them a disservice. But the challenge is if you give a questionnaire to analyst A and give a questionnaire to analyst B, you’re going to get two answers coming back. Um, so use the analysts to actually interpret the results that the modern tools are giving you. That’s where, you know, the best use of their skill is. It’s like if we look at a security operation center, we wouldn’t put our level one, two, and three sock analysts on looking at the raw data flowing into the sock. We rely on the scene technology to do the analysis. and we present them with the issues that we think need investigation and that’s the innovation that’s happened in this space. Let the tools like prevalent absorb all the information analyze where the key risks are that you can set the parameters on and then give that information to the analyst. That’s where they can have maximum traction and you know use their skill set to to best effect.

布莱恩：那么我们来谈谈关键绩效指标（KPI）和关键结果指标（KRI）。我想先明确基准——当我提及KPI和KRI时，最终指的就是这些。我们用KPI来衡量绩效，关键就在于名称本身，对吧？ 关键绩效指标。某项措施是否按设计运行？设计是否有效？设计方式是否正确？运营是否高效？我们是否以正确方式运作并获取了正确数据流？这些都是KPI关注的核心。而KRI则截然不同——它关注我们承受了多少风险？包括总风险和净风险。 我们设定风险基准线，实施风险管控措施后，自然得出净风险值。这就是基准线，也是我们后续讨论的核心。这些才是有意义的指标。这张客户提供的Excel仪表盘就是实例——虽然是几年前的产物，但类似设计至今仍随处可见。 如你所见，这是提交给董事会成员的材料。其中既无数据分析，也无支持性文件，仅仅是一张Excel表格：左侧列出约40家供应商，顶部罗列信息安全控制措施，下方则显示供应商在各项安全控制中的表现。 可见表格中存在两种黄色、两种绿色和两种红色标记。我敢说，任何人看到这种矩阵都难以准确识别关键风险领域。若观察信息安全控制措施（约占表格四分之三区域），会发现不少供应商被评为红色等级。 根据经验，我认为这可能与物理安全相关——毕竟并非所有小型供应商都配备监控摄像头和围栏等贵方安全控制措施中的设施。但无论如何，这种评估体系既复杂又繁琐，且存在静态性，毕竟评估仅每年进行一次。

布莱恩：然后还要和供应商沟通，比如"你们没通过这个控制点，能否落实整改措施"，但情况往往持续数月毫无进展。当你把月度报告提交给董事会时，董事们会质疑："这根本没变化啊。你们今天来汇报这些12个月都不会改变的内容，有什么价值？" 上个月我们已经看过了。而且你无法深入探究具体问题。每个方框背后的问题或挑战都依赖于汇报者亲自了解，因为当董事会成员聚焦某个供应商和控制项，询问具体情况时，你必须能滔滔不绝地阐述——而不是实际点击查看可视化数据。但显然其实不必如此。像Prevant这类工具——右侧的仪表盘——完全可以替代传统方式。我曾用它进行董事会沟通：不再依赖PPT，而是通过实时网站展示动态数据，现场演示仪表盘并深入分析："看，这是我们当前在供应链中管控的风险点。 这些是我们需要重点关注和支持的领域，这些是我们面临的挑战。让我们快速讨论应对方案。深入挖掘数据集，让所有人掌握信息，达成共识，继续前进。" 由此可见我为何对微软Excel略有微词。若各位仍在使用此工具，我在此致歉——诚如所言，我过去也曾不得不使用它。但当将Prevant这类平台引入组织时，它确实能带来颠覆性变革。它真正赋能安全领导者提升效能，而这正是诸位最终追求的目标。 那么在我看来哪些指标属于最佳实践？请注意这仅是个人观点，欢迎提出质疑——我向来乐于深入探讨。究竟该衡量哪些指标？我将其归纳为四大维度：风险管理方面，我们已覆盖得相当全面。

布莱恩：我认为很明显，我们需要从风险角度评估供应链。威胁情报分析的另一优势在于：威胁无法通过Excel表格来评估。当你能可视化供应商面临的潜在威胁，获取威胁情报（即我们所说的OINT数据）在供应商足迹中的流动轨迹时，你就能更深入地了解他们，并据此提出改进要求。 例如当供应商提供的数据与其威胁情报不符时——假设他们声称每周修补边界漏洞，而你却发现其边界漏洞已存在两个月——这便能促成基于事实的对话。 同样地，威胁不一定只限于网络领域，风险也不一定只关乎网络安全。安全体系远比这更全面。我们将涵盖业务连续性、灾难恢复等所有环节，将其整合到统一的仪表盘中，让你能清晰预见：若该供应商消失，业务将面临何种后果。 想想那些被迫将俄罗斯排除在整个业务体系之外的全球企业。想想那些正密切关注中国动向的企业——无论是军事层面与中国台湾的关系，还是设想中国若消失后，当我们无法再将其纳入供应商体系、供应链体系、开发体系乃至代码创建体系时会发生什么。 当使用此类工具时，对供应链进行上述情境模拟将变得轻而易举。合规性管理同样事半功倍。我将深入剖析这些方面——别担心，我只是略过标题部分。

布莱恩：合规工作因此变得简单得多，因为你知道，与其实际审计供应商是否符合各种合规要求——无论是PCI、萨班斯法案、奥克斯利法案还是加州法案，诸如此类——你只需通过勾选框编码这些要求，声明该供应商在与我们组织相关的合规范围内，然后依据这些标准进行评估。 这在获取合规证明方面极具价值——你可以向订单审计员展示这些证明，说明我们已完成评估，并呈现我们对供应商合规性的看法，同时展示其他公司对该供应商合规性的评估结果，这同样非常实用。 再谈覆盖面问题——我经常看到这样的情况：企业虽运行第三方风险管理项目，却未能实现全面覆盖。他们并不了解所有供应商，而云计算在此处反而造成困扰——毕竟只需信用卡就能快速启动服务。影子IT也是个问题，即业务部门绕过常规CIO和CTO流程，自行与新供应商搭建技术环境。但我们的职责正是突破这些限制，全面捕捉这些情况，确保获得良好的整体视图，从而评估所有供应商组合。 这确实是个挑战。坦白说，我自己多次尝试过，这是最大的难题。那么我们来看看，从风险角度出发，有哪些关键绩效指标（KPI）值得关注？同样地，关键结果指标（KRIS）也需要考量。我们讨论过覆盖率，但我认为这是最重要的指标。

布莱恩：没人愿意被突如其来的问题打个措手不及——比如某个你从未听闻的供应商突然出事，导致业务受损，还上了CNN之类的新闻（具体取决于你所在地区）。而你对此一无所知，你既未进行评估，又让业务受损。因此获取全面覆盖至关重要，实现方式是掌控采购流程——必须确保任何采购环节都必须经过你的尽职调查方能完成。第三点是：当资金从A方（即你）流向供应商时，若供应商尚未完成入职评估， 那么问题就来了，或者说可能出问题。你当然不想制造恐惧、不确定性和怀疑，但在设计成功流程时，这点必须做到百分百落实。 您必须尽早介入流程以完成评估。但我要再次强调：使用Prevalent这类工具的优势在于——当业务部门向您提出"首席信息安全官，我们需要您接纳这家关键新供应商"时， 我们正筹备新产品发布等事宜，需要快速掌握其情况。若仍沿用Excel和问卷调查的传统方式，这根本无法实现。因为通过谷歌搜索只能获取已知信息，对吧？所以你根本不了解这个供应商，对他们一无所知。

布莱恩：当你使用Prevant平台时，全球其他用户很可能也曾使用过该供应商，并活跃在Prevant平台上。同样地，Prevant会主动联系供应商，邀请他们加入平台填写问卷。新供应商自然能获取这些信息——你你将受益于集体风险管理机制，能获取其他机构向该供应商提出的问题信息。这意味着你不必面对空白的Excel表格，平台上已包含你原本要询问的90%-95%的问题，让你能快速启动并推进工作。 但从关键绩效指标角度看，这些只是我列举的少数指标。真正需要衡量且会严重损害安全声誉的核心问题在于：当你成为阻碍者。你可能听过类似说法——采购部门常抱怨"安全团队拖慢进度"或"拒绝配合流程"。因此务必追踪安全流程的平均处理时长，并关注采购部门反馈：他们是否因流程过慢而拒绝合作？ 采购部门抱怨流程太慢，不愿与我们合作。因此务必追踪安全流程的平均处理时长，持续优化环节效率——这正是我们当前重点推进的工作。至于关键风险指标（KRIS），我始终关注滞后指标与领先指标：滞后指标反映历史事件，领先指标则预判未来趋势。我们既要持续监控供应链中的安全事件，也要前瞻性地关注需要持续关注的领域。指已发生的事态，而领先指标则是前瞻性评估——我们需要持续关注并聚焦哪些领域？因此必须时刻关注供应链中的安全事件，识别引发问题与挑战的环节。这些问题未必是网络攻击，比如运河航道受阻 假设你安排的货物正通过某艘船运输，却因运河堵塞无法通行——这便是供应链问题。它不属于网络安全范畴，但确实是供应链问题。关键在于：能否降低这种风险？能否在事件发生前预先规划应对方案？

布莱恩：还有就是供应商数量这类问题——即便成功入驻后，某些供应商仍持续存在高风险。比如你可能已完成入驻流程，但他们仍因地缘政治因素或所生产的产品而构成高风险。这可能损害企业声誉或影响供应链，但你仍不得不与他们合作。 别无选择，或是企业已确定合作对象。因此需对其实施严密监控，将其归入一级供应商并持续推进管理。这本质上是聚焦风险透镜——你的风险透镜应如放大镜般精准剖析风险本质，继而审视威胁。威胁评估至关重要。 若当前第三方风险管理计划未涵盖威胁分析，务必立即纳入。虽然平台本身具备此功能，但若尚未实施，必须立即启动。这涉及评估可获取威胁情报的供应商数量。 主流平台中的多数供应商已预置威胁情报。但这最终取决于你的合规计划及实际可获取的情报——毕竟风险是可能发生的事件，而威胁则是即将或已发生的征兆。 威胁则是已发生或即将发生的事件，你正获得其发生的早期预警。因此将威胁情报导入组织体系极具价值。需从合规视角和分层视角双重剖析这些情报。 若一级供应商存在高度威胁（即短期内可能发生事件），则需预判问题性质并制定缓解方案。换言之，若将风险比作放大镜，威胁情报便是显微镜——二者互为补充。

布莱恩：它能让你近乎实时地掌握实际发生的情况，而且确实可能对业务产生相当大的影响，对吧？ 再看合规性，合规要求只会日益严苛。全球监管机构正着手统一合规标准——毕竟跨国企业运营涉及全球各地差异化的合规体系，复杂性不言而喻。目前已有约63项全球性数据合规法规，例如欧洲的GDPR、美国的《加州隐私法》、加拿大的本土法规、南非的专属法规等等。尚未出台法规的地区也在积极制定中。全球约有63项与数据相关的法规要求：欧洲有GDPR，美国有加州法案，加拿大有本土法规，南非有其体系等等。尚未制定法规的地区也在积极制定中，但我们已开始看到这些法规的共通性。合规要求不会消失，尤其在受监管行业。 其存在根源在于监管机构观察到行业内行为未达预期标准，因此通过法规强制推行：必须按此标准执行，必须遵循此路径推进。未来监管将愈发具体化。过去合规确实是巨大挑战——在人工操作时代，要将合规视角贯穿整个供应链极其困难。企业不仅要对照自身安全政策评估供应商，还必须同时满足各类合规制度的要求。但坦白说，如今企业不仅要评估供应商是否符合自身安全政策，还必须同时满足各类合规制度的要求。 不仅要依据自身安全政策评估供应商，还需同时满足各类合规制度要求。但如今这已能通过点击按钮完成——当然我不愿过度简化，毕竟平台架构需精心设计，必须明确合规范围边界。 但就执行速度和实际推进效率而言，这绝对是颠覆性的变革。合规工作变得轻而易举，覆盖率问题也迎刃而解。这点至关重要，我们必须确保全面覆盖——我再怎么强调都不为过。

布莱恩：我见过大型企业将第三方风险管理按国家划分时，这确实成了大问题。他们根本没意识到供应商对企业可能产生的重大影响。同样地，他们也被供应商分而治之了。 供应商不会主动告知你，他们正以不同价格和合同条款，向跨国集团在各国的分支机构供货。因此采购部门必须依托第三方风险管理计划，主动掌握全局，预判此类行为未来可能引发的连锁影响。 同时必须确保在流程完成前，A公司与B公司之间不存在资金流动。 同时必须追踪"时间到董事会"指标，确保明确自身是否成为阻碍——可能是流程未优化、工具不完善，导致供应商难以通过审核。若存在此类问题，需主动识别并解决挑战，并确保围绕关键结果指标（KRIS）聚焦于一级、二级等核心供应商——即真正需要投入时间的对象。需深入理解这些供应商在组织内的覆盖范围，并为不同受众提供差异化视角。这点至关重要，而Prevalent这类工具恰能实现此目标。回想我担任某组织首席执行官时，虽不认为自己过度控制，但确实需要比向董事会展示的更详尽信息——我需要能深入挖掘的技术细节视角，以便精准分配资源。虽然自认并非控制狂，但总希望获取比董事会展示更详尽的信息。我需要能深入技术细节的视角——这些细节可分配给技术团队进行深度解析。作为安全负责人，我需要看到不同的视角，而你也同样需要这样的视角。

布莱恩：然后就能模拟各种情境假设。如果我们这么做会怎样？如果不那样做又会怎样？如果别人做了而我们没做呢？能够进行场景建模，同时深入威胁情报分析，理解若供应商遭遇这种情况该如何应对。我们的备用方案是什么？ 我们是否有备选供应商B？当前最典型的例子就是硅芯片领域。全球硅芯片严重短缺，那些原本只依赖供应商A、未建立备用渠道的企业，在遇到问题时才急于转向供应商B采购，结果错失良机——因为早有准备的企业早已从供应商B处获得芯片，导致这些企业同样陷入困境。 这确实需要全面思考——不仅限于网络安全视角。我始终强调网络安全至关重要，这源于我的经验和背景，但我们讨论的是供应链风险，其范围远超网络与信息安全。因此CISO需要视角，业务部门同样需要视角。 虽然存在争议，但个人认为CISO不应承担任何补救风险。 业务负责人——或者说企业应设立业务负责人——才应承担管理内部合作伙伴的职责。外部第三方供应商建立的业务关系对象是企业内部的业务单元或部门，未来管理该组织及供应商的责任也应由其承担。 你的职责是提供决策所需信息。允许他们自主优先级排序，深入处理具体问题——例如"该供应商存在隐患"或"引入新供应商面临挑战"。我们更倾向于采用特定方案，但你只需呈现信息与事实，赋能业务部门推动后续解决方案的落地执行。

布莱恩：同样地，比起我之前展示的复杂电子表格，像Prevalent这样的工具能让你直接将风险分配给不同用户。这样风险责任就不在你身上，而是由他们承担，但你仍能持续追踪后续整改进展。若出现任何问题或挑战，系统也会自动触发警示。从这个角度看，它的功能确实非常强大。此外还有董事会。 我在此处将董事会与高管团队视为同义概念，他们需要的是高层次概览——整体风险图景的概览。请用电梯演讲的简洁方式呈现三万英尺高度的概览，但同时要确保能进行深度钻取。 当你告知存在问题时，我需要能直接查阅数据——要知道，在许多领域，他们个人需对有效风险管理承担责任。若向董事会汇报问题或潜在挑战，你必须提供信息，但他们不可能逐页翻阅海量数据，需要你将信息完整呈现。 分析工作必须代为完成。你真正需要做的就是明确指出：我认为存在问题，需要各位支持。若能运用董事会通用的风险与财务术语，自然能抓住董事们的关注点，争取他们支持——这点至关重要。 那么为何我主张在此领域采用有意义的指标和KPI？在将话筒交给斯科特前，容我总结他的观点——我注意到许多问题涌现。这个流程的存在自有其道理，我们必须牢记：我见过太多人走完流程却未能降低风险。流程在运转，风险却未消减。 因此我们必须明确：流程的核心价值在于降低风险，并实现风险的有效管控。当然，合理接受风险也完全可行——我目睹过无数组织在日常运营中主动承担风险。

布莱恩：你知道嘛，我能举出很多例子。比如我曾供职于一家大型机构，他们重金投入了打印机设备。这些打印机体积堪比仓库，但为了替换基于Windows XP SP2的管理控制台——众所周知该系统存在诸多漏洞—— 最终别无选择，只能斥资1000万购买新设备——尽管原有打印机运行完好。第三方风险管理程序可能要求"必须更换打印机"，而业务部门会回应："我才不会花1000万买新设备，另寻他法。"因此我们不会全盘接受风险，而是制定风险管控方案。 我们将通过安全防护层来降低风险。但关键在于我们已揭露问题本质，经过充分沟通后，现已明确风险并将其转化为可控可理解的状态。这正是我们未来需要推进的流程。风险向业务部门的汇报方式同样至关重要。 我看到许多业务相关方因看不到价值而疏远这个过程。因此要与业务相关方——即企业内部各领域的领导者——保持密切沟通，真正理解：这个过程是否创造了价值？是否满足了需求？因为我的目标是降低风险，需要与你们协作才能有效实现。那么，我们是否达到了预期？ 你们是否获得所需？还有哪些需求？必须灵活适应这些要求并切实采纳。切勿蜷缩在安防象牙塔里——打破隔阂，与业务部门深度协作，确保提供优质服务。否则他们将另寻信息渠道，而作为安防负责人，这绝非你所愿。

布莱恩：回想一下，比如你看到我那个Excel表格的例子，要是觉得"嘿，这不就是我现在干的活儿吗？"——要知道我根本没给业务部门提供清晰的分析，他们得替我做完分析才能用我的数据做决策。所以我们得搞清楚怎么改变现状，得学会如何采用新方法，否则从人力资源角度看，这可能正在耗尽安全团队有限的精力。因此要明确行动方向：让第三方风险管理计划摆脱电子表格和数据库的束缚，转向创新平台——我们在这个领域做了大量创新，因为我们认识到这是个问题，也意识到其中的挑战。 威胁情报无法通过Excel表格处理，其本质决定了它无法实现实时更新。我们需要采用社区驱动的风险管理方法，从而获取问卷调查、威胁情报以及该供应商数千家其他客户的应对策略。我们能够获取所有这些信息。 我们并非仅依赖自身数据集。这种平台能汇聚集体智慧，蕴含巨大能量。请务必牢记——我常告诫安全团队：你们无需对整个流程负责，而需与更广泛的业务部门协作。我曾为Prevalent主持过许多网络研讨会，建议你们关注其中一期关于如何与采购团队建立有效协作的主题——我们的目标完全一致，但需要向业务部门传递清晰的沟通信息，需要有意义的指标来向利益相关者说明现状。 整合所有数据并赋予其背景意义确实充满挑战，但像Prevalent这样的工具将提供实质性帮助。现在我将把话筒交给Scott，他将简要介绍Prevalent平台，随后进入问答环节。Scott，请开始吧。

斯科特：非常感谢，布莱恩。我深表赞同。嗯，你知道，布莱恩今天谈到的所有内容，归根结底都是关于完善你现有的方法论——即如何理解、组织和传达最重要的指标，然后向上级汇报，或者说在组织架构中逐级传递。 这正是我们设计解决方案的核心理念——助您从起点A抵达终点Z（或B点，或其他任何目标节点）。 我们的解决方案提供三种实施路径：首先，通过调用我们全球情报网络库中已完成的风险评估报告，助您快速掌握关键风险指标。 这些评估基于行业标准类型，可协助您下载消化信息，将其加载至本地实例。您将立即获得完整的风险登记册，并能将供应商风险映射至您关注的行业框架或安全框架，从而实现风险优先级排序与量化。这包括固有风险——即供应商在未实施任何控制措施（即贵方特定控制措施）时，为组织带来的风险。 即供应商在未实施任何控制措施（贵方特定控制措施）时，为组织带来的风险。我们能根据风险发生的可能性与概率，将这些风险量化为热力图。第二项风险管控机制是提供专业代测服务。 我们设有三个风险运营中心，分别位于美国、加拿大和英国，由专业风险运营团队协助您设计合适的评估方案——从供应商处收集关键信息，进行分析并以可视化形式呈现，使您能轻松向组织汇报高风险供应商名单及需加强管控的领域——涵盖从供应商入驻到退出全生命周期。若您希望自主使用解决方案，同样可以实现。 第三方风险管理平台作为我们的核心解决方案，能协助您完成供应商入驻、风险识别、基于固有风险评估后创建精准的风险收集内容，进而通过平台内置建议实现风险的系统化整理、分析与整改。 所有这些功能都贯穿着一条主线——持续监控供应商的网络安全、业务及财务风险。毕竟每年仅进行一次风险收集毫无意义，因为风险评估刚完成就可能发生新状况。正因如此，我们在风险收集与分析之外，特别融入了实时持续监控机制。下一页，布莱恩。

斯科特：嗯，正如我之前提到的，我们的目标是帮助您从起点A到达任意终点，为此我们采用非常规范化的方法。无论是从零开始——比如您连供应商都未集中管理，更不清楚该报告哪些指标—— 我们能通过程序化方式协助你对接供应商并进行风险评分，从而明确针对不同供应商的风险管理优先级。接下来要说的是——呼应布莱恩几分钟前的观点——我并非刻意贬低Excel（毕竟我们都离不开它），但若你准备好挣脱电子表格的牢笼， 我们能通过平台自动化处理：生成标准内容、向供应商发送材料、在平台自动分析反馈，彻底摆脱表格切换的困扰。我们提到用持续网络监控验证评估结果，而情报分析是流程的下一步——通过保持数据实时更新、精准相关，助您做出更明智的决策。 当您展示关键风险信息或关键绩效指标时，可确保数据实时更新。平台内置的修复指导与最佳实践方案能助您即时解决问题，并通过持续主动的风险评估机制，随着项目成熟度提升，逐步实现从被动响应向主动防控的转变。 若能采取正确方法实现这一目标，您的可视性将提升，效率也将提高。布莱恩，请切换到下一张幻灯片。

斯科特：嗯，我们的独特之处在于信息收集方式及多元化的数据来源。这个星爆图示——如果可以这么称呼的话——仅仅展示了我们用于系统数据整合的部分来源，这些数据能帮助您识别最大风险点，并量化传达风险状况。 从供应商社群、众包渠道、我们授权获取的私有数据源，到系统内实时更新的监管监测信息，再到行业合作伙伴关系、与您现有系统的集成、我们实验室完成的评估报告，以及公共来源如OSENT数据——所有这些信息都被纳入体系。 所有这些信息都旨在为您的评估报告增添背景、深度与清晰度，确保在您进行汇报、制定KISS和KPI时，不仅拥有数据本身，更能洞悉数据背后的关联逻辑。这正是我们的核心理念。现在请您继续。

布莱恩：谢谢你，斯科特。那么，现在进入问答环节。我想把话筒交给梅丽莎和 阿曼达，请大家把你们的问题发过来——不过我记得接下来先有个投票环节对吧？

梅丽莎：是的，我们刚刚启动了第二轮也是最后一轮投票。我们只是好奇——如果各位计划在一年内建立或完善第三方风险管理计划，请如实回答。因为我们会进行后续跟进。正如我之前所说，跟进人员包括我、阿曼达、诺尔和兰登。所以，总会有我们其中一人联系您。 我们绝对会做好尽职调查。不过现在先来处理一些问答环节吧，问题堆积如山。这个问题可能适合斯科特回答，但由你们决定。首问：主流平台是否掌握微软等大型企业的情报？

斯科特：当然有。我们针对微软这类大型企业有两个互补的情报来源。第一是已完成的评估报告——比如标准的信息收集评估，可能是SOCK 2报告。然后我们通过持续监控网络安全、业务、财务、声誉及数据泄露相关信息来补充这些评估。 比如标准的信息收集评估，可能是SOC 2报告。然后我们通过持续监控网络安全、业务运营、财务状况、声誉风险及数据泄露相关信息来补充完善。这样既能完善供应商档案，又能为已完成的评估报告增添新内容。所以，是的，我们确实有。

梅丽莎：明白了。好的。下一个问题。嗯，根据您的经验，从第三方风险管理的角度出发，如何最有效地计算并传达整体年度风险敞口？

布莱恩：哇。你知道吗，这可是最难办到的事之一，嗯，集体来做的话。我个人一直采用分层管理的方式。就是把供应商划分为一级、二级、三级，有时甚至会延伸到四级。 因为如果把四级和一级供应商混在一起评估，就会模糊重点。所以必须聚焦于那些对你、对客户或对业务成功至关重要的供应商。 这些供应商可能代工生产产品。评估项目成效时，关键在于：你从何处着手？在降低供应商风险方面设定了哪些目标？以及年度结束时取得了哪些成果。但要知道这是个迭代过程。因此我不建议每年只沟通一次。 我建议每月持续沟通，因为根据经验，高管团队愿意支持安全和采购部门应对这些挑战——比如"我们合作的供应商可能存在某项合规问题"等情况，需要持续推动改进。 所以若坚持年度汇报，务必采用分层推进策略，至少将年度目标拆解为12个月周期。这样人们就不会在年底措手不及，反而能认同你的观点——毕竟他们全年都参与了讨论进程。对吧？

梅丽莎：完美。谢谢。好的。下一个问题。供应商威胁情报是像自动推送那样实现自动化，还是Prevalent只是提供字段让组织自行对供应商进行操作系统情报分析？这个问题可能适合斯科特回答。

斯科特：是的。嗯，我们提供自有的原生持续监控信息流，对吧？所以我们整合了网络情报信息流。我们也构建了自己的网络情报信息流来收集信息并导入平台。 此外我们还整合外部来源的商业声誉信息，以及金融类信息。因此数据源包含自主构建的信息流与外部采集的信息流。同时我们提供开放API和连接器市场，支持用户将主流平台与现有任何系统建立连接。

梅丽莎：太好了。谢谢你，斯科特。

梅丽莎：好的，我们开始吧。供应商入驻流程在许多组织中往往是个谜，其输入和输出结果取决于流程负责人。确保供应商入驻流程稳健的最佳实践有哪些？

布莱恩：是的。所以，我认为这仍是一种分层方法。我常举个例子：比如为厨房供应食材的人，或是管理数据中心的人，他们的入职流程就会略有不同。我认为所有需要问厨房供应商的问题，数据中心供应商也会被问到，但他们需要回答的问题会多得多。 我认为真正复杂的情况是采用统一入职流程处理两类供应商。比如要求厨房食材供应商提供隐私保护措施、监控系统、24小时人工值守、出入口速通门等信息——这些显然不相关。 这些问题必须与供应商的业务相关性挂钩。因此，我再次强调分层管理的重要性。入驻审核的核心在于高层次的供应商认知：其政策流程如何？管理层构成如何？财务状况如何？ 毕竟你可能对他们一无所知，需要快速收集数据。正如我所说，若使用Excel，就如同从空白表格开始，这很难实现。 而使用Prevalent这类工具时，通常能获取供应商的大量关键信息。最佳实践是：入驻流程中不必追问所有细节，只需确认推进合作的核心要素，其余信息可在后续合作中逐步获取。关键在于建立高效的信息获取机制，避免陷入被动局面。

梅丽莎：好的，完美。让我看看。我确实还有一个问题。对于必须严格管理预算的企业，如何才能在选择满足业务需求且符合预算的小型供应商与降低风险之间取得最佳平衡？毕竟风险往往更可能出现在规模更大、成本更高的供应商身上。

布莱恩：没错。这绝对必须实现，对吧？而且我见过小型供应商可能因通过大型跨国公司的第三方风险管理流程而面临破产风险——毕竟他们需要投入大量时间回答所有问题、整理数据等等，这确实是个巨大挑战。过于繁琐的流程反而会扼杀创新，甚至阻碍小型企业与你们合作。 所以我们都该认识到，即便大型跨国企业也渴望与小型创新公司合作——这对他们而言是重要的差异化优势。因此我们需要在方法和流程上保持灵活性，重点不仅在于评估企业对组织的关键性，更要考量其规模和体量。 当你与四人的初创团队合作时，提问方式必须审慎，项目设计也需具备灵活性——因为大型企业具备的许多条件，小型初创或成长型企业未必具备，但这绝不意味着你不能与他们合作。 嗯，你说的完全正确。试图全面评估大型机构带来的风险可能耗费大量内部资源，但这正是SOC 2、SOC 3、SOC 1等报告真正发挥价值之处。 归根结底，你需要的是风险管控的保障机制。无论是通过团队自主评估，还是借助主流情报平台，抑或是利用SOC2报告等数据资源——这些手段都极具价值。所以。

梅丽莎：谢谢。好的，继续往下说。我们正在逐步解决所有这些问题。那么，在计算风险评估时，文化细微差别在多大程度上被纳入考量，以涵盖组织对其运营社区内既定习俗或实践的影响？

布莱恩：还有那些既定的道德观。你觉得这意味着什么？

梅丽莎：我觉得是。嗯。好吧，你可以这么认为。

布莱恩：是的。我认为企业文化是一个非常有趣的观察视角，我们必须始终将其纳入考量。比如反贿赂制度的存在，正是源于某些国家（我们可能在其中开展业务）的文化环境。在那些地方，商业交易达成时递过一封装有现金的信封，曾是相当普遍的现象。 因此我们必须理解自身组织的文化，并明确对供应链行为的期望。要知道，即便在那些不遵循最佳实践的国家运营的企业，当地文化可能默许某些行为，但我们仍受法规约束，必须确保供应链中杜绝此类现象。 因此我们必须采取强硬立场，在反洗钱、反贿赂等治理层面建立完善管控体系。我们既要理解文化差异并保持敏感，同时必须明确企业核心文化——我们期望自身如何行事？如何履行责任？这些要求最终将传递至供应链，并通过有效管控机制进行监测。 我们期望自身如何行事？如何自我约束？这些要求最终将传递至供应链，并通过建立有效管控机制进行评估。正因如此，我强调这不仅关乎网络风险，更涉及风险管理本身——文化差异本身就可能构成风险。保持这种意识至关重要。 好的，现在进入正题。如何为特定第三方供应商的综合评分或评级赋予货币价值？

梅丽莎：抱歉，各位。还有吗？

梅丽莎：这个可能更适合你或斯科特回答。我不确定谁能回答得更清楚些。你来吧。

布莱恩：如何为特定第三方供应商的整体评分赋予货币价值？这始终是个难题。就像评估安全事件的经济影响一样——你得考量所有层面的损失。斯科特，你稍后可以补充，但我认为这很大程度上取决于主观判断，关键在于理解自身业务。 比如我在制造业做了很多工作。他们清楚每天、每小时、每分钟流经工厂的生产数量。如果供应商发生网络安全事件导致工厂停工，他们能轻松量化损失的产品数量，从而计算出对该组织的财务影响。 但业务恢复成本的评估则存在不同维度：是否需要采购新笔记本电脑、新服务器？员工停工期间是否需支付薪资？诸多因素都需要周全考量。我并非主张对所有供应商都进行此类测算，但关键在于——哪些核心供应商需要纳入风险映射？ 我的评估标准始终是：哪些供应商可能引发问题？哪些可能阻碍我们为客户提供物理或逻辑层面的服务？我们能采取哪些措施来降低未来风险？要知道，风险范围总是存在的，因此要努力将其控制在最小范围内。但切记不要设定单一数值，风险范围永远是动态的。

布莱恩： 斯科特，你对这个还有什么要补充的吗？

斯科特： 斯科特去买咖啡了？不。

布莱恩：好的，没问题。

斯科特：抱歉，是我对着静音的电话自言自语。脑子还在度假模式里，我昨天下午才从假期回来。 嗯，说实话，每家公司都各有不同。虽然存在通用框架——比如优先级设定基于可能性和影响程度，以及各公司的评分方法——但实际影响因素差异巨大，标准化程度极低。我确实没什么要补充的，布莱恩刚才说的已经涵盖了。

梅丽莎：太棒了。好的，我还有时间回答最后一个问题。根据您的经验，将收集到的数据以更易于理解的格式呈现，在多大程度上帮助企业谈判保险费用以包含网络安全保障？

布莱恩：是的，这确实很有帮助，因为它能证明你已理解风险并实施了有效管控。要知道网络保险正变得越来越难购买，其价值也在逐渐削弱。 我明白，购买网络保险确实很时髦，也是行业最佳实践，但保单条款里总有免责条款。 因此若未做好基础工作，即便持有网络保险，当理赔时保险公司若指出"你未有效量化并管控供应链风险"，或"未有效实施漏洞管理及补丁更新"，你将无法获得赔偿。 这就像你家遭窃，却因自己留着前后门敞开而被保险公司拒绝理赔。因此前期建立系统化风险视图至关重要——无论是通过经纪人还是直接对接大型保险公司，他们都会要求你必须在投保前充分理解风险。 但若能证明你采取了主动措施，有效管理了该流程，保费就会降低。你知道，你的能力越强，越能证明你在组织中重视安全，未来组织的保费就会降低。所以，这也会对保费产生连锁影响。

梅丽莎：太好了。那么今天的时间差不多就到这里。希望大家喜欢布莱恩带来的这场网络研讨会。嗯，相信我们提供了很多值得思考的内容，很快就会在你们的收件箱里与大家见面。保重。再见。

布莱恩：谢谢大家。