避免供应商网络风险的 "黄昏地带

当风险比虚构更离奇时

虽然这似乎是对战略和行动如何在组织内部获得动力和认可的虚构描述，但我向你保证： 这并非牵强附会。 任何在企业界工作过几年的人都会意识到，绝境往往会促使企业采取孤注一掷的措施，而不去考虑其中的危险。 这包括不对供应商进行尽职调查，或审查他们是否隐藏风险。

问题是，就像电视剧一样，这可能会导致第三幕出现不受欢迎的转折。

他们的产品可能确实能兑现承诺。 但如果涉及到您的数据或用户数据，他们的保障措施是什么？ 例如，如果它是一个与您的网站集成的网络应用程序，它可能会包含一些隐藏标签，（未经您的许可）将数据导出到供应商的合作伙伴和分包商。这些捎带标签可能会导致安全问题、违反隐私法并降低用户体验。

如何克制这种奋不顾身的热情，并确保在对供应商的产品做出不可逆转的承诺之前，对供应商进行适当的评估和审查？ 在作出承诺后，你是否还要承担部署成功与否的责任和持续的运营风险？

扩大尽职调查

要建立任何新的第三方产品或服务关系， 首先必须检查供应商提供的尽职调查文件。这包括财务报表及其保险证书、任何控制审计（SOC 1 或 SOC 2）、业务连续性和恢复计划及测试结果，以及可能的信息安全文件。

你可能想多走一步，评估一下提供产品或服务的负责人的背景，采访一下现有客户，搜索一下负面新闻。对于新近进入市场的公司，虽然现有的一切似乎都很正常--至少，就可见的情况而言--但你真的掌握了全貌吗？您准备好允许访问您最重要的资产，即您的组织和客户的机密数据了吗？您还应该做些什么？

下一步也许是您能采取的最重要的步骤： 对供应商的网络安全态势进行 独立评估，同时评估他们在信息安全实践和隐私政策标准方面是否真正践行了所提供的尽职调查程序中记录的内容。使用供应商风险管理（VRM）解决方案（如我们自己的Mitratech TPRM (Prevalent)）作为 第三方风险管理解决方案，您就可以在与他们签约之前，甚至在以后的合作关系中获得这样的评估。

供应商网络风险评估的多个阶段

就我们自己的 VRM 解决方案（与著名的Black Kite网络安全监控平台集成）而言，对供应商技术态势的评估只是几个评估阶段中的一个。技术态势可以揭示待定或现有关系中许多潜在的未来隐患，如供应商处理资产和环境中的无效更新和保护。它还可以发现 已经存在的已经存在的漏洞。

虽然技术态势需要技术背景才能全面评估，但网络安全监控还有一个更 "易于管理 "的方面。 这就是确定供应商是否符合行业标准要求和公认认证的能力。这是您需要具备的重要辅助能力 。

例如，欧盟法律《 通用数据保护条例》（GDPR）规定了欧盟公民对其个人数据的控制。它是诉讼和对违规者处以巨额罚款的根源，因此是一个需要避免的风险领域。

通过使用上述 VRM 解决方案进行网络安全监控，您可以 获得验证，确认所需的 GDPR 设施在拟议供应商面向公众的网站上运行，从而让您对其是否符合 GDPR 要求充满信心。 您还可以提出改进建议，并将意见纳入评估。

这一程序同样适用于其他认证和监管要求，如 CCPA、共享评估 SIF、ISO 27001、NIST 等。 它们只是十几个行业定义标准（还在不断增加）中的几个。 就 Mitratech TPRM (Prevalent) 而言，我们的常驻供应商评估信息安全调查表基于 NIST 标准，并经过认证，可用于 Normshield 的供应商认证输入。

避开供应商网络风险的外部界限

对不起，我情不自禁。 但是，与其像那部老剧的前奏那样失去控制，您现在可以获得对供应商网络风险的更多控制。 毕竟，知识（和数据）就是力量，而正确的 VRM 解决方案就能为您提供这种力量。

深入了解供应商的网络安全缺陷（以及相应的对您的组织造成的不当风险），可为合同谈判或要求供应商采取纠正措施和进行财务调整提供绝佳的筹码 。 它还能让您根据关系中的数据确定存在的财务风险。 这是非常强大的洞察力，可通过使用 FAIR™ Institute 风险价值(VaR) 框架获得。

在我们开始的假设例子中，能够分析我们潜在供应商的第三方网络安全态势可能是确保其提议的小工具可以接受的绝对最佳方式。能够持续监控第三方的网络安全态势以及贵组织所面临的对等风险，对贵组织来说是非常 重要的。 有了合适的 VRM 提供商和解决方案，您就可以避免不必要的麻烦。 尤其是罗德-塞林（Rod Serling）那种。