本周,Prevalent 发布了由分析公司 EMA 制作的信息图表,重点关注供应商威胁管理。
信息图表以一个简单的问题开始 我们需要供应商威胁管理吗?它突出显示了一位高级管理人员在与团队成员交谈时,询问其组织是否准备好承担第三方风险。这位团队成员回答说,他们没有准备好,但 92% 的其他组织也没有准备好。EMA 的研究发现,大多数公司都没有为第三方风险管理做好准备,这一简单的事实表明,鉴于外包、云的使用和托管服务的发展趋势,整体网络风险的准备情况也是如此。
下一个场景发生在董事会会议室,同一位高管询问公司是否对可以访问业务资源的供应商进行监控。这些供应商包括这些供应商包括:IT 公司、会计师事务所、律师事务所、保险公司等。会议室里的团队开始找出有关第三方风险管理状况的关键统计数据,以帮助高管了解目前的状况。其中一些要点包括
- 63% 的外泄事件与第三方 IT 供应商有关。
- 38% 的组织根据风险或对整体业务战略的影响来确定安全投资的优先级。
- 64% 的组织没有进行定期安全审计。
在第三个场景中,高管讨论了其他组织如何受到第三方漏洞的影响,以及这对企业来说是否是必须的。除了在会议室中发现的风险和最近发生的一些违规事件外,这位高管还指出了进行供应商威胁管理的其他原因:
- 遵守 OCC、PCI 和 HIPAA 等法规
- 维护供应商和客户关系
- 维护行业声誉
- 降低财务风险
本信息图表旨在强调大多数企业面临的风险、业务和准备情况。它没有讨论解决方案,但我们知道,在没有技术监控和威胁情报的情况下手动管理不一致、非标准化问卷的老方法永远无法帮助企业获得应对日益增长的威胁所需的可见性和风险管理。
很显然,要帮助各种规模的企业获得降低第三方风险所需的洞察力,就必须采用一种基于威胁情报监控洞察力的模式,并将其与使用共享评估 SIG等标准化内容的自动评估以及持续威胁监控联系起来。Prevalent 是首个专门为第三方威胁管理而构建的统一平台,可为各种规模的企业提供这些功能。
查看信息图表 这里.
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
