若您是企业第三方风险从业者,此刻很可能正坐在机场候机厅阅读这篇博文,等待下一班航班。毕竟,这正是第三方会议、峰会和行业论坛密集举办的季节。与您相似,过去一个月我同样过着行李箱生活的状态——既作为与会者,也作为演讲者奔波于不同会场,倾听与学习。 在所有讨论中,围绕风险评分的核心议题逐渐浮现:人们普遍认为开源报告和仪表盘足以提供精准评估,从而降低企业在数据处理过程中的风险敞口。但且慢……
感知并非现实
是的,我特别强调"感知"这个词,因为风险评估终究只是某个时间点的快照——无论是网络威胁情报还是商业情报皆如此。当今风险评分公司提供的色彩、数字和字母分类确实引人注目,但若使用不当,必将导致虚假的安全感。 对于善用这些信息的组织,我给予高度赞赏。但对于那些孤注一掷、过度依赖评分来履行必要尽职调查的机构,我恳请你们务必谨慎行事。
别误会,开源风险评分是告知组织需要采取行动的措施。例如:
- 协助优先处理第三方尽职调查
- 确定提案或信息请求的选择
- 建立安全实践改进领域
- 可供咨询机构获取的识别信息
在某些成熟的第三方管理程序中,它还能实时提示需要立即进行事件/危机管理的突发状况。但关键在于如何实施评分工具,并根据风险承受能力及项目要求设定阈值。 对于初次使用风险评级工具的用户,采用渐进式方法吸收信息并负责任地应用内容,既能有效控制风险降低路径,更能使您的第三方管理项目脱颖而出。例如,成熟的安全实践正利用开源渠道的评分报告,与第三方建立协作关系——通过提升其安全态势认知,助力第三方强化安全防护。 然而当评分报告被错误解读,最终导致基于误判排除第三方合作时,这种做法令人忧虑。
开源风险评分只是整个拼图中的一块
风险评分具有多维特性。开源风险评分仅是众多指标之一,必须结合以下四项风险识别要素:
- 已完成的安全问卷(可信信息)
- 现场评估报告(验证信息)
- 已接受的风险补救计划(接受信息)
- 实时事件与事故(实时信息)
采用分段评分技术是获取全面第三方安全状况的首选方式。您与第三方建立的关系取决于所有风险识别要素的评分结果。因此请谨记:开源报告虽是持续风险评分的基础组成部分,但切勿忽视那些能全面反映第三方风险状况的风险识别要素。
布伦达·费拉罗是Prevalent公司的高级总监。作为备受追捧的第三方风险管理专家,她曾获得监管机构、信息安全与分析中心(ISACs)及标准化第三方框架组织的认可。她凭借在指标制定、报告编制及流程管理方面的丰富经验,引领企业构建统一解决方案生态系统,从而突破第三方风险治理的复杂性,为该领域带来突破性关注。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
