上周,我们分享了第三方风险管理专家团队对2020年的首批六项预测:首席运营官兼首席安全官Brad Hibbert、全球产品与交付高级副总裁Alastair Parr,以及第三方风险副总裁Brenda Ferraro。 请务必查阅该文章,了解资金支持的风险、供应商经理角色持续演变、超越合规与即时评估的发展趋势、高级分析技术的崛起,以及安全评级服务工具的商品化进程。
未来还藏着什么?继续阅读第7至12项预测吧!
7. 隐私,隐私,隐私!
2020年将引发对数据隐私的更多关注——尤其在美国,可能出台50余种不同版本的GDPR式法规,形成错综复杂的监管要求拼图,企业及其第三方供应商将面临严峻挑战。GDPR将迎来全面实施的第二年。 《加州消费者隐私法案》将于1月1日生效。此外还有《纽约州隐私保护法案》,而今年早些时候发布的ISO 27001与ISO 27002扩展标准,正是为专门应对隐私相关风险而制定。日益增长的复杂性将推动联邦监管机构和国会起草全国性共识框架,以解决数据隐私与保护问题。 我们预测,美国国家标准与技术研究院(NIST)将重现其在《网络安全框架》中的做法——即整合现有最佳实践创建新标准——并将其应用于数据隐私保护领域。政府更迭或将加速这一进程。
8. 证据共享迈向真正的社区模式
证据共享的概念并非新鲜事物。其核心在于通过整合供应商问卷存档与持续监控机制,使风险从业者能够集中资源解决风险与合规问题。这种"一次收集,多次共享"的理念,使风险管理项目得以简化流程并扩大覆盖范围。 当前,众多网络体系聚焦于由客户发起的证据收集工作,这些客户旨在评估其供应商,并每年进行重新评估。未来24个月内,我们预计共享网络社区将呈现以下活动:
- 证据共享网络所实现的效益,加上组织和社区对这些效益的赞誉,将继续推动成员的加入。
- 垂直化网络的采用将持续扩大,通过基于目标控制的评估以及针对性成员/供应商参与,为各行业提供专业洞察。
- 共享网络将超越共享已完成的评估数据,逐步发展为主动共享供应商绩效、事件、满意度及其他相关洞察,这些信息可惠及其他成员。
- 共享网络将开始提供更多汇总、基准和分析信息,以实现供应商风险流程的自动化和简化。
- 共享网络将致力于从即时评估转向更主动、渐进的共享模式,促进成员之间以及成员与参与供应商之间的持续互动。
9. 供应商转守为攻
企业将逐步开展协作以提升效率、降低成本,这种协作既可能发生在第三方生命周期链条内部,也可能在垂直领域的同行之间展开,旨在打破"我们与他们"的对立思维。第三方风险与治理领域仍将呈现分化态势:部分企业致力于优化其臃肿的供应链体系,另一些则力求实现更成熟的整合与协同。
用于从第三方资产中采集定量数据的工具与能力将持续蓬勃发展,其易用性与自动化程度将成为首要优势。这将促使越来越多的机构通过技术手段主动获取第三方风险信息。对于第三方而言,这将带来日益严峻的操作挑战——他们需要在全年不同平台以多样化的形式呈现相同信息。
供应商每年需应对数十甚至数百项评估。尽管许多组织可能为供应商建立了第三方供应商风险管理计划,但多数企业仍采用临时性人工评估方式。事实上,许多供应商虽参与评估,却缺乏相应工具或可见性来理解这些评估如何帮助他们主动规划内部整改工作,从而强化自身安全与合规态势。
我们看到越来越多的供应商主动要求上传证明材料。他们希望在一个统一平台上传、发布和更新证明文件,以便与所有客户共享。预计未来12-24个月内,供应商门户的普及度和成熟度将持续提升,这将使客户与供应商双方都能简化流程,最终实现项目成本分摊。
10. 细微的定制,大有裨益
在未来一年,第三方风险管理机构将继续推出针对第三方企业的网络化服务,但此类固定评估/档案模式的价值有限,将面临审计师和风险管理人员的质疑。因此,我们将看到机构与供应商转向混合模式,通过预填内容与定制化补充相结合的方式提升效率。
11. 分析数据使用量增加(更多应用程序提供更多数据源意味着更优质的情报)
对于那些因监管要求或周密规划与执行而建立了完善流程、对第三方资产拥有良好可视性的组织,我们将看到其数据剖析能力和报告功能的扩展。成熟的组织将整合多系统数据流与功能,丰富其第三方档案,涵盖威胁监测、评估数据、业务风险数据及法律合规等全方位内容。这将为更广泛的第三方风险全周期团队提供支持,助力其做出更明智的决策。 此外,成熟机构将借助更契合大数据分析的智能报告工具,深入挖掘其已聚合的海量数据,从而获得更深刻的洞察。
12. 从部分已知风险到真实风险
真正的风险并非意味着我们在采用信任与验证方法时未能识别风险或实施适当的风险缓解措施!然而,许多从业者在制定第三方管理政策时,将风险理解的重点放在评估是否满足控制标准上。因此,风险补救的关注点历来集中于缓解未达标的控制标准,这可能导致注意力集中在所谓的部分已知风险上。
例如,当利用威胁情报报告识别开源情报风险因素时,配置情境阈值和介入范围至关重要,这有助于更准确地把握关键风险。当通过问卷调查和权威文件识别风险时,评估过程中需同时关注"是"与"否"两种回答。
真实风险是指评估方法同时关注"是"与"否"两种回答,并对每个"是"的回答识别其风险意识成熟度。毕竟,所有"是"的回答并非同等重要。若仅凭简单的"是"回答就信任控制标准的成熟度状态,在风险意识不充分的情况下采取风险处置措施,将使企业面临风险。2020年,我们将见证风险管理重点的显著转变——从专注于整改"否"的回答,转向识别"是"的回答所体现的真实风险成熟度,并提升韧性领域的成熟度。
立即联系我们,了解更多关于Prevalent如何助您发展和完善第三方风险管理计划的信息。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
