今年,供应商风险管理(VRM)领域快速跻身热门话题之列。好像无论转到哪里,总有提供VRM解决方案的新公司冒头。但正如安全行业中其他细分市场所见,VRM领域里的大多数供应商也用的是千篇一律的营销潮词。一家一家看过去,好像他们的产品功能特点都是相同的。想要区别出这些一窝蜂冒出来的新厂商还真挺难的。
我们不难看出VRM的重要性。第三方给公司企业带来的风险应作为任何策略性整体风险管理的不可分割的部分加以理解和妥善监管。大多数公司企业懂得这一点,也期待能在不远的将来解决该关键业务需求。于是,面对VRM市场上的各种王婆卖瓜,我们该怎么评估并区分不同的产品呢?
有7点可供参考:
1. 没有通用这回事
虽然各种规定、标准和行业间在安全控制方法上确实有很大重合,但这种重合距离完全重叠还远得很。基于所处行业、公司规模、地理位置、数据类型、电子访问方式等众多因素,在评估第三方带来的风险时,公司企业考虑的重点各不相同。半导体行业的公司企业担忧的地方,肯定与金融行业的不同。能源产业、医疗行业、政府部门等等各自有各自的考量。如果摆在你面前的VRM选项只有一套“通用”评估模式,不能导入专门解决你特定问题的自定义评估方法,那还是换一家看看吧。
2. 扫描不足
从外部扫描供应商的边界可以为其整体安全态势提供有用的洞见吗?当然可以。但很遗憾,这种扫描本身存在不足。扫描无法告诉我们有关供应商人员、过程和策略的信息,也无法告诉我们“内部”的日常是怎样的,更无法告诉我们供应商是如何保护/毫不防护敏感信息的。而这些,全都是真正定义供应商安全项目在管理和缓解风险上表现的关键部分。
3. 指标
在受电子表格、电话和面谈驱动的VRM世界里,标准难找毫不令人意外。我们或许能够针对少数供应商收集数据,给出有关他们各自安全态势的评估。但在供应商之间做比较?你想多了。跟踪暴露出的问题/漏洞并及时加以解决?没门儿。从集中式管理平台内部维持与供应商之间组织良好且有记录的通信?不行。了解每家供应商的进展和各不同门类供应商每年的进步?想都不用想。条分缕析各有侧重的多种不同报告形成全面风险评估?别再用老一套了。无法提供所有这些功能的VRM厂商?下一家下一家。
4. 基准
知道供应商给自家企业引入的风险固然很棒,但知道自身风险或供应商给自己带来的风险相对于同样地理位置、同个行业、相同公司规模或其他相同的其他公司的情况,不是更好?这可是VRM解决方案里面超级重要的一个方面。如果你的VRM提供商给不出基准,那还是考虑换一家吧。
5. 过程称王
自动化VRM追求供应商风险评估过程自动化,摒除以往的电子表格、电话和面谈方式。VRM应能提供可从单一集中式界面快捷管理的端到端自动化过程。当今时代,除此之外的都不过是古董级解决方案。
6. 别只告诉我哪儿出问题了
指出哪里出了问题只是个开始。建议怎么解决并提供全套无缝管理该过程的方法,才是自动化VRM的真正价值所在。以解决问题为中心的建议,以及全程监管该解决过程所需的资源,是VRM解决方案的真正分水岭。
7. 驱动决策
最终,公司企业需了解自身风险,以此了解为基础,做出需采取哪些缓解措施的可行决策。可以被纳入考虑的VRM提供商,必须是能驱动该决策过程,而不是对抗之的。
VRM市场玩家众多是事实,市场噪音太大太混乱也是事实。话虽如此,依然有一些方法可供公司企业合理辨别各VRM产品,优中选优。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】