本文列举了第三方网络风险管理的“七宗罪”,正是这些行为给企业带来了巨大的风险。
***宗罪:认为风险可以被外包
很多企业认为,使用第三方产品或服务产生的网络风险,应该由供应商来进行管理及承担,这是绝对错误的。监管机构一直明确表示,你可以外包系统和服务,但你不能外包风险。2008年,联邦存款保险公司对供应商风险管理做了如下规定:一个机构的董事会和高级领导层应负责管理通过第三方进行的活动,并识别和控制由此带来的风险。美国卫生与公众服务部、欧盟、美国货币监理署等监管机构也发布过类似的指南。
即使您与供应商的合约中有关于数据违约相关的条款,或许在安全事件发生后,可能获得一定的赔偿,但财务并不是唯一的风险。监管机构的罚款、企业声誉的损失、市值的蒸发,更加可怕。
第二宗罪:与第三方的合约中没有必要的安全条款
与第三方合约中的信息安全条款,建议至少包括:
- 对第三方进行审计的权利;
- 数据泄露通知;
- 解决已识别漏洞的补救要求。
若是企业在解决第三方风险问题时没有审计权,即无法有效的实现风险的评估。如果没有补救要求,识别出的风险也可能无法得到解决。
在与第三方签订的服务协议中使用经法律批准的、标准化的信息安全附录,确保公司对需要采取纠正措施以保护其客户、资产和声誉具有可见性和追索权。即使您企业目前仍没有积极地管理供应商风险,也需要将您想要的风险需求放入合同中。这样做实际上将使供应商承担一些***的安全性需求,并为将来评估他们的安全性提供机会。
第三宗罪:认为第三方风险管理与业务无关
业务运行在由内部人员和第三方管理的复杂系统之上,对第三方网络风险的管理即对业务风险的管理,这也是我们的初衷。而在实现风险管理的过程中,技术同业务的协作必不可少:
- 根据企业的信息安全标准建立供应商绩效考核;
- 了解每个供应商关系的业务负责人;
- 定期向每个业务负责人报告供应商的风险表现,并要求每个供应商对满足绩效有足够的响应。
实现良好的第三方风险结果还需要业务支持“升级路径”,通过该路径,我们可以清晰的看到哪些供应商具备什么样的问题,在该路径中,表现不佳的供应商被放在“观察列表”上,若是没有及时的解决问题,最终将被放在“禁止”列表上,以激励供应商做好风险管理。
第四宗罪:不知道您的供应商是谁
在进行供应商网络风险管理时,您只能管理已知供应商的风险。您掌握的供应商名单越长,管理覆盖到的供应商就越多,风险也越小。
对于新的供应商风险管理项目,建议分阶段覆盖到供应商,可以从近期刚开始合作的供应商开始,而不是试图一次纳入所有供应商,现有供应商可以通过合约更新的方式逐步覆盖。这样更利于风险管理项目的展开,新供应商最有动力遵从您的风险管理流程,因为他们希望赢得您的业务。
可能需要几年的时间,通过管理新供应商和现有供应商的合同更新,您将覆盖绝大多数供应商。接下来的挑战是找出那些“藏匿”起来的供应商。您可以通过企业内的配合搜寻供应商:比如每月对应付账款数据与供应商风险管理数据进行核对,任何未在风险管理数据库中出现的供应商都会被识别。
第五宗罪:信任,不去验证
“信任,但要验证”的原则在管理第三方网络风险时非常的适用。
在过去,供应商通常以高分通过基于问卷的评估。您可以去查看现有的供应商调查问卷,似乎所有的正面问题都会被肯定、似乎所有安全控制都正确的执行。我们能否通过这些积极的证明得出目前风险很小、可控的结论?
良好的风险管理需要准确、全面地识别风险。供应商的安全性认证可以帮助您了解他们为实现良好的风险结果所做的投资,但这只是所需信息的一半。
第六宗罪:不评估第三方风险管理项目进行后的效果
根据2017年对企业第三方风险管理实践的研究,仅有37%的企业会在执行第三方风险管理的某些措施后,会进行效果评估。这一点很让人惊讶,这就像一个盈利企业不向投资者报告其财务业绩。长此以往,第三方风险管理的价值无法显现,第三方风险管理就会变成监管机构需要的一个复选框,仅是在做表面文章。
目前企业的第三方风险管理报告中,通常包括:
- 某供应商评估固有风险的评分
- 供应商的分类评级(基于固有风险,类似“满意”、“有待提高”、“无法接受”)
- 敏感数据风险、交易风险、声誉风险、经营风险等维度固有风险的种类和评分
- 按程序规范进行过评审的供应商百分比
- 供应商对风险评估的响应时间
- 供应商剩余风险的分布
- 对于无法承受其风险的供应商名单
但缺少了最重要的管理效果评估,适当的度量标准可以加强企业管理第三方风险的文化,这种文化对第三方的影响能给业务更好的支持,同时它们还能够提升供应商响应的积极性、提升风险管理效果,在某些情况下为企业接受某些风险做了充足的准备。
第七宗罪:将供应商风险管理限制为定期评估
通过定期评估管理供应商网络风险是不够的。即使每年进行一到两次评估,评估之间也会发生很多事情。例如供应商数据泄露可能会在不知情的情况下危及您的数据,可能会因为延迟数据外泄通知而招致监管机构的处罚(GDPR关于数据外泄通告的要求:组织在发生数据外泄时必须在72小时内,即刻通报给监管机构。并且,若外泄会给个人带来风险,也应该及时通知当事人)。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】