随着企业越来越依赖第三方供应商,升级第三方风险管理已成为防止第三方泄露造成的后果的当务之急。
第三方风险
SecurityScorecard最近发现,98%的企业与至少一个在过去两年中遭遇数据泄露的第三方供应商有关。
当允许第三方供应商访问企业的网络时,潜在的漏洞会成为他们共同的问题,妥协可能会给双方带来严重的后果,这可能会导致:
- 客户服务中断
- 违反法规或法律
- 声誉受损
- 供应链中断
- 财务欺诈或曝光
一个特别的第三方妥协标志着2023年:由于流行的文件传输软件MOVEit中的漏洞被大规模利用,导致各种国际政府实体和企业的数据被盗,发生了一系列数据泄露事件。
尽管Progress Software在5月份修补了该漏洞,但Cl0p数据勒索团伙已经广泛利用了该漏洞,受影响的企业继续披露与MOVEit相关的事件。
为什么你必须进行第三方风险管理
第三方风险管理为公司提供了许多优势。
它使企业能够通过监控第三方供应商的可用性来避免业务中断,从而提供早期预警信号,使高管能够迅速采取行动。
第三方风险管理还通过监控可能发生的事件并减少第三方关系中的IT和网络风险敞口来维护品牌声誉,这使得能够及时防御来自供应链的潜在系统漏洞。
所有这些因素在增强客户信任、降低成本和最大限度地降低总体运营风险方面都起着至关重要的作用。
第三方风险管理的最佳实践
企业应清楚地了解其供应商网络。
这可以通过了解和实施最佳实践以及第三方风险管理生命周期的所有步骤来实现:
- 供应商识别和筛选
- 评估和遴选
- 风险评估
- 降低风险
- 合同和采购
- 报告和记录保存
- 持续监测
- 供应商下线
企业应建立一支强大的风险情报团队,以持续监控第三方供应商,并确保在投资尽职调查和法规遵从性时获得领导支持。
他们还应该定期进行审计,以评估供应商遵守安全、健康和治理标准的情况,并明智地投资于IT基础设施和安全,以增强对外部威胁的防御。
“第三方风险管理成熟度越高的企业,在不断变化的外部环境中适应挑战的能力和灵活性就越强。最好的企业已经表明,一个全面的框架(风险相互关联、实时监控到位、有洞察力的利益相关者)对任何不利事件的影响做出更快的反应。”德勤2023年全球第三方风险管理调查发现。
前进的另一步在于实施集中的风险管理。2023年安年全球第三方风险管理调查显示,90%的企业正朝着集中化风险管理的方向发展,这使他们能够将第三方风险作为一个整体进行评估,应用一致性,确定风险的优先顺序,并计划以最佳方式利用资源来管理或缓解风险。