学代码的网站,全国十大代理记账公司,网站建设维护多少钱,网站建设服务包括什么长期以来#xff0c;公司一直依赖制造商、服务提供商、供应商或顾问等丰富的外部各方网络来促进整体运营并从外部专业知识或产品中获益。虽然这些合作伙伴关系通常是互惠互利的#xff0c;但公司也需要意识到第三方甚至第四方供应商带来的潜在风险#xff0c;并考虑整个供应…
长期以来公司一直依赖制造商、服务提供商、供应商或顾问等丰富的外部各方网络来促进整体运营并从外部专业知识或产品中获益。虽然这些合作伙伴关系通常是互惠互利的但公司也需要意识到第三方甚至第四方供应商带来的潜在风险并考虑整个供应商生态系统的安全性。
不幸的是80% 的公司担心他们无法全面了解第三方合作伙伴的安全状况。这是一个亟待解决的痛点因为供应链中任何环节的漏洞都可能导致灾难性后果例如数据泄露、巨额罚款、声誉受损等。
2020 年的 SolarWinds 黑客事件就是 一个典型的例子当时国家黑客入侵了 SolarWinds 的 Orion 系统并发起了供应链攻击渗透了包括联邦机构在内的数千名 SolarWinds 客户的网络、系统和数据。虽然这种特定的攻击非常复杂但供应链的弱点可能源于简单的监督或宽松的程序例如外部供应商或承包商能够在不满足公司合同或程序的情况下访问敏感数据。
由于第三方风险管理 (TPRM) 的复杂性整个过程可能会让人感到不知所措尤其是对于没有专门的 GRC 团队来应对挑战的公司而言。
让自动化来完成繁重的工作
不幸的是这种不堪重负往往源于公司依靠手动、劳动密集型流程来审查和管理第三方合作伙伴从而浪费了他们宝贵的时间和资源。他们不仅需要评估供应商公司还需要评估占美国劳动力 36% 的合同工、自由职业者和临时工以及生成式人工智能等第三方软件和工具这些都可以带来额外的影响。
数据安全风险。从本质上讲任何被授予任何级别的内部系统或数据访问权限的实体、个人或工具都应被视为潜在的责任尽管大多数第三方供应商努力维护与其合作的公司的声誉和安全期望。
虽然许多组织仍然使用电子表格来管理第三方关系并跟踪访问级别、已识别的风险、缓解问题的时间等指标但研究表明所有 TPRM 任务中近一半是由某种程度的技术或流程自动化支持的并且预计这一比例只会增长。手动流程为人为错误留下了空间因为通常存在大量供应商和数据并且它们的状态经常变化更不用说 GRC 团队本身就捉襟见肘。
此外由于这些手动方法可能非常繁琐许多组织只对其供应商进行一次评估通常是在关系开始时为他们提供有限的风险级别“时间点”快照而不是评估他们的供应商。持续验证合规性。由于这些限制 83% 最近接受调查的组织因其当前流程而遭受了负面后果。
这就是自动化合规解决方案可以发挥真正作用的地方。自动化缓解了许多常见的痛点并帮助组织更轻松地根据既定策略标准衡量供应商的绩效。自动化可以处理重复性任务、为供应商提供风险评分、标记需要注意的问题、记录结果等。
最重要的是这些解决方案可以实时了解第三方和第四方供应商的风险和安全状况。他们有能力不断验证自己是否符合数据隐私法规例如GDPR或 CCPA或安全框架例如 ISO 27001 或 SOC 2或更专业的相关框架。
在自动化合规工具的支持下公司可以放心并且有文件证明他们的整个供应商生态系统致力于最大限度地减少网络风险并拥有必要的安全控制措施。公司可以依靠现成平台进行的 100% 客观审核而不是依赖不可靠的手动评估或根据自行填写的安全调查问卷相信供应商的话。
转向每个阶段的持续监控
如前所述管理供应商合作伙伴并不是一项“一劳永逸”的活动。这就是为什么技术如此重要它可以避免这一过程成为一项艰巨的工作并使持续监控在供应商生命周期的每个阶段都更加现实。例如考虑初始评估阶段公司邀请供应商投标或推介他们的服务。此时应该需要进行安全调查问卷特别是对于将获得对系统的完全访问权限的潜在客户。
这些调查问卷可以自动启动同时仍然允许受访者补充答案或资源。要求提供安全审计报告来阐明在签署合同之前需要解决的任何缺陷也是一个好主意。无论供应商前景的规模或影响力如何公司在评估风险时都应始终进行尽职调查以避免容易预防的攻击。
公司应向经批准的供应商提供一份合同其中明确概述了合规性期望包括他们必须在多长时间内解决早期安全审计中发现的任何问题的时间表。合同应明确指出如果在审查周期中标记出未来的问题而未及时解决则可能导致不续签甚至终止关系。此外此阶段还确定管理每个新供应商的潜在风险以及需要哪些安全控制的流程。
一旦概述了这个流程就需要坚持下去并持续监控供应商对公司风险管理政策的遵守情况。如果出现问题公司应立即解决如果问题特别令人担忧或难以解决则终止合作关系。在与供应商的工作关系中公司应该培训员工如何安全地与第三方打交道。
最后当需要与供应商分道扬镳时公司需要通过将供应商从系统中删除并确认他们不再拥有或继续访问敏感数据来远离任何剩余的风险。自动化合规软件可以帮助团队维护一份最新的活跃和终止供应商列表以确保没有任何事情也没有人被遗漏。
创建值得信赖的生态系统
在公司与外部供应商建立关系的每一步中安全都需要成为首要考虑因素不仅是为了避免潜在的灾难性后果而且是因为相互关联的组织有共同的责任来创建可信的生态系统并保护整个企业的数据和隐私。供应链及其客户。此外加强监督可以防止小问题日后变成大问题。
虽然大多数第三方供应商关系将带来积极的业务成果但公司需要定期审查他们所参与的每一个外部关系以确保其供应商始终遵守安全协议。通过用自动化取代手动流程以及从定期第三方合规性检查转向持续性第三方合规性检查组织将减少人为错误节省时间和资源并对其整个供应商生态系统的潜在风险拥有更高的可见性和控制力。
