?雖然企業(yè)可以在多個層面上評估和管理風險，但第三方風險和缺乏強大的網(wǎng)絡(luò)安全控制對業(yè)務(wù)彈性構(gòu)成強大的威脅。與這些風險領(lǐng)域相關(guān)的漏洞和服務(wù)中斷已經(jīng)導致很多企業(yè)的關(guān)鍵系統(tǒng)癱瘓。2021年，在BlackKite公司對首席信息安全官的調(diào)查中，53%的首席信息安全官表示至少遭受過一次勒索軟件攻擊。

值得重申的是：網(wǎng)絡(luò)安全和第三方風險是企業(yè)長期生存面臨的兩個最大問題。企業(yè)需要能夠處理這些風險向量，以全面了解其風險狀況?？缏毮芰鞒虒τ诠芾磉@些風險領(lǐng)域之間的重疊至關(guān)重要，以更好地保護企業(yè)并提高工作流效率。

確保供應(yīng)商的網(wǎng)絡(luò)安全實踐符合企業(yè)的標準，這對于保護其系統(tǒng)和數(shù)據(jù)至關(guān)重要。事實上，它與業(yè)務(wù)的穩(wěn)定性或產(chǎn)品和服務(wù)的交付情況一樣重要。

常見的第三方網(wǎng)絡(luò)安全風險

企業(yè)需要能夠識別第三方風險的各個方面。以下是一些最常見的第三方網(wǎng)絡(luò)安全漏洞，以及如何與合作伙伴合作來緩解這些漏洞。

• 數(shù)據(jù)泄露：勒索軟件、網(wǎng)絡(luò)釣魚和對供應(yīng)商或其系統(tǒng)的直接攻擊威脅企業(yè)的數(shù)據(jù)隱私。此外，供應(yīng)商的組織安全性差和控制執(zhí)行不力會給企業(yè)帶來安全風險。
• 服務(wù)中斷：惡意軟件和分布式拒絕服務(wù)攻擊可能會破壞供應(yīng)商的系統(tǒng)或為企業(yè)的IT基礎(chǔ)設(shè)施提供的服務(wù)。因此，這可能會使其系統(tǒng)暴露在外，或者企業(yè)無法向客戶提供服務(wù)。
• 合規(guī)風險：監(jiān)管機構(gòu)越來越多地讓企業(yè)及其供應(yīng)商參與網(wǎng)絡(luò)安全合規(guī)。了解需要在外部遵守的法規(guī)，并確保供應(yīng)商遵守與其相關(guān)的法規(guī)。

企業(yè)面臨持續(xù)的威脅，但減輕風險需要的不僅僅是單一的防御手段。缺乏集成的網(wǎng)絡(luò)安全和第三方風險管理(TPRM)系統(tǒng)可能會使企業(yè)無法準備好預測、緩解或從漏洞中恢復。

與第三方一起解決網(wǎng)絡(luò)安全問題

第三方風險管理(TPRM)和網(wǎng)絡(luò)安全的跨職能方法可以減少重復工作，并為企業(yè)、供應(yīng)商和合作伙伴提供更深入的企業(yè)風險洞察。在支持第三方風險管理(TPRM)工作時，需要考慮以下一些行動：

(1) 彌合第三方風險管理(TPRM)與網(wǎng)絡(luò)安全之間的差距

網(wǎng)絡(luò)安全和第三方風險管理(TPRM)的集成對于企業(yè)更好地理解和監(jiān)控監(jiān)管要求、控制以及內(nèi)部政策和程序至關(guān)重要。企業(yè)應(yīng)了解網(wǎng)絡(luò)安全優(yōu)先事項的作用是確定供應(yīng)商在第三方風險管理(TPRM)中遵守的監(jiān)管標準和控制措施。整合這兩種方法的企業(yè)將這兩種功能從孤島中解放出來，以減少工作流處理、報告以及更重要的是風險決策方面的重疊。

企業(yè)必須了解第三方對其系統(tǒng)、數(shù)據(jù)和基礎(chǔ)設(shè)施的訪問權(quán)限。除此之外，努力確保采取充分和適當?shù)拇胧┖涂刂拼胧﹣肀Ｗo這些系統(tǒng)和入口點。

(2) 進行深入的盡職調(diào)查

一旦企業(yè)為網(wǎng)絡(luò)安全控制和指標建立了堅實的內(nèi)部基礎(chǔ)，它就可以開始對新的和現(xiàn)有的供應(yīng)商進行盡職調(diào)查。第三方風險管理(TPRM)團隊應(yīng)盡可能收集最相關(guān)的信息，以了解供應(yīng)商固有的和剩余的網(wǎng)絡(luò)安全風險，包括他們的事件歷史和未來狀態(tài)展望。

僅當潛在供應(yīng)商的網(wǎng)絡(luò)安全實踐符合企業(yè)的政策時，才應(yīng)選擇并加入他們，并且應(yīng)根據(jù)他們對企業(yè)構(gòu)成的風險級別對他們進行分層。

(3) 持續(xù)進行監(jiān)控

時間點評估不足以捕捉供應(yīng)商不斷變化的風險態(tài)勢。通過執(zhí)行持續(xù)監(jiān)控以了解其網(wǎng)絡(luò)安全控制和狀態(tài)的變化，定期評估供應(yīng)商群體的安全性至關(guān)重要。在初始盡職調(diào)查期間完成的網(wǎng)絡(luò)安全評級可以提供供應(yīng)商安全性的評分，從而為企業(yè)的評估計劃提供信息。根據(jù)供應(yīng)商在一年、兩年或三年時間框架內(nèi)的總體風險評級確定評估范圍和頻率。

了解并實施集成網(wǎng)絡(luò)安全和第三方風險管理(TPRM)系統(tǒng)的企業(yè)可以全面了解其供應(yīng)商的風險狀況，為可能的威脅和合規(guī)性違規(guī)行為做好全面的準備，并與值得信賴的安全供應(yīng)商一起改善業(yè)務(wù)成果。