隨著企業(yè)越來越依賴第三方供應(yīng)商，升級第三方風(fēng)險管理已成為防止第三方泄露造成的后果的當(dāng)務(wù)之急。

第三方風(fēng)險

SecurityScorecard最近發(fā)現(xiàn)，98%的企業(yè)與至少一個在過去兩年中遭遇數(shù)據(jù)泄露的第三方供應(yīng)商有關(guān)。

當(dāng)允許第三方供應(yīng)商訪問企業(yè)的網(wǎng)絡(luò)時，潛在的漏洞會成為他們共同的問題，妥協(xié)可能會給雙方帶來嚴重的后果，這可能會導(dǎo)致：

• 客戶服務(wù)中斷
• 違反法規(guī)或法律
• 聲譽受損
• 供應(yīng)鏈中斷
• 財務(wù)欺詐或曝光

一個特別的第三方妥協(xié)標(biāo)志著2023年：由于流行的文件傳輸軟件MOVEit中的漏洞被大規(guī)模利用，導(dǎo)致各種國際政府實體和企業(yè)的數(shù)據(jù)被盜，發(fā)生了一系列數(shù)據(jù)泄露事件。

盡管Progress Software在5月份修補了該漏洞，但Cl0p數(shù)據(jù)勒索團伙已經(jīng)廣泛利用了該漏洞，受影響的企業(yè)繼續(xù)披露與MOVEit相關(guān)的事件。

為什么你必須進行第三方風(fēng)險管理

第三方風(fēng)險管理為公司提供了許多優(yōu)勢。

它使企業(yè)能夠通過監(jiān)控第三方供應(yīng)商的可用性來避免業(yè)務(wù)中斷，從而提供早期預(yù)警信號，使高管能夠迅速采取行動。

第三方風(fēng)險管理還通過監(jiān)控可能發(fā)生的事件并減少第三方關(guān)系中的IT和網(wǎng)絡(luò)風(fēng)險敞口來維護品牌聲譽，這使得能夠及時防御來自供應(yīng)鏈的潛在系統(tǒng)漏洞。

所有這些因素在增強客戶信任、降低成本和最大限度地降低總體運營風(fēng)險方面都起著至關(guān)重要的作用。

第三方風(fēng)險管理的最佳實踐

企業(yè)應(yīng)清楚地了解其供應(yīng)商網(wǎng)絡(luò)。

這可以通過了解和實施最佳實踐以及第三方風(fēng)險管理生命周期的所有步驟來實現(xiàn)：

• 供應(yīng)商識別和篩選
• 評估和遴選
• 風(fēng)險評估
• 降低風(fēng)險
• 合同和采購
• 報告和記錄保存
• 持續(xù)監(jiān)測
• 供應(yīng)商下線

企業(yè)應(yīng)建立一支強大的風(fēng)險情報團隊，以持續(xù)監(jiān)控第三方供應(yīng)商，并確保在投資盡職調(diào)查和法規(guī)遵從性時獲得領(lǐng)導(dǎo)支持。

他們還應(yīng)該定期進行審計，以評估供應(yīng)商遵守安全、健康和治理標(biāo)準的情況，并明智地投資于IT基礎(chǔ)設(shè)施和安全，以增強對外部威脅的防御。

“第三方風(fēng)險管理成熟度越高的企業(yè)，在不斷變化的外部環(huán)境中適應(yīng)挑戰(zhàn)的能力和靈活性就越強。最好的企業(yè)已經(jīng)表明，一個全面的框架(風(fēng)險相互關(guān)聯(lián)、實時監(jiān)控到位、有洞察力的利益相關(guān)者)對任何不利事件的影響做出更快的反應(yīng)。”德勤2023年全球第三方風(fēng)險管理調(diào)查發(fā)現(xiàn)。

前進的另一步在于實施集中的風(fēng)險管理。2023年安年全球第三方風(fēng)險管理調(diào)查顯示，90%的企業(yè)正朝著集中化風(fēng)險管理的方向發(fā)展，這使他們能夠?qū)⒌谌斤L(fēng)險作為一個整體進行評估，應(yīng)用一致性，確定風(fēng)險的優(yōu)先順序，并計劃以最佳方式利用資源來管理或緩解風(fēng)險。