Gartner说,需要新的风险管理方法
Gartner的研究揭示了举行第三方在进行尽职调查之后确定了第三方风险的大多数(83%)组织确定了第三方风险。
调查超过250个和合规性领导者,标准的时间点接近Torisk Managersicis在今天快节奏的快速变化的业务关系中不再有效。
随着越来越多的第三方为组织进行“-IN-inte”和非核心服务,GARTNER报告说,在业务关系开始之前,不能始终识别材料风险。
该报告的发现是鉴于越来越多的网络攻击与供应商的脆弱性有关,这突出了针对目标合作伙伴的供应商,突出了更加重视供应链安全的必要性。
全球只有29%的商业和IT高管在全球上努力,他们的合作伙伴如何在安全上努力,56%依赖于独立的信任,最近透露了一项调查。
Gartner报告称,现代风险管理必须考虑到第三方关系的持续变化,并以“迭代方式”或不断的方式减轻风险,而不是指定的间隔。
“法律和合规领导人依赖于第三方风险管理的时间点途径,这强调了Gartner的法律与合规性实践的研究主任Chris Audet表示,强调彻底前期趋势和重新认证。
“我们的研究表明,第三方风险管理的迭代方法是满足速度和利益攸关方对风险缓解的需求的新要求。”
根据Gartner的说法,许多因素对第三方风险的性质的转变作出了贡献,包括:
第三方为80%的组织提供了新的技术服务,包括启动和商业模式创新者;三分之二的法律和合规领导人找到第三方正在提供公司核心商业模式之外的服务;第三方现在有更大的组织数据获取;组织的第三方网络的成熟度越来越差异;第三方正在与他们自己的第三方越来越多地合作。随着时间点风险管理方法,合规性领导者试图在签约之前并在重新认证之前通过广泛的尽职调查来确定潜在的第三方风险,但由于整个关系的持续变化,这未能捕获可能出现的任何风险。
在识别出现款项后的风险的调查受访者中,31%的风险对业务产生了重大影响。
“百分之九十二年的法律和合规领导人告诉我们,这些物质风险无法通过尽职调查来确定,”Audet说。“这种风险的唯一方法是通过与第三方的实际接触,通过在第三方关系的过程中持续的风险识别。”
Gartner报告称,调查数据表明,风险管理的持有态度和合规领导人在速度方面提高风险和业务成果,并通过修复并在其影响的影响之前识别第三方风险。
应用迭代方法的组织经历了一倍的能力,以修复冒险的影响,在撞击之前识别风险的1.5倍。
“迭代方法将使法律和合规性领导人能够管理他们的变化和扩大的第三方网络,同时还满足业务需求更快地卸载,”Audet说。
“为了有效缓解第三方风险,合规领导人必须简化其当前的尽职调查过程,专注于消除繁琐的重复过程的危急风险,并焦点关注对本组织影响最大的风险,”他说。
国际风险管理公司RSA安全国际风险管理公司的副总裁Nigel Ng表示,这一部分问题获得了全面的能力,是当今数字生态系统的“纯粹复杂”。
“公司越来越依赖第三方来提供核心服务,而这些合作伙伴为企业创造了大量价值,而且他们也需要管理的数字风险,并且可以大大增加所需安全协议的复杂性。
“第三方 - 例如系统集成商或承包商 - 通常需要直接访问您的系统。在这些实例中,公司需要清楚地了解其安全协议,以确定对其的信任程度以及多少访问权限。
“企业还需要更强大的身份和访问管理[IAM]进程来验证第三方用户,确保他们是他们所说的,只能访问他们允许访问的内容,并且他们的凭据没有受到损害。 “
安全服务和研究公司的战略安全服务总监John Sheehy表示,任何未受保护的组织都是拥有自己的网络,反对基本威胁演员,执行尽职调查,并持有供应商对保护自己的网络负责的供应商没有希望保护威胁演员。
“这就是第三方测试方便的信任和验证您的供应商的地方,”他说。
要构建供应链安全计划,Sheehy建议组织:
确保他们知道所有供应商,并占据他们的业务的全部库存,所以他们可以识别任何薄弱的联系;对每个供应商的网络安全姿势进行风险评估,包括软件和硬件组件,以确定他们可能造成的风险;使用第三方测试来测试内部安全系统和供应商的内部安全系统,以识别和优先考虑需要固定的内容;常规扫描和拼凑的易受攻击系统;教导员工了解使用强密码而不是跨账户回收它们的重要性;确保员工在可能的情况下设置了UpMutifactor身份验证;指导安全意识培训教授员工如何识别网络钓鱼诈骗,更新软件并变得更加安全;硬化设备连接到网络的安全性。