时间点不再有效

在参与第三方提供商业服务的组织中,83%确定了83% 第三方风险 根据Gartner,在进行尽职调查和重新认证之前。

风险管理方法

Gartner..’S超过250个法律和合规领先的调查表明,标准的风险管理方法在今天不再有效’S快节奏的景观,迅速不断变化的业务关系。

随着越来越多的第三方为组织进行了新的和非核心服务,不能在业务关系开始之前省略材料风险。现代的 风险管理 必须占第三方关系的持续变化,并以迭代方式减轻风险 - 即不断地,而不是指定的间隔。

“法律和合规领导人依赖于第三方风险管理的时间点途径,这强调了Gartner合法的研究主任Chris Audet表示,强调彻底的前期抵抗和重新认证&合规性实践。 “我们的研究表明,第三方风险管理的迭代方法是满足速度和利益攸关方对风险缓解的需求的新要求​​。”

第三方风险管理的遗产方法

由于第三方风险的性质不断变化,它在2019年的法律和合规领导人之间已成为越来越重要的重点领域。根据Gartner’数据,有许多因素有助于这种班次:

  • 百分之八十的法律和合规领导者指出,第三方为组织提供了新的技术服务,包括初创公司和商业模式创新者,而不是现任服务提供商。
  • 三分之二的法律和合规领导人找到第三方正在为公司之外提供服务’S核心商业模式。
  • 第三方现在可以更好地获得组织数据。
  • 组织成熟度越来越差异’第三方网络。
  • 第三方正在与他们自己的第三方(第四和第五派对)越来越多。

随着时间点风险管理方法,合规性领导人试图在签订重新认证之前,在签约之前,在签约之前,识别潜在的第三方风险。然而,这种方法在很大程度上是无效的:它不仅有助于更长时间的船上和等待时间,它也未能捕获由于整个关系中正在进行的变化而可能出现的任何风险。在识别出现款项后的风险的调查受访者中,31%的风险对业务产生了重大影响。

“百分之九十二年的法律和合规领导人告诉我们,这些物质风险无法通过尽职调查来确定,”Audet先生说。 “这种风险的唯一方法是通过与第三方的实际接触,通过在第三方关系的过程中持续的风险识别。”

迭代方法可提高风险管理结果

Gartner..数据表明,迭代风险管理方法允许法律和合规领导人在速度换算方面提高风险和业务成果,并通过在其影响的影响之前进行补救和确定第三方风险。

应用迭代方法的组织经历了几乎四倍的业务伙伴满意度与速度接触,两倍于在冲击之前修复风险的能力和识别在撞击之前识别风险的1.5倍。

“一个迭代的方法将使法律和合规领导人能够管理他们的变化和扩大的第三方网络,同时也满足了对船上更快的业务需求,”Audet先生说。

合规性领导者的主要风险管理转型

对于希望从时间点转移到迭代风险管理方法的组织,有三个关键步骤,法律和合规领导者应该采取:

1.简化尽职调查要求,专注于最关键的风险。

2.建立内部触发器以监测更改。

3.创建控制和激励以监控更改。

“为了有效减轻第三方风险,合规领导人必须简化其当前的尽职调查过程,以重点关注危急风险,”Audet先生说。 “这将消除繁重的重复过程,并焦点对对组织产生最大影响的风险。但是,最重要的是,他们必须在触发器中建立,以监测在关系过程中产生风险的变化。“

建立供应链安全计划

“如果您不保护自己的网络免受基本威胁演员的基本威胁,请执行适当的审议,并持有您的供应商负责保护自己的网络,您对防止国家或更有能力的威胁行动者没有希望。这是第三方测试派上派上信任和验证您的供应商的地方,”Soactive董事战略安全服务总监John Sheehy表示。

Sheehy提供了一些关键步骤,您今天可以采取,建立供应链安全计划:

1.了解您的供应商,查看上游以及下游。 从您的Tier-One供应商开始,然后识别Tier Two和其他供应商。采取完整的清单,您可以使用业务,因此您可以识别任何薄弱的链接。

2.进行风险评估。 一旦您确定了所有合作伙伴,您需要正确评估每个人的网络安全姿势,以便您知道他们可能对您的组织构成的风险。您必须考虑每个设备或组件构建的位置,究竟建立谁。有可能的后门或假冒部分吗?或者它只是可能导致违规的可能性更有可能的软件质量问题?

3.利用第三方测试。 雇用第三方公司来测试您的系统和供应商的公司,以便首先修复您需要的可操作结果。

4.定期扫描和修补 所有易损的系统。

5.使用强密码。 教导您的员工了解使用强密码而不是在账户中回收它们的重要性。

6. 确保您的员工有 设置多因素身份验证 everywhere possible.

7.进行定期的安全意识培训 教授员工如何识别网络钓鱼诈骗,更新软件并变得更加安全。

8.硬化安全 连接到网络的设备。

分享这个