保护您的公司免受第四方风险

在一个日益相互关联的世界中,组织正在直接了解到他们不仅容易受到供应商经历的不利事件的影响,而且容易受到这些供应商的供应商发生的事件的影响。

第四方风险

最近的事件,例如 太阳风 漏洞, 微软交换 服务器攻击 and 快速停电 已经揭示了常规 第三方风险管理 (TPRM) 计划不足以产生对供应链风险的必要可见性。

由于第四方通常没有义务与其客户的合作伙伴共享信息,因此组织现在正在调整其 TPRM 计划以解决第四方问题。幸运的是,公司可以采取一些措施来提高他们对下游风险的了解和保护。

了解您的第三方合作伙伴

尽管对第四方风险威胁的认识不断提高,但尚未为第四方建立明确的指导方针和统一流程,从而导致脱节的临时流程。这些过程中的大多数都是手动的,需要大量的时间和劳动力投入,并且存在出错和疏忽的可能性。

针对该漏洞,建议企业采取以下措施限制第四方风险:

确定关键任务供应商

第一步也是最重要的一步是确定对公司至关重要的供应商,然后确定 他们的 第三方。在供应商风险评估过程中,公司应向第三方合作伙伴索取其关键供应商的列表,以及他们可以访问哪些敏感数据。他们还应要求第三方通知他们他们希望对其第三方关系进行的任何更改。

然而,即使供应商提供了所要求的信息,在第四方级别的信息报告和可访问性方面仍然存在问题,因为第三方可能缺乏执行尽职调查的资源或可能不愿意共享敏感信息。

出于这个原因,使用所有可用来源验证数据非常重要,包括获取第三方使用的开源列表、他们的业务连续性和灾难恢复计划、他们的互联网安全管理系统以及他们使用的互联网技术他们的网站和 IT 供应链。

寻找集中风险

对于组织而言,对其整体供应商组合进行更广泛的审查以识别多个供应商共有的任何第四方也很重要。即使一家公司的第三方供应商基础多种多样,但如果其供应商利用同一供应商进行交易,仍可能面临集中风险。 他们的 critical functions.

一些示例可能是 Microsoft Azure、Google Cloud Platform 或 AWS,它们被全球数以万计的公司使用。如果其中一个巨头倒闭,其影响可能波及多个供应商,对公司构成严重风险。最近的 卡塞亚 攻击是对单个公司的软件产品的攻击造成毁灭性后果的一个例子,该产品已影响到全球数千名客户。对第四方集中风险的可见性使公司能够更快地识别和响应威胁。

建立持续监控策略

由于公司与第四方没有直接的合同关系,管理他们的风险比监督第三方的风险更具挑战性。关键是扩大现有 TPRM 计划的范围,以包括对第四方的监控。

第一步是让公司了解他们的第三方如何监控他们的供应商。这包括直接监控(即他们正在做什么来监控他们的第三方)和一般供应商管理(即他们是否有自己的供应商管理计划以及它的有效性如何)。公司可以通过定期绩效评估以及年度风险和尽职调查重新评估来提出这些问题。完成此实践的最佳方法是使用正确的技术,通过不断从数量不断增加的数据源收集数据来不断评估威胁。

最后,尤其是对于关键任务供应商,企业应持续监控其第四方,而不是等到第三方提供违规通知。通过主动监控,风险降低,整个供应商生态系统变得更安全、更高效。

自动化和编排是关键

监控第四方的一种方法是选择一个供应商风险管理解决方案,该解决方案可以在所有风险域中自动化和协调 TPRM 程序。这些应用程序中最好的应用程序使用自然语言处理和复杂的数据收集来不断地从人、文档和机器收集信息,同时执行分析并在数据源之间创建反馈循环。这可以从第三方及其他方面创建可操作的风险洞察,最终降低风险和运营成本,同时提高准确性和企业绩效。

这些解决方案使公司能够前所未有地了解第四方风险并消除集中风险——为主题专家节省了大量工作,并使他们能够专注于更高价值的任务。

即使公司与为其第三方提供服务的第四方供应商没有正式的工作关系,他们仍然可以构成真正的威胁。 风险评估 持续监控是确保公司免受第四方潜在危害的关键。组织现在可以利用先进的 TPRM 解决方案来自动化和协调对第三方供应商及其供应商的监控,以确保他们能够快速识别、预测和管理整个供应链的风险 - 无需投资额外人员。




分享这个