数字化之旅是否增加了使用第三方的风险?

在快速发展的数字世界, 第三方风险管理(TPRM)的作用变得前所未有的重要. 最近, 由第三方造成的数据泄露数量逐年增加, 大量的信息被暴露. 这种漏洞的涌入可以在各行业的组织中看到, 比如金融, 电信, 娱乐休闲, 甚至是快餐店.

数字化之旅指的是一个组织将技术整合到其业务战略中的路径, 没有任何组织能够免受技术对其业务的影响.¹ 全球组织的数字化之旅无疑引发了一股创新浪潮, 然而，它也带来了前所未有的风险. 第三方引入的广泛漏洞强调了所有行业的组织需要优先考虑网络安全措施并投资于先进的保护系统.

问题是，为什么组织比以前更多地使用第三方?

一个原因可能是组织更加关注他们的核心产品，并利用第三方提供支持服务. 这包括使用云设施, 这表明组织是如何与各种第三方甚至第四方联系的, 全球范围内, 信息在哪里被访问, 共享, 收到了, 和存储.

由第三方造成的数据泄露数量逐年增加, 大量的信息被暴露.

随着数字领域的发展, 对第三方实体的依赖增加, 给组织带来越来越复杂的挑战. 这些挑战包括各种各样的风险类型, 其中包括围绕TPRM所有权的模糊性, 低估成本和努力之间平衡的普遍倾向, 以及内部能力的限制.

值得深入研究组织在TPRM过程中经常遇到的多方面挑战:

• 〇各种风险虽然这些不同的风险类型可能一直存在于组织中, 对于组织来说，除了网络安全之外，还需要更多的关注, 隐私, 或者第三方带来的云风险. 组织还应该考虑遵从性, 操作, 声誉, 金融风险, 它允许对第三方(i.e. 集中风险概况/第三方的固有观点，并根据风险类型进行具体详细的尽职调查评估概况).
• 所有权的TPRM -由于存在的各种风险环境和涉及的不同利益相关者, 经常有这样的问题:谁应该拥有组织中的第三方风险管理，以及选择哪种模型(集中式), 分散的, 混合). 随着我们进一步进入数据安全的未来, 对第三方和潜在风险有一个全面的认识是很重要的. 因此, 最合理的做法是将所有权授予拥有最中心景观的区域, 如采购或供应链部门.
• 成本与努力的低估当组织开始TPRM之旅时, 对于一个有效的TPRM项目的成本通常有一个先入为主的概念. 经常被低估的项目包括第三方的数量, 从其中收集信息的系统数量, 使用类似的第三方提供的不同服务, 甚至自动化. 其中每一项都带来了额外的挑战，并增加了运行有效TPRM计划的成本和工作量. 虽然打开完整的TPRM旅程可能是一项艰巨的任务, 通过高层次的评估和/或组织内涉众的研讨会，理解上面的每一项都是值得的. 此外，基于风险的方法² 制定项目计划(1).e. 3年计划)和相关的估计成本必须被组织采用, 为了克服这一挑战.
• 内部容量,对第三方实体和相关风险有深刻了解的个人通常已经满负荷运作，可能没有时间承担管理第三方等额外责任, 其中包括审查第三方尽职调查评估和参与跟踪已确定的风险缓解项目. 此外，在集中化模式(或卓越中心)的背景下，³ 这些人不一定具备所有风险领域的专业知识, 导致知识和安全方面的空白. 这些差距可以通过确保每个领域都有主题专门知识来缓解.e. 隐私、网络安全等.)，以及卓越中心的相关培训，但这可能是有代价的.

TPRM的未来会是什么样子?

尽管数字领域充满了挑战, 它还提供了改进第三方风险管理的机会. 这些改进包括:

• 与现有系统的集成提供额外的信息或引发风险的因素. 这方面的一个例子是，一旦第三方加入采购系统，就将采购系统与TPRM系统结合起来, 它将触发向TPRM系统发出通知，通知添加了新的第三方，并且需要遵循TPRM步骤的其余部分.
• 集成专用平台的外部扫描资产-是否可以通过将TPRM系统与提供技术网络安全评级的平台集成来实现，这些平台被动地评估第三方，不触及他们的系统或网络资产.⁴ 该评级与尽职调查评估一起使用，并为如何评估第三方增加了额外的视角.
• 人工智能和聊天机器人利用机器阅读和互动沟通，在第三方尽职调查过程中启用和减少时间. 政策可以由第三方提交，作为与特定控制有关的证据, 以及通过人工智能阅读器, 该策略被视为可接受或不可接受，并返回有关该策略的信息, 这有助于个人执行审查(从而减少第三方和审稿人的时间).

这些改进可以通过拥有实时数据(不依赖于人工干预)来帮助组织受益。, 使用自动化信息, 减少对第三方完成评估的依赖, 因此，在处理TPRM时创造了更多的灵活性.

建立一个成功的TPRM项目

随着信息的发展，数据的共享和存储方式也在发生变化, 在使用第三方服务时，组织了解相关风险是至关重要的. 随着TPRM的发展，组织希望建立或成熟一个成功和全面的TPRM计划, 可采取的一些措施包括:

• 在董事会层面建立对TPRM的认识
• 在查看TPRM时应用集中的供应链视图. 这包括涉及其他风险领域，例如法规遵从性, 网络安全, 隐私, 操作, 声誉, 等.
• 确定适合组织的正确模型，无论是集中式、分散式还是混合式
• 在包含正确资源模型的同时，对实际成本进行预算
• 通过从一开始就自动化TPRM并利用集成来加入数字化之旅, 外部环境扫描, 和人工智能

结论

随着数字领域的发展和对第三方实体的依赖升级, 组织面临着前所未有的风险，需要一个正式的TPRM程序.

本文提出了克服挑战的解决方案，例如组织中TPRM的所有权. 它提供了改进第三方风险管理的机会，在处理TPRM时使用技术进行集成并变得更加敏捷.

虽然数字环境的变化无常及其相关风险放大了与第三方合作的不确定性, 与此同时，它引发了加强此类风险治理的创新策略激增. 因此, 接受这些策略是很重要的, 因为它们为降低风险和确保成功的第三方合作提供了一个健壮的框架.

尾注

¹ 默比乌斯咨询, 保护数字信任，2023
² Putrus R.; “基于风险的第三方数据安全、风险与合规管理方法“ISACA^®2017年9月12日
³ Catalant。”你需要知道的关于卓越中心的一切， 2021年7月9日
⁴ Blackkite。”技术网络安全等级， 2021年4月27日

坎迪斯杰克逊, CDPSE, CIPP/E, CGEIT, CRISC, CISA

是南非莫比乌斯咨询公司的首席顾问. 她在治理方面有12年的IT咨询经验, 信息隐私, 以及第三方风险管理领域.

她有解决问题和创新思维的热情. 当第三方风险管理(TPRM)还是一个非常新的话题时，她率先提出了这一领域的思想. 通过借鉴经验教训和行业经验, 她已经并且仍然在寻找小规模运行第三方实施程序的改进方法, 媒介, 大型组织. 她一直在寻找TPRM的创新，以及如何以一种实际的方式利用现有的业务能力和使用最有效的技术来实现这一创新.