【虹科干貨】如何解決安全問題？——重新定義與供應鏈伙伴的合作

2023年竟已接近尾聲，2024年又該如何呢？安全和第三方風險管理的正忙于總結過去，展望未來。調查顯示，僅有16%的組織表示，在過去的一年里他們有效地管理了第三方風險，我們需要重新審視現有流程效率的機會。

平均而言，一個組織會與88個第三方共享敏感或關鍵信息。對于員工超過10,000人的組織，這一數字增至173。這意味著第三方風險管理團隊需要花費大量時間進行評估，而安全團隊則需花費約三分之一的時間回應安全問卷。因此，與供應鏈伙伴合作是十分重要。

盡管在評估第三方網絡風險方面進行了大量投資，但是，在分析結果和確定組織接下來應采取行動之間仍然存在差距。大多數評估最終并未轉化為實際行動。

一、全球監管正在推動第三方風險管理的透明度

全球各地的監管和合規要求都在強調確保供應鏈的完整性。無論是美國最近的SEC網絡風險披露規則、澳大利亞的CPS-234、歐洲的DORA，還是加拿大的OSFI TPRM指南，第三方風險管理都是全球企業的關注重點。雖然一些監管嚴格的行業可能已經建立了成熟的第三方風險管理項目，但仍有許多組織現在才開始建立他們的項目。

這種監管重點為第三方風險管理和安全團隊在組織內部及與第三方合作伙伴之間的生態系統安全提供了新的機遇。組織需要重新考慮其第三方風險管理方法以及與供應商的關系。

二、通過合作提高全球安全水平

大多數安全評估每年進行一次，組織向其供應商發送安全評估，供應商的安全團隊需要幾天到幾周的時間來完成，完成后通常就不再有后續動作。這種傳統做法并不體現真正的伙伴關系。

現在，想象一下，如果安全團隊不是通過電子表格或ITVRM平臺進行年度評估，而是花時間與供應商合作，共享最佳實踐，并共同解決關鍵安全問題，情況將如何？如果一個擁有成熟第三方風險管理項目的組織能夠抽出時間與剛起步的供應商分享最佳實踐，會有什么效果？

這將建立一種真正的伙伴關系，供應商更有可能響應其客戶的需求，解決安全問題，并推動雙方的責任。最終，組織能夠通過評估加強與供應商的關系，并推動了安全的改善。

三、行動計劃介紹：與您的供應鏈伙伴無縫合作

什么是行動與計劃？這是一種讓組織與其生態系統無縫合作并提升安全級別的方式。行動計劃幫助客戶通過一個儀表板與內部利益相關者和第三方進行簡化的協作，生成動態的修復計劃，優先處理關鍵漏洞，分派特定人員解決問題，并實時查看進展，從而節省時間并減少生態系統風險。

行動計劃將通過以下方式根本改變第三方風險管理：

1. 能夠精確識別風險，并立即制定特定的修復計劃，以達到所需的評分，從宏觀到微觀，或是針對符合風險偏好的特定問題。

2. 實時掌握解決情況，能夠協作、獲取進展更新、提出澄清問題，并在一個儀表板上統一展示，簡化溝通成本。

3. 一個可擴展的工作流程，使第三方風險管理團隊能夠與整個供應鏈合作。對供應商解決狀態的整體視圖給安全團隊和VRM團隊提供了信心，讓他們知道注意力應該放在在哪里，哪里需要驅動規模解決。