安全领导者处理第三方风险的更好方法

帕特里克·戈尔曼(Patrick Gorman)分享了思维方式的转变,以改善我们处理和保护数字供应链的方式,第三方风险和整体安全性

风险复杂度
Thinkstock

您的供应链中有多少个合作伙伴?您的数字供应链如何?

更重要的是,您对他们的行为和保护公司信息和声誉的能力有多自信?

我最近与Patrick Gorman(领英),策略主管& Product, Cyber​​GRX关于我们如何处理数字供应链的方法落后于物理领域-以及我们今天可以做些什么。

作为策略和产品负责人,Patrick负责开发Cyber​​GRX的策略和整体产品设计。在加入Cyber​​GRX之前,高曼曾在Bridgewater Associates担任首席安全官(CSO),在美国银行担任首席信息安全官(CISO),并在国家局长办公室担任负责技术和战略的国家情报副总监(ADNI)。情报(ODNI)。

Cyber​​GRX的Patrick Gorman

Cyber​​GRX的Patrick Gorman

我们谈论了我们努力了解(或试图)由谁来接触实际供应链中的内容的工作。我们甚至谈到了我们如何使用数字元素甚至“物联网”(IoT)来改善我们跟踪和保护实物供应链的方式。

然而,在数字领域,我们努力了解自己,我们的产品和我们的合作伙伴。物联网元素和改进我们的物理供应链的进展将使数字供应链更加复杂。

这就是为什么现在该采用更好的方法了。帕特里克(Patrick)分享了很多想法-包括对导致我们陷入困境的见解。包括我们的复杂性问题。

安全性具有复杂性问题意味着什么?

外包,全球化和业务数字化的结合产生了新的安全性和弹性风险,许多企业刚刚开始解决这些风险。大型公司通常有数以万计的供应商,供应商和关联公司,而较小的初创公司则可以有数十个供应商和供应商。管理这个数字生态系统是一个真正的挑战。现在是董事会一级的问题。每个人都在问的问题是:“您对供应商和供应商做什么?”同时,大多数公司都在对第三方施加递归,不一致的评估标准。每个第三方都有他们自己的具有相同需求的客户。所有这些都造成了我们几年前通过共享评估来解决的复杂性水平。

这种方法取得了一定程度的成功,但是却产生了很多开销。

第三方必须回答成千上万的问题,每个人都可以量身定制自己的版本以包含他们的需求。这是朝着正确方向迈出的一步,但却加剧了当前的许多复杂性。

以合规心态来实现安全性的缺点是什么?

安全的基本模型应基于演进和速度。遵从性是根据通常经过数年的审议过程制定的标准在某个时间点进行的评估。这就是大多数政府和行业驱动的标准和评估标准的制定方式。我们需要通过基于风险的方法对过去的情景评估进行持续评估和演变。有两件事。首先是通过不断地观察自己并发展自己的能力,您可以避免年度评估带来的麻烦。第二点是,公司可能会从基于合规性的评估中解决五件事,但与降低风险没有关联。

那是个问题。过多的法规和合规性要求导致了昂贵的转变,公司倾向于使用合规性检查表,而不是从威胁,漏洞和风险的角度来看待检查表。他们需要问:“我的业务的价值驱动力是什么?我的数字生态系统是什么样的?我最重要的数字资产是什么?我接触了什么?我该如何减轻这种情况?接下来我需要担心的是什么?”这种情况是保持最新动态的关键。

这是否意味着复杂性问题和合规心态是成本?

从那时起有了萨班斯-奥克斯利法案(Sarbanes-Oxley)和所有新法规,只有巨人公司才能负担起一小撮可以在全球竞争的合规专业人员和顾问队伍。我的顾问没有问题,但是公司应该重新利用这些人才,以根据风险来缓解和实施变更。

例如,一旦他们理解了问题,他们的重点应该是设计,实施和运行公司的身份和访问管理系统。那对我来说是增值的。进行昂贵的,偶发的问题安全评估不是。几年前,当我在情报界时,我们遇到了“浴缸问题”。我们花了所有的时间来收集和处理信息,但是很少花时间分析和传播它。我们需要扭转曲线,将更多的时间用于设计和解决问题上,而不是进行昂贵的调查和过分华丽的策略。

还需要一个平台来尽可能地自动执行此操作。考虑一下Intuit如何通过出色的设计和可访问的内容简化税务准备。我们将其视为Uber的平台,驾驶员和车手都能从中受益。在这种情况下,平台应将客户和第三方联系在一起,以通过技术和协作解决问题,在降低成本的同时降低风险。

那么安全领导者需要专注于增加价值而不是增加成本吗?

当我们谈论供应商与客户的关系时,它需要从对抗性转变为协作性。我认识的最好的安全领导者充当供应商的合作伙伴,并指导所有相关人员,而不是说:“您没有遵从法规,因此您不会获得合同。”参与和协作是关键。这就是它成为增值生态系统的方式。

至关重要的是将我们的思维和文化转变为更加开放和协作,以帮助我们生态系统中的人们解决问题并确定最佳实践。这超出了机械共享的信息共享的范围。合作是人类的,也是高价值的。如果我们可以让安全领导者以这种方式思考和采取行动,那么我们防御自身的能力将发生巨大的飞跃。

安全领导者可以做些什么来入门?

首先是了解您的业务和您的行业。那是大多数安全领导者所没有的背景。没有这种背景,就很难理解威胁以及重要和不重要的内容。

其次,了解您的生态系统。您的企业在生态系统中运作。您拥有客户,供应商,合作伙伴和子公司-所有这些都以某种方式触及您的数字资产。您需要花一些时间来了解他们是谁,他们在哪里以及他们如何与您合作。

第三部分是了解您的风险在生态系统中的位置,并根据这些风险调整控制措施。

完成此操作后,您将可以更好地与第三方合作,以协作的方式减轻这些风险,就像我们之前提到的那样。例如,如果您的第三方在与他们合作之前需要实施多因素身份验证,并且已经完成了该工作,则指导他们进行操作。

最后,信任但要验证。请在三到六个月内与他们联系,以查看他们是否已纠正您所确定的风险。如果他们还没有这样做,就会使您面临风险。

如果按此顺序执行这些操作,则无需雇用大量顾问,您将获得不可思议的价值。

相关视频:

版权© 2016 IDG通讯,Inc.