第三方风险问卷方程不加起来:正确的意图,错误的执行
观点来自前CISO /方案
我的第二个博客在本系列中,我想分享我的想法在我最喜欢的科目:第三方风险管理(TPRM)。更具体地说,我将主要集中在接收方的方程——即。应对和处理外部询问您的组织作为一个第三方。这个经常需要填写调查问卷的形式,但也包括正式的审计,面谈和自动化的使用风险识别解决方案。
事务的当前状态
地平线的持续扩张我们的风险只会让TPRM更重要,同样困难。数字转换、云迁移和利用saas解决方案都给这个方程。我们的数据建立其他实体的控制下,这意味着我们有有限的控制在最好的情况下,使TPRM关键功能。当前的方法让以一种有意义的方式应对困难,如果没有,在很多情况下,是不可能的。麦克斯韦聪明会说,“错过了那么多!“虽然,如果他在谈到TPRM时,他可能会说,“错过了一英里。“我对等会话数年前的国务院TPRM现在认为,我们显然会有这个发现。然而,事实是,我们没有任何好转。事实上,我认为它变得更糟的是,在某些情况下更糟。
的主要挑战
我处理一些更重要的问题在过去的10年是最好的挑战,和一些几乎不可能克服与当前事务的状态。更糟的是,许多人不是相互排斥的。考虑以下挑战:
- Nonapplicability。公司很少花时间专注的问卷调查,审计,甚至合同在实际适用或范围。相反,他们把一个放之四海而皆准的方法。这经常导致过于广泛的评估,导致误导或不准确的结论。
- 坏形式——这一切。有趣的是得到一个500 +的问题文档,通常在一个不切实际的期限,写得很差,不允许你提供有意义的和适用的反应。
- 无法使用开箱即用的风险识别。风险识别平台可能是有用的,我已经使用他们之前。在几乎所有情况下第三方制作的一份报告这些工具之一,然而,它包括一切在我们的公共IP空间,这通常是太广泛而无关紧要。因此,我们花了很多时间解释为什么他们看不适用。
- 谁最终控制响应的问题。有时销售、采购、法律或公司的另一部分负责结果。这些群体主要是关心完成响应而不是理解响应的细微差别。在我担任CISO /方案,我不能告诉你多少次合理的常识性的编辑和/或拒绝你处理的人没有真正的既得利益在准确性和简单地试图把它完成。使用雇佣公司(公司)之外的一方管理过程和反应只会让事情变得更糟。
那么答案是什么呢?
我们应该关注我们的轮子旋转,而不是在我们无法控制的。
对于你们中那些创建调查问卷:
- 你在找关注是什么和相关风险。停止试图把所有东西都塞在一个放之四海而皆准的方法。另一个需要的变化是决定广泛回顾你真的需要进行。应该有区别的回顾和全面审计和认证工作。
- 不要重复已经做了什么。如果问题有一个有效的解决方案/产品,目前,及相关认证——即。、PCI、ISO、FedRAMP HITRUST -为什么我们问同样的问题关于控制,流程,和工具已经覆盖和验证?问一个合理数量的相关问题,并不是由认证是可以的,但我们不应该每次都重新发明轮子。
对于你们中那些应对问卷:
- 功能失调的轮回。提供相关的认证和测试结果,然后有一个客户或合作伙伴基于拉/审查信息审查的范围问题。这也可能是有益的评论相对于保险。都是同样的问题被要求100个不同的方面,无情。
- 不要等待监管机构拯救你。我们可能没有通用的风险评估标准和格式,但这并不意味着我们不能创造最佳实践如何做到这一点比我们现在这样做。创建一个目录的综合响应是一致的,与尽可能多的审计证据,根据需要更新,并利用自动化尽可能得到这个信息。
同时,确保你看看Forrester的正在进行的研究企业风险与合规。新执行伙伴(EP)的安全性和风险,我非常期待与Forrester客户迫切的话题如今天的主题,TPRM。EP是一对一的伙伴关系与前高管在这个角色,具有相当丰富的经验作为共鸣板,提供持续的可操作的建议施加Forrester的全面丰富的信息和专业知识。客户端也有提供全面服务的基准测试,研究工具,数据和其他相关专家。
