評估供應(yīng)商風(fēng)險管理解決方案 需要考慮這7個關(guān)鍵點
今年,供應(yīng)商風(fēng)險管理(VRM)領(lǐng)域快速躋身熱門話題之列。好像無論轉(zhuǎn)到哪里,總有提供VRM解決方案的新公司冒頭。但正如安全行業(yè)中其他細(xì)分市場所見,VRM領(lǐng)域里的大多數(shù)供應(yīng)商也用的是千篇一律的營銷潮詞。一家一家看過去,好像他們的產(chǎn)品功能特點都是相同的。想要區(qū)別出這些一窩蜂冒出來的新廠商還真挺難的。
我們不難看出VRM的重要性。第三方給公司企業(yè)帶來的風(fēng)險應(yīng)作為任何策略性整體風(fēng)險管理的不可分割的部分加以理解和妥善監(jiān)管。大多數(shù)公司企業(yè)懂得這一點,也期待能在不遠(yuǎn)的將來解決該關(guān)鍵業(yè)務(wù)需求。于是,面對VRM市場上的各種王婆賣瓜,我們該怎么評估并區(qū)分不同的產(chǎn)品呢?
有7點可供參考:
1. 沒有通用這回事
雖然各種規(guī)定、標(biāo)準(zhǔn)和行業(yè)間在安全控制方法上確實有很大重合,但這種重合距離完全重疊還遠(yuǎn)得很。基于所處行業(yè)、公司規(guī)模、地理位置、數(shù)據(jù)類型、電子訪問方式等眾多因素,在評估第三方帶來的風(fēng)險時,公司企業(yè)考慮的重點各不相同。半導(dǎo)體行業(yè)的公司企業(yè)擔(dān)憂的地方,肯定與金融行業(yè)的不同。能源產(chǎn)業(yè)、醫(yī)療行業(yè)、政府部門等等各自有各自的考量。如果擺在你面前的VRM選項只有一套“通用”評估模式,不能導(dǎo)入專門解決你特定問題的自定義評估方法,那還是換一家看看吧。
2. 掃描不足
從外部掃描供應(yīng)商的邊界可以為其整體安全態(tài)勢提供有用的洞見嗎?當(dāng)然可以。但很遺憾,這種掃描本身存在不足。掃描無法告訴我們有關(guān)供應(yīng)商人員、過程和策略的信息,也無法告訴我們“內(nèi)部”的日常是怎樣的,更無法告訴我們供應(yīng)商是如何保護(hù)/毫不防護(hù)敏感信息的。而這些,全都是真正定義供應(yīng)商安全項目在管理和緩解風(fēng)險上表現(xiàn)的關(guān)鍵部分。
3. 指標(biāo)
在受電子表格、電話和面談驅(qū)動的VRM世界里,標(biāo)準(zhǔn)難找毫不令人意外。我們或許能夠針對少數(shù)供應(yīng)商收集數(shù)據(jù),給出有關(guān)他們各自安全態(tài)勢的評估。但在供應(yīng)商之間做比較?你想多了。跟蹤暴露出的問題/漏洞并及時加以解決?沒門兒。從集中式管理平臺內(nèi)部維持與供應(yīng)商之間組織良好且有記錄的通信?不行。了解每家供應(yīng)商的進(jìn)展和各不同門類供應(yīng)商每年的進(jìn)步?想都不用想。條分縷析各有側(cè)重的多種不同報告形成全面風(fēng)險評估?別再用老一套了。無法提供所有這些功能的VRM廠商?下一家下一家。
4. 基準(zhǔn)
知道供應(yīng)商給自家企業(yè)引入的風(fēng)險固然很棒,但知道自身風(fēng)險或供應(yīng)商給自己帶來的風(fēng)險相對于同樣地理位置、同個行業(yè)、相同公司規(guī)模或其他相同的其他公司的情況,不是更好?這可是VRM解決方案里面超級重要的一個方面。如果你的VRM提供商給不出基準(zhǔn),那還是考慮換一家吧。
5. 過程稱王
自動化VRM追求供應(yīng)商風(fēng)險評估過程自動化,摒除以往的電子表格、電話和面談方式。VRM應(yīng)能提供可從單一集中式界面快捷管理的端到端自動化過程。當(dāng)今時代,除此之外的都不過是古董級解決方案。
6. 別只告訴我哪兒出問題了
指出哪里出了問題只是個開始。建議怎么解決并提供全套無縫管理該過程的方法,才是自動化VRM的真正價值所在。以解決問題為中心的建議,以及全程監(jiān)管該解決過程所需的資源,是VRM解決方案的真正分水嶺。
7. 驅(qū)動決策
最終,公司企業(yè)需了解自身風(fēng)險,以此了解為基礎(chǔ),做出需采取哪些緩解措施的可行決策。可以被納入考慮的VRM提供商,必須是能驅(qū)動該決策過程,而不是對抗之的。
VRM市場玩家眾多是事實,市場噪音太大太混亂也是事實。話雖如此,依然有一些方法可供公司企業(yè)合理辨別各VRM產(chǎn)品,優(yōu)中選優(yōu)。
【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】
