GRC编程:第三方安全Web

治理, 风险管理和合规(GRC)是不断发展的学科与不断变化的身份. 随着越来越多的审查和监管的出现, 领导团队和董事会已经意识到，他们没有完全掌握自己的信息安全成熟度级别，以及如何提高级别以满足各种遵从性标准和要求.

GRC从业者遇到的众多挑战之一是第三方风险管理. 当想到GRC, 特别是对于第三方的治理, 它可以被看作是一个巨大的网络和连接. 在网络的中心是组织的发光，蓬勃发展的心脏. 组织扩大了对第三方的依赖, 造成危险, 无限的第三方关系网络. 与供应链和分包商的关系进一步扩展了这个网络. GRC在第三方连接网络中的位置? GRC的作用是确保这些扩展的澳门赌场官方下载关系共享定义核心组织的相同价值观和对完整性的承诺. 当组织必须管理性能目标时，管理这个网络变得更具挑战性, 关系中的风险和遵从性, 合同, 设施和服务水平.

未知的风险

通过合并和收购以及增加新客户和内部员工进行扩张的组织通常会无意中创建操作筒仓. 通常, IT安全团队拥有专注于安全性的流程和技术, 澳门赌场官方下载合规和道德团队关注反洗钱法律和腐败问题, 会计团队有2002年美国萨班斯-奥克斯利法案(SOX)的合规要求. 每个业务单位都有自己的管理第三方关系的程序. 这些竖井导致无法全面了解这些关系中的风险暴露范围. 即使是大, 复杂而关键的业务操作web扩展通常依赖于每年一次的审计或安全调查问卷. 通常，这些关系的治理是缺失的. 组织可能会忘记解释这些第三方关系如何交付组织的目标和价值观的绩效和目标. 经常, GRC专家忽略了向高管提供第三方风险“那又怎样”的背景, 比如风险对运营意味着什么, 收入, 人员编制和预算.

例如, 数据泄露等网络事件往往是第三方风险管理的严重关切. GRC专家必须提供:

• 关于第三方与主要组织的关系的上下文
• 数据泄露对公司主要资产的影响
• 潜在的损失或影响值或损失的运行时间
• 任何可能向州和联邦监管机构披露的信息

对于GRC专家来说，要回答第三方风险的“那又怎样”是一个挑战，因为存在未知的威胁，并且需要量化网络事件的经济损失，并估计网络事件对组织的影响时间，这一要求具有挑战性，几乎是不可能的. 应对这些挑战的一个解决方案是战略性的GRC第三方风险规划，它将支持所有业务单位之间有效和标准化的通信，并捕获有意义的指标.

筒仓断路器

以第三方编程为重点来改造GRC, 战略目标和方向要明确, 包括:

• 基于减少第三方给组织带来的风险的目标对组织进行评估
• 与更广泛的业务战略保持一致
• 理解纯粹基于业务需求的评估不会在战略上降低风险

组织将如何超越这种孤立的，对第三方风险的片面看法? 在一个整体的GRC项目中, 这意味着组织能够可靠地实现目标(治理)，同时处理不确定性(风险管理)，并在第三方关系网络中和跨第三方关系网络中以完整性(遵从性)行事. 在这个模型中，每个关系仍然有一个相互关联的目的.

组织可以通过基线化和标准化关键绩效指标(kpi)来开始成熟和转变他们的第三方GRC计划。, 如何衡量第三方GRC功能和流程的性能和有效性, 及主要风险指标(KRIs), 哪些因素决定了组织面临的风险有多大，以及采用何种风险处理计划.

衡量结果驱动的GRC能力的一些最佳度量是量化的和平衡的风险分析, 供应商威胁情报, 上下文驱动的遵从性以及供应商覆盖范围的全局和局部视图. 具有量化和平衡的风险, 组织可以分析和了解与供应商开展业务的风险以及相关的缓解措施.

具有量化和平衡的风险, 组织可以分析和了解与供应商开展业务的风险以及相关的缓解措施.

供应商威胁情报是通过供应商库的开源情报数据收集的. 该度量的一个例子是，在威胁情报显示不良事件后，内部客户经理的平均确认时间(MTTA). 上下文驱动的遵从性建立在对第三方的上下文和承诺的理解之上. 供应商在多大程度上符合组织的内部控制环境? 最后, 建立第三方组织的全球视角和本地视角, 必须了解全球供应商的足迹. 组织应该创建供应商足迹的完整覆盖概况，并确保它们适合全球业务.

倡导有意义的指标

第三方GRC编程的存在是为了有效地量化和管理供应链中的风险. 组织如何向业务涉众报告风险与捕获和量化风险一样重要. 然而, 如果报告很复杂，报告的价值就会被否定, 很难理解，而且没有放在语境中. 成熟的第三方GRC程序从电子表格发展到专门构建的平台，提供所需的数据多方利益相关者视角. 安全团队本身并不负责降低供应链风险. 组织需要有意义的度量标准来通知其他涉众他们需要采取的行动，以集体管理风险.

包含有意义的度量标准允许程序的成熟度从被动的状态发展到具有主动的安全状态. 许多组织停留在头痛和痛苦的反动阶段之间, GRC从业者在处理电子邮件, 电子表格, 文件和其他工具. 最终, 程序以编程方式移动，并对供应商进行优先级风险管理, 但这个过程是静态的, 时间点和手动. 然而, 与指标, 编程可以脱离这种手动电子表格流程，并根据与组织相关的标准自动对供应商进行评估, 与外部验证评估, 连续的网络, 商业和金融风险监控智能.

此外, 第三方GRC编程最终可以主动和持续地进行评估, 通过使用内置的补救指导和最佳实践修复必要的内容，监控并消除供应商风险.

交付的解决方案

尽管在一个问题上投入更多的技术并不是唯一的解决方案，但它可能是有帮助的. 第三方GRC编程是健壮的，通过技术和GRC指标捕获工具，组织可以聚合有意义的数据和指标，并通过标准化组织如何挑战GRC来打破孤岛. 只有少数软件即服务(SaaS)第三方风险管理工具被设计用于促进第三方风险管理. 同时不要让公司陷入绝望的状态, 鼓励GRC从业员使用开放合规及道德操守小组的 GRC能力模型.〇红皮书一个广受欢迎的GRC通用行业框架.¹ 组织还应该考虑建立一个包括技术和编程的路线图. 多年安全路线图考虑组织应该如何在与业务目标紧密结合的同时推进安全计划的实施. 路线图包括组织现有的安全计划，以及这些计划需要推进的地方，但要有远见和敏捷性，以考虑可能尚未发现或发明的工具和技术.

结论

有效的GRC编程建立了一种方法，以确保适当的人员在需要时获得必要的信息, 目标已确立, 适当的控制措施到位，以应对不确定的情况并采取行动. GRC越来越关注第三方风险管理. 通过第三方关系越来越多地使用共享IT资源加深了与第三方供应商关系相关的一些风险和挑战.

GRC项目已经实施了风险管理, 通常专注于网络安全和金融等关键领域. 第三方风险管理将这种想法转变为围绕供应商关系的细节. 第三方方法应该包括围绕政策的战略思考, 程序和过程, 评估供应商关系类似于其他风险管理解决方案. 成功, 组织必须提高弹性，并为中断做好准备，以保持相关性并交付价值. 一个高性能的GRC项目将通过平衡其系统的三个方面来实现普遍的结果:

• 通过识别相互关联的第三方风险网络，有效识别未知风险
• 高效地分解信息孤岛，并监控环境，以了解如何提高第三方关系的敏捷性
• 创建一个灵活且有弹性的第三方风险计划，以收集有意义的指标

尾注

¹ 公开合规及道德操守小组， GRC能力模型.0(红皮书)

罗德里克·钱伯斯，CISM, CISSP

担任公共和私营部门实体的信息安全和情报顾问. 他的职业生涯始于美国联邦政府, 特别是在情报界, 他在那里担任情报行动专业人员和技术收集负责人. 钱伯斯曾担任美国纽约州金融服务部网络情报部门的前副主管和主任. 作为一名职业安全情报专家拥有超过15年的现场经验, 他设计了, 在全球各种规模的组织中实施和支持信息安全计划.