今年,供應商風險管理(VRM)領域快速躋身熱門話題之列。好像無論轉到哪裡,總有提供VRM解決方案的新公司冒頭。但正如安全行業中其他細分市場所見,VRM領域裡的大多數供應商也用的是千篇一律的營銷潮詞。一家一家看過去,好像他們的產品功能特點都是相同的。想要區別出這些一窩蜂冒出來的新廠商還真挺難的。
我們不難看出VRM的重要性。第三方給公司企業帶來的風險應作為任何策略性整體風險管理的不可分割的部分加以理解和妥善監管。大多數公司企業懂得這一點,也期待能在不遠的將來解決該關鍵業務需求。於是,面對VRM市場上的各種王婆賣瓜,我們該怎麼評估並區分不同的產品呢?
有7點可供參考:
1. 沒有通用這回事:雖然各種規定、標準和行業間在安全控制方法上確實有很大重合,但這種重合距離完全重疊還遠得很。基於所處行業、公司規模、地理位置、數據類型、電子訪問方式等眾多因素,在評估第三方帶來的風險時,公司企業考慮的重點各不相同。半導體行業的公司企業擔憂的地方,肯定與金融行業的不同。能源產業、醫療行業、政府部門等等各自有各自的考量。如果擺在你面前的VRM選項只有一套“通用”評估模式,不能導入專門解決你特定問題的自定義評估方法,那還是換一家看看吧。
2. 掃描不足:從外部掃描供應商的邊界可以為其整體安全態勢提供有用的洞見嗎?當然可以。但很遺憾,這種掃描本身存在不足。掃描無法告訴我們有關供應商人員、過程和策略的信息,也無法告訴我們“內部”的日常是怎樣的,更無法告訴我們供應商是如何保護/毫不防護敏感信息的。而這些,全都是真正定義供應商安全項目在管理和緩解風險上表現的關鍵部分。
3. 指標:在受電子表格、電話和麵談驅動的VRM世界裡,標準難找毫不令人意外。我們或許能夠針對少數供應商收集數據,給出有關他們各自安全態勢的評估。但在供應商之間做比較?你想多了。跟蹤暴露出的問題/漏洞並及時加以解決?沒門兒。從集中式管理平臺內部維持與供應商之間組織良好且有記錄的通信?不行。瞭解每家供應商的進展和各不同門類供應商每年的進步?想都不用想。條分縷析各有側重的多種不同報告形成全面風險評估?別再用老一套了。無法提供所有這些功能的VRM廠商?下一家下一家。
4. 基準:知道供應商給自家企業引入的風險固然很棒,但知道自身風險或供應商給自己帶來的風險相對於同樣地理位置、同個行業、相同公司規模或其他相同的其他公司的情況,不是更好?這可是VRM解決方案裡面超級重要的一個方面。如果你的VRM提供商給不出基準,那還是考慮換一家吧。
5. 過程稱王:自動化VRM追求供應商風險評估過程自動化,摒除以往的電子表格、電話和麵談方式。VRM應能提供可從單一集中式界面快捷管理的端到端自動化過程。當今時代,除此之外的都不過是古董級解決方案。
6. 別隻告訴我哪兒出問題了:指出哪裡出了問題只是個開始。建議怎麼解決並提供全套無縫管理該過程的方法,才是自動化VRM的真正價值所在。以解決問題為中心的建議,以及全程監管該解決過程所需的資源,是VRM解決方案的真正分水嶺。
7. 驅動決策:最終,公司企業需瞭解自身風險,以此瞭解為基礎,做出需採取哪些緩解措施的可行決策。可以被納入考慮的VRM提供商,必須是能驅動該決策過程,而不是對抗之的。
VRM市場玩家眾多是事實,市場噪音太大太混亂也是事實。話雖如此,依然有一些方法可供公司企業合理辨別各VRM產品,優中選優。
閱讀更多 安全牛 的文章
