Logo Zephyrnet

Cách các tổ chức có thể duy trì chương trình quản lý rủi ro của bên thứ ba từ ngày đầu tiên

Ngày:

Trong podcast này được ghi tại Hội nghị RSA 2020, Sean Cronin, Giám đốc điều hành của Quá trình thống nhất, nói về tầm quan trọng của việc quản lý rủi ro của bên thứ ba và cách các công ty có thể bắt đầu với một quy trình đã được chứng minh hiệu quả.

chương trình quản lý rủi ro của bên thứ ba

Đây là bản ghi của podcast để bạn tiện theo dõi.

Chúng tôi ở đây với Sean Cronin, Giám đốc điều hành của ProcessUnity. Bạn có thể cho tôi biết về công ty và những loại dịch vụ và sản phẩm bạn cung cấp?

Trước hết, rất vui được gặp bạn. Cảm ơn đã dành thời gian với chúng tôi. Tại ProcessUnity, chúng tôi có nền tảng tuân thủ và rủi ro quản trị, đó là nền tảng dựa trên SaaS. Của chúng tôi sản phẩm hàng đầu là một sản phẩm quản lý rủi ro của nhà cung cấp thực sự tập trung vào việc quản lý rủi ro và nhà cung cấp của bên thứ ba.

Ngày nay, chắc chắn rất nhiều ngành công nghiệp được quản lý chặt chẽ, các công ty dịch vụ tài chính, công ty chăm sóc sức khỏe, công ty dược phẩm, đang bắt đầu quan tâm đến việc nhà cung cấp của họ là ai, nhà cung cấp của họ, bên thứ ba của họ và cách dữ liệu của họ được tiếp xúc hoặc cách họ ' đang sử dụng dữ liệu đó. Chúng tôi giúp họ hiểu mối quan hệ đó.

Tại thời điểm này, chúng tôi đang phát triển khá nhanh vì đó chắc chắn là một không gian nóng. Chúng ta đã nói trước đó, rủi ro của bên thứ ba đang trở thành loại ưu tiên hàng đầu đối với nhiều tổ chức. Và bây giờ chúng ta đang thấy các tổ chức, không được quản lý chặt chẽ, bắt đầu nói: “Chúng tôi hiểu được người mà chúng tôi đang kinh doanh cùng là rất hợp lý”. Và sau đó khi chúng tôi mở rộng dấu chân đó, chúng tôi cũng giúp những người trong các trụ cột rủi ro khác, những thứ nằm ngoài rủi ro của bên thứ ba như chính sách và thủ tục, quản lý hợp đồng. Chúng tôi đang làm nhiều hơn trong các lĩnh vực rủi ro tiềm ẩn của bên thứ ba.

Hãy cho người nghe của chúng tôi biết lý do tại sao các công ty nên chú ý đến quản lý rủi ro của bên thứ ba?

Các bên thứ ba chắc chắn đang có nhiều liên quan đến vi phạm dữ liệu ngày nay. Bạn đọc bất kỳ nghiên cứu nào, Deloitte, Ernst & Young, bất kỳ nghiên cứu không thiên vị nào ngoài kia, một số vi phạm dữ liệu thực sự đến từ các bên thứ ba và nhà cung cấp, để chúng tôi nhận ra rằng bạn có thể kiểm soát được bốn bức tường hoặc tường lửa của mình , nhưng những gì bạn đang làm với các nhà cung cấp khác và những người khác trong chuỗi cung ứng của bạn, chắc chắn sẽ khiến dữ liệu của bạn gặp rủi ro. Chúng tôi nghĩ rằng điều đó chắc chắn quan trọng.

Rất nhiều ngành công nghiệp được quản lý chặt chẽ này đang thực sự được kiểm toán và kiểm tra để hiểu cách họ hiểu hệ sinh thái của các bên thứ ba. Nhưng chúng tôi cũng thấy nó đi xuống thị trường. Không chỉ các ngành được quản lý chặt chẽ, mà các lĩnh vực khác và ngành dọc khác đang bắt đầu thực sự suy nghĩ về cách họ tương tác với các bên thứ ba, dữ liệu họ đang chia sẻ và loại giá trị họ có thể nhận được từ các bên thứ ba đó.

Họ có hiểu các chỉ số, các phép đo mà họ đo lường các nhà cung cấp đó không? Họ đang nhận được những gì họ đã trả cho? Họ có đạt được mức hiệu suất như mong đợi không? Và vì điều đó, tôi nghĩ chúng ta có thể tối ưu hóa rất nhiều mối quan hệ đó và giúp họ hiểu rõ hơn về hệ sinh thái mà họ hành xử.

chương trình quản lý rủi ro của bên thứ ba

Nó có vẻ như là một ngành công nghiệp thực sự phổ biến. Vì vậy, bạn thấy ProcessUnity khác biệt như thế nào trên thị trường?

Trước hết, chúng tôi thực sự đã dành thời gian để thuê các chuyên gia về chủ đề trong ngành của chúng tôi. Chúng tôi có rất nhiều học viên có nhiều năm kinh nghiệm về rủi ro quản trị và tuân thủ. Họ đã chạy các chương trình rủi ro của bên thứ ba cho một số ngân hàng và tổ chức tài chính lớn nhất trên thế giới. Họ đã chạy các chương trình rủi ro tại các ngành được quản lý chặt chẽ. Con người của chúng ta, trước hết, là một sự khác biệt lớn.

Thứ hai, sản phẩm của chúng tôi. Nó cực kỳ dễ cấu hình, cực kỳ dễ sử dụng. Nhưng đó là một điều phổ biến mà mọi người khẳng định. Tôi thực sự muốn nói rằng nó dễ quản lý. Một số nền tảng, nếu bạn muốn, chúng tôi sẽ cạnh tranh. Bạn có thể làm những điều đó, nhưng bạn cần phải trả tiền cho các nhà phát triển CNTT hoặc các nhà phát triển khác hoặc thậm chí là công ty mà bạn mua hệ thống, để cấu hình nó cho bạn. Từ quan điểm của chúng tôi, chúng tôi muốn trao quyền cho khách hàng của mình để thực sự chạy các chương trình và tự định cấu hình các ứng dụng. Và vì vậy, từ góc độ đó, tôi muốn nói, dễ quản lý.

Nó cũng dễ sử dụng. Đầu tiên và quan trọng nhất, không chỉ cho khách hàng của chúng tôi, mà cho các nhà cung cấp. Vì vậy, hãy nghĩ về nó, nếu bạn là một nhà cung cấp quan trọng trong một ngành dọc như dịch vụ tài chính, bạn sẽ nhận được một triệu bảng câu hỏi trong số này. Sẽ thật tuyệt nếu khi bạn tham gia, một cuộc khảo sát đơn giản để theo dõi mà bạn có thể nhấp vào và thêm các chính sách và thủ tục, đồng thời kết nối mọi thứ thực sự đơn giản và dễ dàng?

Và đó là một trong những điều tôi tự hào vì thỉnh thoảng một số khách hàng lớn của tôi lại nói "này, tôi vừa nhận được email này từ một nhà cung cấp" và họ nói "này, chúng tôi vừa điền vào bảng câu hỏi của bạn, và nó là một trong những hệ thống dễ sử dụng nhất ”. Và tôi nghĩ theo quan điểm của tôi, đó là chúng ta đang là những người quản lý tốt cho các công ty của chúng ta ngoài kia, những người cung cấp. Chúng tôi cũng là một nhà cung cấp. Chúng tôi đang giúp loại bỏ sự mệt mỏi của nhà cung cấp vì điều này chỉ giúp mọi người muốn truy cập, điền thông tin của họ dễ dàng hơn, chủ động hơn với người dùng cuối của họ và thực sự cung cấp thông tin phù hợp. Đó là một điểm đáng tự hào đối với tôi, chắc chắn, rằng các nhà cung cấp và các bên thứ ba khác giống như điền thông tin và tìm thấy nó rất trực quan.

Với tất cả những điều đó, bạn sẽ đưa ra lời khuyên nào cho một công ty đang muốn bắt đầu chương trình quản lý rủi ro của bên thứ ba?

Đầu tiên và quan trọng nhất, cho dù đó là với sản phẩm của chúng tôi hay các sản phẩm khác, hãy nghĩ xem tại sao bạn lại làm điều đó, đúng không? Suy nghĩ về những gì bạn đang làm với chương trình rủi ro của bên thứ ba. Những gì bạn muốn đạt được. Và rất nhiều người từng nói với tôi từ góc độ quản trị, rủi ro và tuân thủ: “Tôi muốn vượt qua kỳ kiểm tra của mình. Đó chưa đủ tốt. Hãy nói cho tôi những gì bạn muốn hiểu ”. Và một số CISO, CIO, giám đốc mua sắm của tôi nói: “Chúng tôi muốn có một đại diện địa lý về dân số nhà cung cấp của chúng tôi. Hãy xem cách tập trung địa lý trông như thế nào. Hãy xem xét kho hàng của nhà cung cấp. Chúng ta có chồng chéo không? Chúng ta có quá nhiều nhà cung cấp trong một khu vực cụ thể hoặc các bên thứ ba trong một khu vực cụ thể, nơi chúng ta có thể thống nhất với các phương pháp hay nhất? "

Tôi chỉ nêu bật các phương pháp hay nhất. Đi với ai đó hiểu những thách thức rủi ro của bên thứ ba. Ngày nay, rất nhiều người, bởi vì đó là một không gian nóng như vậy, mọi người đang nói: "Ồ, tôi mạo hiểm với bên thứ ba!" Nhưng khi bạn đào sâu hơn một chút, bạn thấy rằng họ không có chuyên môn sâu. Và vì vậy, bạn muốn ai đó mà bạn muốn hợp tác để thực sự có thể mang lại các phương pháp hay nhất cho tổ chức của bạn. Bởi vì nếu bạn là một tổ chức đã trưởng thành, chúng tôi có một sản phẩm thực sự mạnh mẽ và chúng tôi có thể định cấu hình nó theo các trường hợp sử dụng chính xác của bạn và chúng tôi có thể làm cho nó hoạt động cho bạn.

chương trình quản lý rủi ro của bên thứ ba

Nhưng điều gì sẽ xảy ra nếu bạn còn non nớt hơn một chút trong lĩnh vực quản lý nhà cung cấp và bên thứ ba này? Đừng lo lắng. Chúng tôi có một sản phẩm thực tiễn tốt nhất. Nó thực sự là một loại giải pháp chìa khóa trao tay, thực sự sẽ có các quy trình làm việc, ca sử dụng, tất cả các vai trò người dùng, tất cả các bảng câu hỏi được thiết lập sẵn cho bạn. Vì vậy, nếu bạn chỉ muốn bắt đầu và bạn muốn có thêm khả năng thực hành tốt nhất theo quy định của mình, chúng tôi cũng có thể trợ giúp bạn.

Nếu bạn mới bắt đầu trong lĩnh vực này, tôi sẽ nói rằng hãy nhìn xung quanh. Nó quan trọng. Và sau đó thực sự xem xét những người mà bạn đang cố gắng làm việc cùng và độ sâu mà họ hiểu về lĩnh vực quản lý rủi ro của nhà cung cấp và bên thứ ba. Và nếu nó có ý nghĩa, một chương trình out of the box như chúng tôi có là một khởi đầu thực sự tuyệt vời.

Điều quan trọng nhất về sản phẩm out of the box, và các nhà chiến lược sản phẩm và giám đốc sản phẩm của tôi luôn bắt tôi phải hứa điều này - nó được tạo sẵn, nhưng bạn có thể định cấu hình và làm cho nó tốt hơn. Vì vậy, bạn có thể hoàn thiện nó khi chương trình của riêng bạn đạt được mức độ trưởng thành đó, đưa nó lên cấp độ tiếp theo.

Cảm ơn bạn vì những hiểu biết sâu sắc Sean! Có điều gì khác bạn muốn chia sẻ với đối tượng Help Net Security không?

Tôi nghĩ rằng vào cuối ngày, tôi đã đề cập đến nó trước đó, rủi ro của bên thứ ba là ưu tiên hàng đầu của thế giới, đó là loại ưu tiên rủi ro đầu tiên. Nó không còn là "tốt đẹp khi có". Thực tế là, việc hiểu bạn đang làm ăn với ai và dữ liệu của bạn ở đâu, dữ liệu khách hàng của bạn, nếu bạn đang chăm sóc sức khỏe, dữ liệu bệnh nhân của bạn sẽ không bao giờ lỗi thời.

Vì vậy, hiểu hệ sinh thái đó, hiểu cách bạn tương tác với các bên thứ ba đó thực sự quan trọng. Vì vậy, chúng tôi chỉ nhấn mạnh rằng. Hãy nghĩ về nó, cho dù bạn đang ở trong một ngành được quản lý chặt chẽ hay một ngành dọc khác, điều thực sự quan trọng là phải nghĩ về hệ sinh thái đó trông như thế nào.

Tôi chỉ muốn bạn kết thúc bằng cách mời thính giả vào trang web của bạn để biết thông tin về các sản phẩm và giải pháp của bạn. Chỉ cần cung cấp URL và mời họ đến với trang web.

Chắc chắn chúng tôi đánh giá cao thời gian của bạn và chào mừng mọi người đến thăm trang web của chúng tôi - www. processunity.com. Chúng tôi có nhiều thông tin, tài liệu để giúp bạn hiểu về không gian. Nó mang tính giáo dục cũng như chắc chắn có rất nhiều thông tin về tất cả các dịch vụ sản phẩm của chúng tôi và chắc chắn rất nhiều trường hợp sử dụng của chúng tôi từ khách hàng và các lĩnh vực khác.

Nguồn: https://www.helpnetsecurity.com/2020/03/16/third-party-risk-management-program/

tại chỗ_img

Tin tức mới nhất

tại chỗ_img