想當(dāng)年,TPRM被設(shè)計(jì)為一種主動(dòng)措施,旨在保護(hù)企業(yè)的敏感數(shù)據(jù),加強(qiáng)數(shù)字基礎(chǔ)設(shè)施抵御外部風(fēng)險(xiǎn)的能力,然而,隨著時(shí)間的推移,這一初衷逐漸被扭曲。如今,TPRM更多地表現(xiàn)為一種走過(guò)場(chǎng)的儀式,企業(yè)為了應(yīng)付檢查而填寫(xiě)安全問(wèn)卷,卻并未真正解決潛在的安全問(wèn)題。
這一切的根源,在于安全行業(yè)與企業(yè)期望之間的錯(cuò)位。在追求合規(guī)性的過(guò)程中,企業(yè)過(guò)于依賴(lài)審計(jì)驅(qū)動(dòng)的框架,而審計(jì)人員則更看重文檔的完整性和可重復(fù)性,而非實(shí)際的安全效果。結(jié)果,TPRM失去了其原始意義,變成了一個(gè)基于安全假象的體系。
更糟糕的是,“勾選框文化”在TPRM內(nèi)部蔓延開(kāi)來(lái),成為了一個(gè)自我強(qiáng)加的負(fù)擔(dān)。安全問(wèn)卷,這個(gè)本應(yīng)是為了確保對(duì)第三方關(guān)系進(jìn)行徹底審查和真正風(fēng)險(xiǎn)緩解的工具,卻變成了復(fù)雜、冗余且有時(shí)毫無(wú)意義的文件堆砌。企業(yè)為了完成這些清單而疲于奔命,卻并未真正增加對(duì)安全風(fēng)險(xiǎn)的洞察力。
這種虛假的安全感不僅無(wú)效,還帶來(lái)了嚴(yán)重的后果。供應(yīng)商在接到一刀切的安全問(wèn)卷時(shí),往往感到“問(wèn)卷疲勞”,因?yàn)樵S多問(wèn)題與他們的具體角色或風(fēng)險(xiǎn)狀況并不相關(guān),這種缺乏定制和上下文的審查,最終只能淪為形式上的參與,而無(wú)法捕捉到現(xiàn)實(shí)世界中的復(fù)雜威脅。
問(wèn)題的根源還在于TPRM工具的激增。這些自動(dòng)化平臺(tái)雖然簡(jiǎn)化了安全問(wèn)卷的創(chuàng)建、分發(fā)和完成過(guò)程,但也無(wú)意中強(qiáng)化了勾選框的做法。許多評(píng)估在提供有意義的洞察力方面顯得不足,因?yàn)樗鼈兏嗟仃P(guān)注于形式而非實(shí)質(zhì)。
更關(guān)鍵的是,沒(méi)有任何一個(gè)核心監(jiān)管框架明確要求進(jìn)行安全問(wèn)卷流程,這讓我們不得不反思:我們究竟在為什么而忙碌?是真正的安全,還是僅僅為了應(yīng)付檢查?
管理TPRM的人員,即治理、風(fēng)險(xiǎn)和合規(guī)(GRC)專(zhuān)業(yè)人員,往往在監(jiān)管需求和網(wǎng)絡(luò)安全目標(biāo)之間尋求平衡,但依賴(lài)勾選框合規(guī)性卻提出了嚴(yán)重的問(wèn)題:這些把關(guān)者是否真正具備評(píng)估風(fēng)險(xiǎn)的能力?他們是否真正理解不斷演變的威脅和漏洞?
為了擺脫這種有害的循環(huán),企業(yè)必須從根本上改革其TPRM方法,這意味著采用一種真正基于風(fēng)險(xiǎn)的方法,超越簡(jiǎn)單的合規(guī)性,企業(yè)應(yīng)開(kāi)發(fā)具有針對(duì)性、實(shí)質(zhì)性的安全問(wèn)卷,優(yōu)先考慮深度而非廣度,深入探究供應(yīng)商的安全實(shí)踐。
此外,企業(yè)還應(yīng)與供應(yīng)商培養(yǎng)一種透明和協(xié)作的文化,當(dāng)TPRM成為一條雙向街道時(shí),供應(yīng)商被視為實(shí)現(xiàn)共同安全目標(biāo)的合作伙伴,而非單純的服務(wù)提供商,這種文化轉(zhuǎn)變有可能將TPRM從一種勾選框的活動(dòng)轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)安全中主動(dòng)且有效的部分。
同時(shí),重新定義GRC專(zhuān)業(yè)人員的角色也至關(guān)重要。他們不應(yīng)僅僅是合規(guī)執(zhí)行者,而應(yīng)成為具備網(wǎng)絡(luò)安全知識(shí)的風(fēng)險(xiǎn)合作伙伴,這種轉(zhuǎn)變不僅僅是內(nèi)部技能的提升,更是關(guān)于在各方之間創(chuàng)造共同的清晰性。
真正的TPRM不僅僅是評(píng)估供應(yīng)商的安全性,更是確保買(mǎi)方也知道自己的責(zé)任。當(dāng)雙方都明白自己所承擔(dān)的責(zé)任時(shí),這種關(guān)系就從合規(guī)劇場(chǎng)轉(zhuǎn)變?yōu)檎嬲穆?lián)合防御。
已經(jīng)接管TPRM的勾選框心態(tài)是我們?cè)斐傻膯?wèn)題,但也是我們有能力解決的問(wèn)題。通過(guò)采用一種更周到、更具戰(zhàn)略性的TPRM方法,企業(yè)可以超越主導(dǎo)當(dāng)前實(shí)踐的合規(guī)驅(qū)動(dòng)過(guò)程,將TPRM重新確立為其安全計(jì)劃中不可或缺的一部分,這需要我們挑戰(zhàn)現(xiàn)狀,投資于全面、基于風(fēng)險(xiǎn)的策略,以確保我們的數(shù)字安全得到真正的保障。
企業(yè)網(wǎng)D1net(m.hfnxjk.com):
國(guó)內(nèi)頭部to B IT門(mén)戶(hù),旗下運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專(zhuān)家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。旗下運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開(kāi)頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)