“入职和离职就是其中之一。这是我们审计的对象。当人们拥有访问权限的时间过长时,这是一个很大的风险因素。如果有人在离开公司后感到愤怒,而我们又不取消他们的访问权限。但最终,随着我们为组织采用更加分布式的模型,而这些其购买电话营销数据他团队负责访问管理,这就是共享责任模型的走向。你们可以管理新工具。你们需要构建新的工作流程。你们需要 NetSuite 来做一些具体的事情。太好了。继续吧。让我们来处理身份管理部分。让我们来处理这些方面,并向你们展示它是如何关联的。首先,因为它使审计变得更好,当你在 SaaS 应用程序中时,这些审计被用作客户尽职调查的一部分。所以它涉及销售流程。你不希望任何事情减慢销售流程并出现在审计报告中。那么,我们正在做的哪些事情是听不见的呢?入职和离职就是其中之一。”
电子表格让你在 SaaS 管理中失败
“作为首席客户官,如果你查看了 NPS 分数并发送了这些东西,但你只需发送一次,就这样。等一下,我们得到了我们的 NPS 分数。这就是我们未来 10 年一切的基础。这是一个常规过程。当我们进行这些对话并谈论我们的应用程序时,SaaS 公司尤其倾向于成为非常灵活的组织。但是公司,即使是一些更传统的商店,如果你开始进入医疗保健或金融服务领域,他们仍然在进行常规的采购流程。他们可能会对此更加严格,但对于 SaaS 应用程序,大多数公司通常流动得相当快。你制作的电子表格在你收集完所有数据之前就会不正确和不准确。一些供应商在你从财务部门获得数据后不到两天就会被淘汰。所以他们已经删除了系统,现在你要试着找到所有者,然后当你这样做的时候,三个星期后他们说不,我们已经删除了那个应用程序。你花了三个星期的时间。”
第三方风险与风险治理有关,而非安全问卷
“大多数公司如何运行第三方风险管理都是安全剧场。简单明了。关键在于我是否审查过他们是否拥有 SOC 2,我是否检查过他们的财务状未来的“欧盟太空法”:一些宪法考量况是否稳健?他们是否会成为一家持续存在的供应商?这不是第三方风险。那是你获取的某个时间点的数据,但其背后没有明确的背景。因此,当我查看安全第三方风险管理时,我会考虑这个供应商如何影响我公司的整体风险?他们有机密数据吗?是客户数据吗?是内部数据吗?如果是内部外部数据,我该如何保护这些信息?即使它是 SaaS 产品,我该怎么做?它是否支持多因素身份验证?我是否使用任何类型的安全密钥来保护它?我是否将其列入白名单,以便只能通过 ZTNA 工具访问?零信任网络访问工具。还是 VPN?我该如何保护它?”
“因为最终当人们想到第三方风险管理时,他们会想到安全问卷。我收到的安全问卷多达 800 个问题。实际上,891 是发送给我的最长的问卷,我将其退回并说,我绝对不会填写它……为什么我们要花费所有的时间和精力在与我们内部公司无关的部分流程上,因为我们无法控制它?我们在可以控制的事情上做了什么?……这就是第三方风险管理需要回到数据治理的地方。我们关心的是什么,我们正在做什么?我们的责任与 SaaS 公司将要做的事情相比是什么?我无法做任何事情来改变 Zylo 的安全计划,但我仍然会使用你们作为供应商,我会在电话行销名单它周围设置门禁和控制,以确保我尽可能地保护自己。”