Bên thứ ba: Cơ hội và thách thức
Các tổ chức ngày càng dựa vào bên thứ ba để cung cấp nhiều loại hàng hóa và dịch vụ vì điều này hiệu quả và tiết kiệm chi phí hơn nhiều so với việc tự sản xuất mọi thứ. Thật không may, cách làm này cũng làm tăng rủi ro cho nhà cung cấp và các bên được cung cấp. Trong khi tội phạm mạng đang có xu hướng tấn công các bên thứ ba trong chuỗi cung ứng để đánh cắp dữ liệu nhạy cảm và làm gián đoạn hoạt động thì công tác giảm thiểu rủi ro các chuỗi cung ứng là một nhiệm vụ khó khăn nhưng quan trọng.
Khi các mối đe dọa của bên thứ ba ngày càng trở nên phức tạp, các tổ chức sẽ mất nhiều thời gian hơn để tìm hiểu và khắc phục rủi ro của bên thứ ba. Có những lý do chính như sau:
- Khối lượng dữ liệu mạng tiếp tục tăng, bắt nguồn từ số lượng nguồn cung ngày càng tăng. Số lượng lớn dữ liệu đòi hỏi nhiều thời gian và công sức hơn để phân tích và xem xét.
- Quá trình phân tích yêu cầu các loại tài liệu đa dạng, tùy thuộc vào bộ phận quản lý nhà cung cấp và những rủi ro mà họ muốn quản lý. Rủi ro có thể liên quan đến tài chính, hoạt động, tuân thủ, danh tiếng hoặc công nghệ thông tin, điều này làm mở rộng đáng kể loại tài liệu và kiến thức chuyên môn cung cấp cho việc phân tích.
- Các yêu cầu pháp lý hiện nay chưa rõ ràng, chồng chéo nhưng hệ thống văn bản pháp luật trong quá trình hoàn thiện ngày càng khắt khe, gây phức tạp cho việc khắc phục và báo cáo.
Khi nhiều tổ chức tiếp tục phải đối mặt với những thách thức về ngân sách và nguồn lực, vấn đề đặt ra là làm thế nào mà các nhà quản lý vẫn có thể thực hiện những cải tiến cần thiết để nâng cao hiệu quả của các chương trình quản lý rủi ro bên thứ ba (TPRM). TPRM cần thiết nếu các nhà lãnh đạo bảo mật muốn giảm nguy cơ vi phạm, giảm thiểu tác động kinh doanh tiềm ẩn và bảo vệ danh tiếng của tổ chức.
AI có thể hợp lý hóa quy trình quản lý rủi ro của bên thứ ba
AI có thể giải quyết các vấn đề này. Sau đây là ba cách cụ thể mà AI có thể cải thiện các thách thức rủi ro của nhà cung cấp bên thứ ba.
1. AI có thể tự động hóa việc thu thập và phân tích dữ liệu rủi ro từ nhiều nguồn khác nhau, chẳng hạn như báo cáo tài chính, nhật ký bảo mật và chứng chỉ bảo mật. AI sau đó có thể dự đoán rủi ro trong tương lai dựa trên dữ liệu lịch sử và xu hướng hiện tại. Điều này giúp giảm thời gian và công sức cần thiết để quản lý rủi ro của bên thứ ba và cải thiện chất lượng của việc ra quyết định.
2. Cung cấp bối cảnh để đơn giản hóa việc phân tích rủi ro và báo cáo tuân thủ: Việc tuân thủ một loạt quy định phức tạp có thể là một thách thức đáng kể đối với các nhóm tuân thủ và kiểm toán, những người thường thiếu hướng dẫn rõ ràng về cách giải quyết rủi ro. Thông thường, các quy trình được xác định để xác nhận các biện pháp kiểm soát cũng không nhất quán, làm phức tạp thêm quy trình. Nhưng trong khi lượng dữ liệu khổng lồ khiến con người tốn thời gian để phân tích và xử lý, các hệ thống AI được đào tạo phù hợp có thể tự động phân tích lượng lớn dữ liệu rủi ro để cung cấp bối cảnh và xác định các mô hình cũng như xu hướng. Giải pháp AI giúp các nhóm tuân thủ và kiểm toán dễ dàng hơn trong việc đánh giá rủi ro và biện pháp kiểm soát, đồng thời đưa ra các đề xuất hướng dẫn và khắc phục.
3. Tự động hóa các tác vụ thủ công để giúp người quản lý rủi ro chủ động hơn: Bởi vì người quản lý rủi ro thường dành một lượng thời gian đáng kể để sàng lọc bảng tính, nhập dữ liệu và tạo báo cáo theo cách thủ công. Điều này khiến việc lập chiến lược, phân tích các rủi ro mới nổi và tham gia lập kế hoạch dài hạn trở nên khó khăn. Vì AI thu thập và phân tích dữ liệu lịch sử cũng như xu hướng hiện tại nên nó có thể dự đoán rủi ro trong tương lai, giúp các chuyên gia bảo mật trở nên chủ động hơn vì họ thực sự có thời gian cần thiết để dự báo, đánh giá và giảm thiểu rủi ro có thể đe dọa mục tiêu của tổ chức. Kết quả là đưa ra các quyết định nhanh hơn, chính xác hơn và dựa trên dữ liệu liên quan đến các rủi ro liên quan đến nhà cung cấp bên thứ ba.
Những điều cần thực hiện trong TPRM sử dụng AI
Trong năm qua, rõ ràng là AI và đặc biệt là các mô hình ngôn ngữ lớn (LLM) mặc dù ứng dụng hiệu quả trong nhiều lĩnh vực, nhưng không có thể cung cấp giải pháp hoàn hảo cho mọi vấn đề. Các tổ chức tận dụng các công cụ AI phải nhận thức được một số rủi ro tiềm ẩn và chủ động các tình huống để giải quyết.
Cho dù nó xuất phát từ những bất thường về thống kê, đầu vào kém hoặc dữ liệu mô hình học tập không phù hợp, AI có thể đưa ra cách diễn giải không hợp lệ như thực tế. Để giải quyết rủi ro này, các giải pháp TPRM sử dụng AI phải đảm bảo rằng dữ liệu được sử dụng để đào tạo mô hình dựa trên dữ liệu rủi ro thực của bên thứ ba - dữ liệu đó phải chính xác, đa dạng và thể hiện được các tình huống trong thế giới thực. Các giải pháp như vậy phải liên tục tinh chỉnh các mô hình của mình để đảm bảo rằng chúng tiếp tục cải thiện bằng cách tìm hiểu bối cảnh cụ thể đối với rủi ro của bên thứ ba.
Điều cần thiết là phải liên tục cập nhật và đào tạo lại các mô hình AI để kết hợp dữ liệu mới và giảm thiểu sai lệch tiềm ẩn. Người đánh giá là một cách quan trọng để xác định sự thiên vị trong nội dung và quyết định do AI tạo ra, đồng thời đánh giá hiệu suất của giải pháp, nghĩa là các nhà cung cấp giải pháp phải tiến hành kiểm tra thường xuyên các mô hình AI này.
Chú ý rằng việc nhập dữ liệu vào LLM của bên thứ ba không phải là một ý tưởng hay vì khi đó dữ liệu có thể được chia sẻ bên ngoài tổ chức. Tương tự, các giải pháp LLM có thể nhúng đầu vào vào mô hình dữ liệu của chúng, cho phép các truy vấn tiếp theo đối với dữ liệu đó, dữ liệu này có thể được bảo mật.
Để ngăn chặn truy cập trái phép, dữ liệu nhạy cảm phải được mã hóa cả ở trạng thái nghỉ và khi truyền để bảo vệ dữ liệu khỏi các truy vấn như vậy. Nếu sử dụng AI để xử lý một số tác vụ TPRM nhất định, giải pháp phải kết hợp các cơ chế ủy quyền và kiểm soát truy cập mạnh mẽ để ngăn chặn các cá nhân hoặc hệ thống trái phép truy cập và thao túng dữ liệu.
Quản lý nhà cung cấp và nhà cung cấp bên thứ ba luôn là một khía cạnh đầy thách thức trong quản lý rủi ro. Từ thẩm định đến kiểm tra tuân thủ và giám sát liên tục, các nhà quản lý rủi ro luôn “choáng ngợp” bởi những yêu cầu về thời gian và khối lượng xử lý thông tin. Một giải pháp AI được đào tạo và duy trì phù hợp cho TPRM có thể tự động hóa các tác vụ thường ngày và cung cấp các công cụ phân tích nâng cao để cho phép các nhà quản lý rủi ro tập trung vào các hoạt động chiến lược có lợi cho toàn bộ doanh nghiệp.