背景
克利夫蘭診所是一家多專科學術醫療中心,負責管理其企業的所有IT及網路風險。資安治理風險及合規性(GRC)資深總監Rakesh Sharma負責確保這些風險被適當地傳達給高層領導和董事會,並根據數據驅動的風險評估,做出資源分配的決策,以有效減輕最重要的風險。
挑戰
隨著AI技術的進步,網路攻擊的複雜性日益增加,例如透過AI輔助的網釣攻擊。為了跟上這些新的挑戰,同時確保企業的運行速度不受影響,克利夫蘭診所面臨巨大的風險管理需求,尤其是在第三方供應商的管理上。供應商數量龐大,風險分級和連續監控是重要挑戰。
解決方案
克利夫蘭診所採用了SecurityScorecard平台,在四個主要領域提升其風險管理流程:
- RFx活動管理:在任何RFx活動中,克利夫蘭診所會首先調取所有供應商的SecurityScorecard評分,以此類似於企業的「信用評分」系統,來了解供應商的網路安全狀況。
- 供應商風險分級:在新供應商上線時,診所會根據風險對供應商進行分級,識別出風險最高的供應商並進行深入的評估,其中SecurityScorecard的評分是風險分級的重要依據。
- 連續監控:對於風險較高的供應商,診所會持續監控其安全評分。一旦評分低於可接受範圍,診所將及時跟進,確保風險被有效減緩。
- 內部風險監控:診所也會監控自身的安全評分,以維持高標準,這不僅有助於網路保險評估,還能提升其作為其他企業的第三方供應商的可信度。
此外,克利夫蘭診所最近實施了ServiceNow供應商風險管理模組,並將其與SecurityScorecard無縫整合,實現了一站式的供應商風險檢視。這一整合大幅減少了風險評估的時間,同時允許診所外部團隊也能參與風險管理過程,實現更透明的風險監控。
成果
透過SecurityScorecard與ServiceNow的整合,克利夫蘭診所成功簡化了供應商風險管理流程,並顯著提升了風險評估的效率。Sharma指出,這不僅是管理單一企業風險的工具,更是管理整個生態系統風險的戰略夥伴。
結論
克利夫蘭診所在網路安全管理中追求創新,SecurityScorecard不僅為診所提供了先進的供應商風險管理解決方案,更展現出其全球視野和創新核心。這正是克利夫蘭診所需要的合作夥伴,為其整體資安戰略提供強力支援。
