الانتهاكات المتطورة مثل SUNBURST (ويعرف أيضًا باسم اختراق SolarWinds التي تصدرت عناوين الأخبار في أواخر عام 2020) تجعل المخاطر المرتبطة بمنصات الطرف الثالث واضحة تمامًا. تعتمد المؤسسات الحديثة بشكل متزايد على مجموعة متنوعة من الأطراف الثالثة في SaaS - كل شيء بدءًا من التمويل وحتى سلسلة التوريد وحتى إدارة خدمات تكنولوجيا المعلومات (ITSM).
من منظور العمليات، هذا شيء عظيم. تركز المنظمات بشكل أقل على "إبقاء الأضواء مضاءة" وأكثر على مقترحات القيمة الأساسية الخاصة بها. ومع ذلك، هناك أيضًا مقايضة أمنية غير مريحة. إذا كنت لا تتحكم في النظام الأساسي، فإنك لا تتحكم بشكل كامل في بياناتك - أو بيانات عميلك -، الأمر الذي له آثار تتعلق بالأمان والامتثال. وبالمثل، فإن توفر وظائف الأعمال الحيوية غالبًا ما يعتمد على منصات خارجية متعددة، والتي يمكن أن يكون الكثير منها نقطة فشل واحدة.
بالنسبة للعديد من المؤسسات، فإن مجرد التعامل مع التبعيات المعقدة وتحديد الرغبة في المخاطرة وطرق التخفيف منها بشكل واضح يمثل تحديات حقيقية. تهدف حوكمة الطرف الثالث وإدارة المخاطر (TPGRM) إلى حل هذه المشكلة من خلال تحليل وتنفيذ العناية الواجبة بشأن المخاطر الناجمة عن العلاقات مع الطرف الثالث.
في حين أن هناك الكثير من أدوات TPGRM/TPRM، فإن الإدارة الفعالة للمخاطر تتطلب أكثر من مجرد التكنولوجيا. عملية Deloitte المكونة من ثلاث خطوات لـ TPGRM يوفر تفصيلاً واقعيًا للتحول المطلوب للاستفادة من إطار عمل TPGRM. لتلخيص الخطوات:
- تغيير وضع المخاطر والحوكمة: تتناول هذه الخطوة إعادة صياغة المخاطر في المنظمة. تقليديا، كانت المخاطر شيئا نحن القضاء. يجب أن يصبح شيئًا نحن إدارة.
- فهم الرغبة في المخاطرة وخطوط الدفاع: وتنقسم الخطوة التالية إلى قياس مدى تقبل المنظمة للمخاطر في سياقات مختلفة وتحديد خطوط الدفاع ضد تلك المخاطر.
- إنشاء إطار عمل TPGRM: هذا هو المكان الذي يضرب المطاط الطريق. يجب على المؤسسات تنفيذ استراتيجيات تستفيد من الأشخاص والعمليات والتكنولوجيا للمساعدة في إدارة المخاطر وتقديم القيمة.
من الواضح أن جزءًا كبيرًا من TPGRM سيتطلب مدخلات نوعية من البشر، مثل تطوير الاستراتيجيات أو إجراء عمليات تدقيق تفصيلية. ومع ذلك، يمكننا أن نتوقع التحول نحو المزيد من الأتمتة بفضل السائقين مثل التأمين الإلكتروني التي تعمل بنشاط على تطوير معايير وطرق قابلة للقياس لقياس المخاطر باستخدام منصات التحليلات مثل CyberCube.
قياس مقاييس TPGRM
مع أخذ ذلك في الاعتبار، أتوقع أن أرى ارتفاعًا كبيرًا في استخدام البوابات الأمنية ولوحات المعلومات التي تحدد مقاييس TPGRM في السنوات القادمة. ستفعل هذه البوابات لإدارة المخاطر ما تفعله منصات مراقبة وقت التشغيل مثل Uptime Robot وPingdom لمراقبة مواقع الويب: تجميع أهم المقاييس بطريقة سهلة الفهم. كما هو الحال في عالم مراقبة مواقع الويب، سنرى مستوى متفاوتًا من التعقيد والعمق عبر الحلول، ولكن سيظهر خط أساسي قياسي لمقاييس "الرهانات على الطاولة".
نحن نشهد بالفعل أن منصات مثل SafeBase تحقق تقدمًا كبيرًا هنا من خلال أتمتة استبيانات الأمان وتمكين البائعين من مشاركة الموقف الأمني عبر فئات متعددة. تعمل شركة إدارة المخاطر Prevalent على حل مشكلات مماثلة مع التركيز على توفير حلول وخدمات تكنولوجيا المعلومات.
بالإضافة إلى ذلك، تعمل الحلول ذات التركيز الأضيق بالفعل على الاستفادة من الأتمتة لحل مشكلات TPGRM في صناعات محددة. على سبيل المثال، تعالج SignalX مشكلة التحليل المالي والقانوني في الهند لتمكين المؤسسات من أداء العناية الواجبة بشكل أفضل قبل إبرام العقود أو الشراكات مع البائعين.
بشكل أساسي، توضح هذه الحلول الاتجاه الأوسع نحو التقييس والأتمتة في مجال TPGRM. لن تحل الأدوات وحدها مشكلة إدارة مخاطر الطرف الثالث، ولكن هناك حاجة ناشئة للرؤية الآلية لمخاطر الطرف الثالث، وهنا يمكن لتقنية TPGRM أن تحدث تأثيرًا حقيقيًا.
في السنوات القادمة، أتوقع أن يكون الفائزون في هذا المجال هم الأدوات التي توفر رؤية لمقاييس TPGRM "الرئيسية" المطلوبة للتأمين السيبراني والامتثال للمؤسسات التي لديها تطبيقات إطار TPGRM غير ناضجة نسبيًا، بالإضافة إلى تلك التي يمكنها "الاستمرار عميق" وتقديم تحليل مفصل باستخدام الذكاء الاصطناعي/التعلم الآلي للمؤسسات.
اقرأ الجزء الأول الذي يسأل: ما سيحل محل EDR.
