Sofistikerede brud som SUNBURST (aka SolarWinds-hacket som skabte overskrifter i slutningen af 2020) gør risikoen forbundet med tredjepartsplatforme helt tydelig. Moderne organisationer er i stigende grad afhængige af en række tredjeparter til SaaS - alt fra økonomi til forsyningskæde til IT-servicestyring (ITSM).
Fra et driftsperspektiv er dette fantastisk. Organisationer fokuserer mindre på at "holde lyset tændt" og mere på deres kerneværdiforslag. Der er dog også en ubehagelig sikkerhedsafvejning. Hvis du ikke kontrollerer platformen, kontrollerer du ikke helt dine – eller din kundes – data, hvilket har sikkerheds- og compliance-implikationer. Tilsvarende afhænger tilgængeligheden af kritiske forretningsfunktioner ofte af flere eksterne platforme, hvoraf mange kan være et enkelt point of failure.
For mange organisationer er det virkelige udfordringer at navigere i de komplekse afhængigheder og klart definere risikovillighed og -begrænsninger. Tredjepartsstyring og risikostyring (TPGRM) sigter mod at løse dette problem ved at analysere og udføre due diligence på risici, der stammer fra tredjepartsforhold.
Selvom der er masser af TPGRM/TPRM-værktøjer, kræver effektiv risikostyring mere end blot teknologi. Deloittes tre-trins proces for TPGRM giver en realistisk opdeling af den transformation, der kræves for at udnytte en TPGRM-ramme. For at opsummere trinene:
- Ændre risiko og ledelsespositionering: Dette trin omhandler reframing af risiko i en organisation. Traditionelt har risiko været noget vi eliminere. Det skal blive noget vi administrere.
- Forstå risikoappetit og forsvarslinjer: Det næste trin er opdelt i at kvantificere en organisations risikovillighed i forskellige sammenhænge og identificere forsvarslinjer mod disse risici.
- Etabler en TPGRM-ramme: Det er her gummiet rammer vejen. Organisationer skal implementere strategier, der udnytter mennesker, processer og teknologi til at hjælpe med at styre risici og levere værdi.
Det er klart, at en stor del af TPGRM vil kræve kvalitative input fra mennesker, såsom udvikling af strategier eller udførelse af detaljerede audits. Når det er sagt, kan vi forvente et skift mod mere automatisering takket være chauffører som cyberforsikring der aktivt udvikler standarder og målbare måder at kvantificere risiko på med analyseplatforme som CyberCube.
Kvantificering af TPGRM-metrics
Med det i tankerne forventer jeg at se brugen af sikkerhedsportaler og dashboards, der kvantificerer TPGRM-målinger, der stiger i de kommende år. Disse portaler vil gøre for risikostyring, hvad oppetidsovervågningsplatforme som Uptime Robot og Pingdom gør for webstedsovervågning: oprulle de vigtigste metrics på en let fordøjelig måde. Ligesom webstedsovervågningsverdenen vil vi se et varierende niveau af sofistikering og dybde på tværs af løsninger, men en standardbaseline af "table stakes"-metrikker vil dukke op.
Vi ser allerede platforme som SafeBase gøre væsentlige fremskridt her ved at automatisere sikkerhedsspørgeskemaer og gøre det muligt for leverandører at dele sikkerhedsposition på tværs af flere kategorier. Risikostyringsvirksomheden Prevalent løser lignende problemer med fokus på at levere både it-løsninger og services.
Derudover udnytter løsninger med et snævrere fokus allerede automatisering til at løse TPGRM-problemer i specifikke industrier. For eksempel adresserer SignalX problemområdet for finansiel og juridisk analyse i Indien for at gøre det muligt for organisationer at udføre bedre due diligence, før de indgår kontrakter eller partnerskaber med leverandører.
Grundlæggende viser disse løsninger den bredere tendens til standardisering og automatisering i TPGRM-området. Værktøjer alene løser ikke tredjeparts risikostyring, men der er et voksende behov for automatiseret synlighed i tredjepartsrisici, og det er her, TPGRM-teknologi kan gøre en reel indflydelse.
I de kommende år forventer jeg, at vinderne i rummet er de værktøjer, der giver synlighed i de "overskrifts" TPGRM-metrikker, der kræves til cyberforsikring og overholdelse for organisationer med relativt umodne TPGRM-rammeimplementeringer, såvel som dem, der kan "gå dyb” og levere detaljerede analyser ved hjælp af AI/ML til virksomheder.
Læs del 1, som spørger: Hvad vil erstatte EDR.
