Ausgeklügelte Sicherheitsverletzungen wie SUNBURST (auch bekannt als der SolarWinds-Hack die Ende 2020 für Schlagzeilen sorgten) verdeutlichen das Risiko, das mit Plattformen Dritter verbunden ist. Moderne Unternehmen sind für SaaS zunehmend auf eine Vielzahl von Drittanbietern angewiesen – von der Finanzabteilung über die Lieferkette bis hin zum IT-Service-Management (ITSM).
Aus betrieblicher Sicht ist das großartig. Unternehmen konzentrieren sich weniger darauf, „das Licht am Laufen zu halten“, sondern mehr auf ihre zentralen Wertversprechen. Es gibt jedoch auch einen unangenehmen Kompromiss bei der Sicherheit. Wenn Sie die Plattform nicht kontrollieren, haben Sie auch nicht die vollständige Kontrolle über Ihre Daten – oder die Ihrer Kunden –, was Auswirkungen auf Sicherheit und Compliance hat. Ebenso hängt die Verfügbarkeit kritischer Geschäftsfunktionen häufig von mehreren externen Plattformen ab, von denen viele einen Single Point of Failure darstellen können.
Für viele Unternehmen sind allein die Navigation durch die komplexen Abhängigkeiten und die klare Definition von Risikobereitschaft und -minderung echte Herausforderungen. Ziel des Third Party Governance and Risk Management (TPGRM) ist es, dieses Problem durch die Analyse und Durchführung einer Due-Diligence-Prüfung der Risiken zu lösen, die sich aus Beziehungen zu Dritten ergeben.
Obwohl es zahlreiche TPGRM/TPRM-Tools gibt, erfordert effektives Risikomanagement mehr als nur Technologie. Deloittes dreistufiger Prozess für TPGRM Bietet eine realistische Aufschlüsselung der Transformation, die zur Nutzung eines TPGRM-Frameworks erforderlich ist. Um die Schritte zusammenzufassen:
- Risiko- und Governance-Positionierung ändern: In diesem Schritt geht es um die Neuformulierung von Risiken in einer Organisation. Traditionell war Risiko etwas für uns beseitigen. Es muss etwas werden, was wir tun verwalten.
- Risikobereitschaft und Verteidigungslinien verstehen: Der nächste Schritt besteht darin, die Risikobereitschaft einer Organisation in verschiedenen Kontexten zu quantifizieren und Verteidigungslinien gegen diese Risiken zu identifizieren.
- Richten Sie ein TPGRM-Framework ein: Hier kommt der Gummi auf die Straße. Unternehmen müssen Strategien umsetzen, die Menschen, Prozesse und Technologie nutzen, um Risiken zu managen und Mehrwert zu schaffen.
Es ist klar, dass ein großer Teil von TPGRM qualitativen Input von Menschen erfordern wird, etwa die Entwicklung von Strategien oder die Durchführung detaillierter Audits. Dennoch können wir dank Fahrern wie … mit einem Wandel hin zu mehr Automatisierung rechnen Cyber-Versicherung die aktiv Standards und messbare Methoden zur Risikoquantifizierung mit Analyseplattformen wie CyberCube entwickeln.
Quantifizierung von TPGRM-Metriken
Vor diesem Hintergrund gehe ich davon aus, dass die Nutzung von Sicherheitsportalen und Dashboards zur Quantifizierung von TPGRM-Metriken in den kommenden Jahren zunehmen wird. Diese Portale leisten für das Risikomanagement das, was Verfügbarkeitsüberwachungsplattformen wie Uptime Robot und Pingdom für die Website-Überwachung tun: Sie fassen die wichtigsten Kennzahlen auf leicht verständliche Weise zusammen. Wie in der Welt der Website-Überwachung werden wir bei den Lösungen ein unterschiedliches Maß an Komplexität und Tiefe feststellen, aber es wird sich eine Standardbasislinie für „Table Stakes“-Metriken herausbilden.
Wir sehen bereits, dass Plattformen wie SafeBase hier erhebliche Fortschritte machen, indem sie Sicherheitsfragebögen automatisieren und es Anbietern ermöglichen, den Sicherheitsstatus über mehrere Kategorien hinweg zu teilen. Das Risikomanagementunternehmen Prevalent löst ähnliche Probleme und konzentriert sich dabei auf die Bereitstellung von IT-Lösungen und -Dienstleistungen.
Darüber hinaus nutzen Lösungen mit einem engeren Fokus bereits die Automatisierung, um TPGRM-Probleme in bestimmten Branchen zu lösen. SignalX befasst sich beispielsweise mit dem Problembereich der Finanz- und Rechtsanalyse in Indien, um Unternehmen eine bessere Due-Diligence-Prüfung zu ermöglichen, bevor sie Verträge oder Partnerschaften mit Anbietern abschließen.
Grundsätzlich verdeutlichen diese Lösungen den breiteren Trend zur Standardisierung und Automatisierung im TPGRM-Bereich. Tools allein werden das Risikomanagement Dritter nicht lösen, aber es besteht ein zunehmender Bedarf an automatisierter Sichtbarkeit des Risikos Dritter, und hier kann die TPGRM-Technologie einen echten Einfluss haben.
In den kommenden Jahren erwarte ich, dass die Gewinner in diesem Bereich die Tools sein werden, die Einblick in die „wichtigsten“ TPGRM-Metriken bieten, die für Cyberversicherung und Compliance für Organisationen mit relativ unausgereiften TPGRM-Framework-Implementierungen erforderlich sind, sowie für solche, die „gehen können“. deep“ und bieten detaillierte Analysen mithilfe von KI/ML für Unternehmen.
Lesen Sie Teil 1, in dem gefragt wird: Was wird EDR ersetzen?.
