Πού μπορούν να μας οδηγήσουν η διακυβέρνηση τρίτων και η διαχείριση κινδύνων;

Προηγμένες παραβιάσεις όπως το SUNBURST (γνωστός και ως ηλιοφάνεια το hack της SolarWinds που έγινε πρωτοσέλιδο στα τέλη του 2020) καθιστούν πολύ σαφή τον κίνδυνο που σχετίζεται με πλατφόρμες τρίτων. Οι σύγχρονοι οργανισμοί εξαρτώνται ολοένα και περισσότερο από μια ποικιλία τρίτων για το SaaS — τα πάντα, από χρηματοοικονομικά έως εφοδιαστική αλυσίδα έως διαχείριση υπηρεσιών πληροφορικής (ITSM).

Από επιχειρησιακή άποψη, αυτό είναι υπέροχο. Οι οργανισμοί εστιάζουν λιγότερο στο «να διατηρούν τα φώτα αναμμένα» και περισσότερο στις προτάσεις βασικής αξίας τους. Ωστόσο, υπάρχει επίσης μια άβολη αντιστάθμιση ασφαλείας. Εάν δεν ελέγχετε την πλατφόρμα, δεν ελέγχετε πλήρως τα δεδομένα σας —ή του πελάτη σας—, τα οποία έχουν επιπτώσεις στην ασφάλεια και τη συμμόρφωση. Ομοίως, η διαθεσιμότητα κρίσιμων επιχειρηματικών λειτουργιών εξαρτάται συχνά από πολλαπλές εξωτερικές πλατφόρμες, πολλές από τις οποίες μπορεί να είναι ένα μόνο σημείο αποτυχίας.

Για πολλούς οργανισμούς, η απλή πλοήγηση στις περίπλοκες εξαρτήσεις και ο ξεκάθαρος καθορισμός των ορέξεων για κινδύνους και των μέτρων μετριασμού είναι πραγματικές προκλήσεις. Η διακυβέρνηση και η διαχείριση κινδύνων από τρίτους (TPGRM) στοχεύει στην επίλυση αυτού του προβλήματος αναλύοντας και εκτελώντας τη δέουσα επιμέλεια για κινδύνους που απορρέουν από σχέσεις τρίτων.

Ενώ υπάρχουν πολλά εργαλεία TPGRM/TPRM, η αποτελεσματική διαχείριση κινδύνου απαιτεί κάτι περισσότερο από απλή τεχνολογία. Η διαδικασία τριών βημάτων της Deloitte για το TPGRM παρέχει μια ρεαλιστική ανάλυση του μετασχηματισμού που απαιτείται για τη μόχλευση ενός πλαισίου TPGRM. Για να συνοψίσουμε τα βήματα:

1. Αλλαγή θέσης κινδύνου και διακυβέρνησης: Αυτό το βήμα ασχολείται με την αναπλαισίωση του κινδύνου σε έναν οργανισμό. Παραδοσιακά, το ρίσκο ήταν κάτι που εμείς την εξάλειψη. Πρέπει να γίνει κάτι που εμείς διαχείριση.
2. Κατανοήστε την όρεξη για κινδύνους και τις γραμμές άμυνας: Το επόμενο βήμα αναλύεται στον ποσοτικό προσδιορισμό της διάθεσης κινδύνου ενός οργανισμού σε διαφορετικά πλαίσια και στον προσδιορισμό των γραμμών άμυνας έναντι αυτών των κινδύνων.
3. Δημιουργήστε ένα πλαίσιο TPGRM: Αυτό είναι όπου το λάστιχο χτυπά στο δρόμο. Οι οργανισμοί πρέπει να εφαρμόσουν στρατηγικές που αξιοποιούν ανθρώπους, διαδικασίες και τεχνολογία για να βοηθήσουν στη διαχείριση του κινδύνου και να προσφέρουν αξία.

Σαφώς, ένα μεγάλο μέρος του TPGRM θα απαιτήσει ποιοτική συμβολή από τον άνθρωπο, όπως η ανάπτυξη στρατηγικών ή η διεξαγωγή λεπτομερών ελέγχων. Τούτου λεχθέντος, μπορούμε να περιμένουμε μια στροφή προς περισσότερο αυτοματισμό χάρη σε οδηγούς όπως Ασφάλεια στον κυβερνοχώρο που αναπτύσσουν ενεργά πρότυπα και μετρήσιμους τρόπους ποσοτικοποίησης του κινδύνου με πλατφόρμες ανάλυσης όπως το CyberCube.

Ποσοτικοποίηση μετρήσεων TPGRM

Έχοντας αυτό κατά νου, αναμένω να δω τη χρήση πυλών ασφαλείας και πινάκων εργαλείων που ποσοτικοποιούν τις μετρήσεις TPGRM να αυξάνονται τα επόμενα χρόνια. Αυτές οι πύλες θα κάνουν για τη διαχείριση κινδύνου ό,τι κάνουν οι πλατφόρμες παρακολούθησης χρόνου λειτουργίας, όπως το Uptime Robot και το Pingdom για την παρακολούθηση ιστοτόπων: συγκεντρώνουν τις πιο σημαντικές μετρήσεις με έναν εύκολα εύπεπτο τρόπο. Όπως και ο κόσμος της παρακολούθησης ιστοτόπων, θα δούμε ένα διαφορετικό επίπεδο πολυπλοκότητας και βάθους στις λύσεις, αλλά θα προκύψει μια τυπική γραμμή βάσης μετρήσεων «επιτραπέζιων στοιχημάτων».

Βλέπουμε ήδη πλατφόρμες όπως το SafeBase να σημειώνουν σημαντική πρόοδο εδώ, αυτοματοποιώντας τα ερωτηματολόγια ασφαλείας και δίνοντας τη δυνατότητα στους προμηθευτές να μοιράζονται τη στάση ασφαλείας σε πολλές κατηγορίες. Η εταιρεία διαχείρισης κινδύνων Prevalent επιλύει παρόμοια προβλήματα με έμφαση στην παροχή λύσεων και υπηρεσιών πληροφορικής.

Επιπλέον, λύσεις με στενότερη εστίαση χρησιμοποιούν ήδη την αυτοματοποίηση για την επίλυση προβλημάτων TPGRM σε συγκεκριμένους κλάδους. Για παράδειγμα, το SignalX αντιμετωπίζει τον προβληματικό χώρο της χρηματοοικονομικής και νομικής ανάλυσης στην Ινδία για να επιτρέψει στους οργανισμούς να εκτελούν καλύτερη δέουσα επιμέλεια πριν συνάψουν συμβάσεις ή συνεργασίες με προμηθευτές.

Βασικά, αυτές οι λύσεις καταδεικνύουν την ευρύτερη τάση προς την τυποποίηση και την αυτοματοποίηση στον χώρο του TPGRM. Τα εργαλεία από μόνα τους δεν πρόκειται να λύσουν τη διαχείριση κινδύνου τρίτων, αλλά υπάρχει μια αναδυόμενη ανάγκη για αυτοματοποιημένη ορατότητα σε κινδύνους τρίτων, και εκεί η τεχνολογία TPGRM μπορεί να έχει πραγματικό αντίκτυπο.

Στα επόμενα χρόνια, αναμένω ότι οι νικητές στον χώρο θα είναι τα εργαλεία που παρέχουν ορατότητα στις «επικεφαλίδες» μετρήσεις TPGRM που απαιτούνται για την ασφάλεια στον κυβερνοχώρο και τη συμμόρφωση για οργανισμούς με σχετικά ανώριμες υλοποιήσεις πλαισίου TPGRM, καθώς και εκείνα που μπορούν να «πάνε deep» και παρέχει λεπτομερή ανάλυση χρησιμοποιώντας AI/ML για επιχειρήσεις.

Διαβάστε το μέρος 1, το οποίο ρωτά: Τι θα αντικαταστήσει το EDR.