Infracciones sofisticadas como SUNBURST (también conocida como el hack de SolarWinds que apareció en los titulares a fines de 2020) dejan muy claro el riesgo asociado con las plataformas de terceros. Las organizaciones modernas dependen cada vez más de una variedad de terceros para SaaS, desde finanzas hasta la cadena de suministro y la gestión de servicios de TI (ITSM).
Desde una perspectiva de operaciones, esto es genial. Las organizaciones se centran menos en "mantener las luces encendidas" y más en sus propuestas de valor fundamentales. Sin embargo, también hay una compensación de seguridad incómoda. Si no controla la plataforma, no controla completamente sus datos ni los de sus clientes, lo que tiene implicaciones de seguridad y cumplimiento. De manera similar, la disponibilidad de las funciones comerciales críticas a menudo depende de múltiples plataformas externas, muchas de las cuales pueden ser un único punto de falla.
Para muchas organizaciones, simplemente navegar por las dependencias complejas y definir claramente los apetitos de riesgo y las mitigaciones son desafíos reales. El gobierno y gestión de riesgos de terceros (TPGRM) tiene como objetivo resolver este problema mediante el análisis y la realización de la debida diligencia sobre los riesgos derivados de las relaciones con terceros.
Si bien hay muchas herramientas TPGRM/TPRM, la gestión de riesgos efectiva requiere más que solo tecnología. Proceso de tres pasos de Deloitte para TPGRM proporciona un desglose realista de la transformación necesaria para aprovechar un marco TPGRM. Para resumir los pasos:
- Cambiar el posicionamiento de riesgo y gobierno: Este paso se ocupa de la reformulación del riesgo en una organización. Tradicionalmente, el riesgo ha sido algo que eliminarlos. Tiene que convertirse en algo que gestionan.
- Comprenda el apetito por el riesgo y las líneas de defensa: El siguiente paso consiste en cuantificar el apetito por el riesgo de una organización en diferentes contextos e identificar líneas de defensa contra esos riesgos.
- Establecer un marco TPGRM: Aquí es donde el caucho golpea el camino. Las organizaciones deben implementar estrategias que aprovechen a las personas, los procesos y la tecnología para ayudar a administrar el riesgo y generar valor.
Claramente, una gran parte de TPGRM requerirá aportes cualitativos de humanos, como el desarrollo de estrategias o la realización de auditorías detalladas. Dicho esto, podemos esperar un cambio hacia una mayor automatización gracias a impulsores como seguro cibernético que están desarrollando activamente estándares y formas cuantificables de cuantificar el riesgo con plataformas de análisis como CyberCube.
Cuantificación de métricas TPGRM
Con eso en mente, espero ver el uso de portales y paneles de seguridad que cuantifiquen el aumento de las métricas de TPGRM en los próximos años. Estos portales harán por la gestión de riesgos lo que las plataformas de monitoreo de tiempo de actividad como Uptime Robot y Pingdom hacen por el monitoreo de sitios web: recopilar las métricas más importantes de una manera fácilmente digerible. Al igual que el mundo del monitoreo de sitios web, veremos un nivel variable de sofisticación y profundidad en las soluciones, pero surgirá una línea de base estándar de métricas de "juegos de mesa".
Ya estamos viendo plataformas como SafeBase hacer un progreso sustancial aquí al automatizar los cuestionarios de seguridad y permitir que los proveedores compartan la postura de seguridad en múltiples categorías. La empresa de gestión de riesgos Prevalent está resolviendo problemas similares con un enfoque en brindar soluciones y servicios de TI.
Además, las soluciones con un enfoque más limitado ya están aprovechando la automatización para resolver problemas de TPGRM en industrias específicas. Por ejemplo, SignalX está abordando el espacio problemático del análisis financiero y legal en India para permitir que las organizaciones realicen una mejor diligencia debida antes de celebrar contratos o asociaciones con proveedores.
Fundamentalmente, estas soluciones demuestran la tendencia más amplia hacia la estandarización y la automatización en el espacio TPGRM. Las herramientas por sí solas no van a resolver la gestión de riesgos de terceros, pero existe una necesidad emergente de visibilidad automatizada del riesgo de terceros, y ahí es donde la tecnología TPGRM puede tener un impacto real.
En los próximos años, espero que los ganadores en el espacio sean las herramientas que brinden visibilidad a las métricas TPGRM "titulares" requeridas para el seguro cibernético y el cumplimiento para organizaciones con implementaciones de marco TPGRM relativamente inmaduras, así como aquellas que pueden "ir deep” y proporciona un análisis detallado utilizando AI/ML para empresas.
Lea la parte 1, que pregunta: ¿Qué reemplazará a EDR?.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
