Keerulised rikkumised nagu SUNBURST (teise nimega SolarWindsi häkkimine 2020. aasta lõpus pealkirjadesse jõudnud) teevad kolmandate osapoolte platvormidega seotud riski täiesti selgeks. Kaasaegsed organisatsioonid sõltuvad SaaS-i jaoks üha enam paljudest kolmandatest osapooltest – alates rahandusest kuni tarneahelani ja lõpetades IT-teenuste haldamisega (ITSM).
Operatsiooni vaatenurgast on see suurepärane. Organisatsioonid keskenduvad vähem "tulede põlemisel hoidmisele" ja rohkem oma põhiväärtuste pakkumistele. Siiski on ka ebamugav turvakompromiss. Kui te platvormi ei kontrolli, ei kontrolli te täielikult oma ega oma kliendi andmeid, millel on turvalisuse ja vastavuse tagajärjed. Samamoodi sõltub kriitiliste ärifunktsioonide kättesaadavus sageli mitmest välisest platvormist, millest paljud võivad olla üksainus tõrkepunkt.
Paljude organisatsioonide jaoks on tõsine väljakutse lihtsalt keerulistes sõltuvustes navigeerimine ning riskiisu ja riskide leevendamise selgelt määratlemine. Kolmanda osapoole valitsemise ja riskijuhtimise (TPGRM) eesmärk on see probleem lahendada, analüüsides ja teostades hoolsusanalüüsi kolmandate osapoolte suhetest tulenevate riskide suhtes.
Kuigi TPGRM/TPRM-i tööriistu on palju, nõuab tõhus riskijuhtimine enamat kui lihtsalt tehnikat. Deloitte'i kolmeastmeline protsess TPGRM-i jaoks annab realistliku jaotuse TPGRM-raamistiku võimendamiseks vajaliku teisenduse kohta. Etappide kokkuvõtteks:
- Muuda riski ja juhtimispositsiooni: See samm käsitleb riski ümberkujundamist organisatsioonis. Traditsiooniliselt on risk olnud meie jaoks kõrvaldama. See peab saama millekski, mida me ise juhtima.
- Mõistke riskiisu ja kaitseliine: Järgmine samm hõlmab organisatsiooni riskivalmiduse kvantifitseerimist erinevates kontekstides ja kaitseliinide tuvastamist nende riskide vastu.
- Looge TPGRM raamistik: Siin satub kumm teele. Organisatsioonid peavad rakendama strateegiaid, mis võimendavad inimesi, protsesse ja tehnoloogiat, et aidata riske juhtida ja väärtust pakkuda.
On selge, et suur osa TPGRM-ist nõuab inimestelt kvalitatiivset panust, näiteks strateegiate väljatöötamist või üksikasjalike auditite läbiviimist. See tähendab, et tänu sellistele draiveritele võime oodata nihet suurema automatiseerimise poole küberkindlustus mis arendavad aktiivselt standardeid ja mõõdetavaid viise riski kvantifitseerimiseks analüüsiplatvormidega nagu CyberCube.
TPGRM-i mõõdikute kvantifitseerimine
Seda silmas pidades loodan lähiaastatel näha TPGRM-i mõõdikuid kvantifitseerivate turvaportaalide ja armatuurlaudade kasutamist. Need portaalid teevad riskijuhtimiseks sama, mida tööaja jälgimise platvormid, nagu Uptime Robot ja Pingdom, veebisaidi jälgimiseks: koondavad kõige olulisemad mõõdikud kergesti seeditavale viisile. Nagu veebisaitide jälgimise maailmas, näeme ka lahenduste vahel erinevat keerukuse ja sügavuse taset, kuid ilmnevad standardsed "tabeli panuste" mõõdikud.
Näeme juba, et sellised platvormid nagu SafeBase teevad siin olulisi edusamme, automatiseerides turvaküsimustikke ja võimaldades müüjatel jagada turvalisust mitme kategooria vahel. Riskihaldusettevõte Prevalent tegeleb sarnaste probleemide lahendamisega, keskendudes nii IT-lahenduste kui ka teenuste pakkumisele.
Lisaks kasutavad kitsama fookusega lahendused juba automatiseerimist, et lahendada TPGRM-i probleeme konkreetsetes tööstusharudes. Näiteks tegeleb SignalX India finants- ja õigusanalüüsi probleemiruumiga, et võimaldada organisatsioonidel enne müüjatega lepingute või partnerluste sõlmimist paremini läbi viia hoolsuskohustust.
Põhimõtteliselt näitavad need lahendused laiemat suundumust standardimise ja automatiseerimise suunas TPGRM-i ruumis. Tööriistad üksi ei lahenda kolmandate osapoolte riskijuhtimist, kuid tekib vajadus kolmanda osapoole riskide automatiseeritud nähtavuse järele ja just seal saab TPGRM-tehnoloogia avaldada tõelist mõju.
Loodan, et järgmistel aastatel on selles ruumis võitjad tööriistad, mis pakuvad nähtavust küberkindlustuse ja vastavuse jaoks vajalike "pealkirjade" TPGRM-i mõõdikutesse organisatsioonide jaoks, mille TPGRM-i raamistiku juurutused on suhteliselt ebaküpsed, aga ka need, mis suudavad "käida" sügav” ja esitage ettevõtetele tehisintellekti/ML-i abil üksikasjalik analüüs.
Lugege 1. osa, kus küsitakse: Mis asendab EDR-i.
