نقض های پیچیده مانند SUNBURST (معروف به SUNBURST هک SolarWinds که در اواخر سال 2020 سرفصل خبرها شد) خطر مرتبط با سیستم عامل های شخص ثالث را کاملاً روشن می کند. سازمانهای مدرن به طور فزایندهای به انواع اشخاص ثالث برای SaaS وابسته هستند - همه چیز از امور مالی گرفته تا زنجیره تامین تا مدیریت خدمات فناوری اطلاعات (ITSM).
از منظر عملیات، این عالی است. سازمانها کمتر بر روی «روشن نگه داشتن چراغها» و بیشتر بر روی گزارههای ارزش اصلی خود تمرکز میکنند. با این حال، یک معاوضه امنیتی ناخوشایند نیز وجود دارد. اگر پلتفرم را کنترل نکنید، داده های خود یا مشتری خود را به طور کامل کنترل نمی کنید، که پیامدهای امنیتی و انطباق دارد. به طور مشابه، در دسترس بودن عملکردهای مهم تجاری اغلب به پلتفرم های خارجی متعددی بستگی دارد که بسیاری از آنها می توانند تنها یک نقطه شکست باشند.
برای بسیاری از سازمانها، صرفاً پیمایش وابستگیهای پیچیده و تعریف واضح ریسکپذیریها و کاهش آن چالشهای واقعی است. حاکمیت و مدیریت ریسک شخص ثالث (TPGRM) با تجزیه و تحلیل و انجام بررسی های لازم در مورد ریسک های ناشی از روابط شخص ثالث، هدف آن حل این مشکل است.
در حالی که ابزارهای TPGRM/TPRM زیادی وجود دارد، مدیریت ریسک موثر بیش از فناوری صرف میشود. فرآیند سه مرحله ای Deloitte برای TPGRM یک تفکیک واقعی از تحول مورد نیاز برای استفاده از چارچوب TPGRM ارائه می دهد. برای خلاصه کردن مراحل:
- تغییر موقعیت ریسک و حاکمیت: این مرحله به چارچوب بندی مجدد ریسک در یک سازمان می پردازد. بهطور سنتی، ریسک چیزی بوده است از بین بردن. باید به چیزی تبدیل شود که ما مدیریت.
- اشتهای ریسک و خطوط دفاعی را درک کنید: مرحله بعدی به تعیین کمیت ریسک پذیری سازمان در زمینه های مختلف و شناسایی خطوط دفاعی در برابر این خطرات تقسیم می شود.
- یک چارچوب TPGRM ایجاد کنید: اینجا جایی است که لاستیک به جاده برخورد می کند. سازمانها باید استراتژیهایی را اجرا کنند که از افراد، فرآیندها و فناوری برای کمک به مدیریت ریسک و ارائه ارزش استفاده کند.
واضح است که بخش بزرگی از TPGRM به ورودی کیفی انسان ها نیاز دارد، مانند توسعه استراتژی ها یا انجام ممیزی های دقیق. گفته می شود، ما می توانیم به لطف رانندگانی مانند یک تغییر به سمت اتوماسیون بیشتر انتظار داشته باشیم بیمه سایبری که به طور فعال در حال توسعه استانداردها و روش های قابل اندازه گیری برای تعیین کمیت ریسک با پلتفرم های تحلیلی مانند CyberCube هستند.
کمی کردن معیارهای TPGRM
با در نظر گرفتن این موضوع، انتظار دارم در سالهای آینده شاهد استفاده از پورتالهای امنیتی و داشبوردهایی باشیم که معیارهای TPGRM را تعیین میکنند. این پورتالها برای مدیریت ریسک همان کاری را انجام میدهند که پلتفرمهای مانیتورینگ آپتایم مانند Uptime Robot و Pingdom برای نظارت بر وبسایت انجام میدهند: مهمترین معیارها را به روشی قابل هضم جمعآوری میکنند. مانند دنیای نظارت بر وب سایت، ما شاهد سطح متفاوتی از پیچیدگی و عمق در راه حل ها خواهیم بود، اما یک خط پایه استاندارد از معیارهای "مشخصات جدول" ظاهر خواهد شد.
در حال حاضر شاهد هستیم که پلتفرمهایی مانند SafeBase با خودکارسازی پرسشنامههای امنیتی و امکان به اشتراکگذاری وضعیت امنیتی در چندین دسته، پیشرفت قابلتوجهی در اینجا داشتهاند. شرکت مدیریت ریسک Prevalent در حال حل مشکلات مشابه با تمرکز بر ارائه راه حل ها و خدمات فناوری اطلاعات است.
علاوه بر این، راه حل هایی با تمرکز محدودتر در حال حاضر از اتوماسیون برای حل مشکلات TPGRM در صنایع خاص استفاده می کنند. به عنوان مثال، SignalX به فضای مشکل تجزیه و تحلیل مالی و حقوقی در هند می پردازد تا سازمان ها را قادر سازد تا قبل از عقد قراردادها یا مشارکت با فروشندگان، بررسی های لازم را انجام دهند.
اساساً، این راهحلها روند گستردهتری را به سوی استانداردسازی و اتوماسیون در فضای TPGRM نشان میدهند. ابزارها به تنهایی نمیتوانند مدیریت ریسک شخص ثالث را حل کنند، اما نیازی در حال ظهور برای مشاهده خودکار ریسک شخص ثالث وجود دارد، و اینجاست که فناوری TPGRM میتواند تأثیر واقعی بگذارد.
در سالهای آینده، من انتظار دارم که برندگان در این فضا ابزارهایی باشند که معیارهای TPGRM "سرفصل" مورد نیاز برای بیمه سایبری و انطباق سازمانهایی با اجرای چارچوب TPGRM نسبتاً نابالغ و همچنین آنهایی که میتوانند "پیاده شوند" را ارائه میدهند. عمیق» و تجزیه و تحلیل دقیق با استفاده از AI/ML برای شرکت ها ارائه دهد.
قسمت 1 را بخوانید که می پرسد: چه چیزی جایگزین EDR خواهد شد.