حاکمیت شخص ثالث و مدیریت ریسک می تواند ما را به کجا برساند؟

نقض های پیچیده مانند SUNBURST (معروف به SUNBURST هک SolarWinds که در اواخر سال 2020 سرفصل خبرها شد) خطر مرتبط با سیستم عامل های شخص ثالث را کاملاً روشن می کند. سازمان‌های مدرن به طور فزاینده‌ای به انواع اشخاص ثالث برای SaaS وابسته هستند - همه چیز از امور مالی گرفته تا زنجیره تامین تا مدیریت خدمات فناوری اطلاعات (ITSM).

از منظر عملیات، این عالی است. سازمان‌ها کمتر بر روی «روشن نگه داشتن چراغ‌ها» و بیشتر بر روی گزاره‌های ارزش اصلی خود تمرکز می‌کنند. با این حال، یک معاوضه امنیتی ناخوشایند نیز وجود دارد. اگر پلتفرم را کنترل نکنید، داده های خود یا مشتری خود را به طور کامل کنترل نمی کنید، که پیامدهای امنیتی و انطباق دارد. به طور مشابه، در دسترس بودن عملکردهای مهم تجاری اغلب به پلتفرم های خارجی متعددی بستگی دارد که بسیاری از آنها می توانند تنها یک نقطه شکست باشند.

برای بسیاری از سازمان‌ها، صرفاً پیمایش وابستگی‌های پیچیده و تعریف واضح ریسک‌پذیری‌ها و کاهش آن چالش‌های واقعی است. حاکمیت و مدیریت ریسک شخص ثالث (TPGRM) با تجزیه و تحلیل و انجام بررسی های لازم در مورد ریسک های ناشی از روابط شخص ثالث، هدف آن حل این مشکل است.

در حالی که ابزارهای TPGRM/TPRM زیادی وجود دارد، مدیریت ریسک موثر بیش از فناوری صرف می‌شود. فرآیند سه مرحله ای Deloitte برای TPGRM یک تفکیک واقعی از تحول مورد نیاز برای استفاده از چارچوب TPGRM ارائه می دهد. برای خلاصه کردن مراحل:

1. تغییر موقعیت ریسک و حاکمیت: این مرحله به چارچوب بندی مجدد ریسک در یک سازمان می پردازد. به‌طور سنتی، ریسک چیزی بوده است از بین بردن. باید به چیزی تبدیل شود که ما مدیریت.
2. اشتهای ریسک و خطوط دفاعی را درک کنید: مرحله بعدی به تعیین کمیت ریسک پذیری سازمان در زمینه های مختلف و شناسایی خطوط دفاعی در برابر این خطرات تقسیم می شود.
3. یک چارچوب TPGRM ایجاد کنید: اینجا جایی است که لاستیک به جاده برخورد می کند. سازمان‌ها باید استراتژی‌هایی را اجرا کنند که از افراد، فرآیندها و فناوری برای کمک به مدیریت ریسک و ارائه ارزش استفاده کند.

واضح است که بخش بزرگی از TPGRM به ورودی کیفی انسان ها نیاز دارد، مانند توسعه استراتژی ها یا انجام ممیزی های دقیق. گفته می شود، ما می توانیم به لطف رانندگانی مانند یک تغییر به سمت اتوماسیون بیشتر انتظار داشته باشیم بیمه سایبری که به طور فعال در حال توسعه استانداردها و روش های قابل اندازه گیری برای تعیین کمیت ریسک با پلتفرم های تحلیلی مانند CyberCube هستند.

کمی کردن معیارهای TPGRM

با در نظر گرفتن این موضوع، انتظار دارم در سال‌های آینده شاهد استفاده از پورتال‌های امنیتی و داشبوردهایی باشیم که معیارهای TPGRM را تعیین می‌کنند. این پورتال‌ها برای مدیریت ریسک همان کاری را انجام می‌دهند که پلتفرم‌های مانیتورینگ آپتایم مانند Uptime Robot و Pingdom برای نظارت بر وب‌سایت انجام می‌دهند: مهم‌ترین معیارها را به روشی قابل هضم جمع‌آوری می‌کنند. مانند دنیای نظارت بر وب سایت، ما شاهد سطح متفاوتی از پیچیدگی و عمق در راه حل ها خواهیم بود، اما یک خط پایه استاندارد از معیارهای "مشخصات جدول" ظاهر خواهد شد.

در حال حاضر شاهد هستیم که پلتفرم‌هایی مانند SafeBase با خودکارسازی پرسش‌نامه‌های امنیتی و امکان به اشتراک‌گذاری وضعیت امنیتی در چندین دسته، پیشرفت قابل‌توجهی در اینجا داشته‌اند. شرکت مدیریت ریسک Prevalent در حال حل مشکلات مشابه با تمرکز بر ارائه راه حل ها و خدمات فناوری اطلاعات است.

علاوه بر این، راه حل هایی با تمرکز محدودتر در حال حاضر از اتوماسیون برای حل مشکلات TPGRM در صنایع خاص استفاده می کنند. به عنوان مثال، SignalX به فضای مشکل تجزیه و تحلیل مالی و حقوقی در هند می پردازد تا سازمان ها را قادر سازد تا قبل از عقد قراردادها یا مشارکت با فروشندگان، بررسی های لازم را انجام دهند.

اساساً، این راه‌حل‌ها روند گسترده‌تری را به سوی استانداردسازی و اتوماسیون در فضای TPGRM نشان می‌دهند. ابزارها به تنهایی نمی‌توانند مدیریت ریسک شخص ثالث را حل کنند، اما نیازی در حال ظهور برای مشاهده خودکار ریسک شخص ثالث وجود دارد، و اینجاست که فناوری TPGRM می‌تواند تأثیر واقعی بگذارد.

در سال‌های آینده، من انتظار دارم که برندگان در این فضا ابزارهایی باشند که معیارهای TPGRM "سرفصل" مورد نیاز برای بیمه سایبری و انطباق سازمان‌هایی با اجرای چارچوب TPGRM نسبتاً نابالغ و همچنین آن‌هایی که می‌توانند "پیاده شوند" را ارائه می‌دهند. عمیق» و تجزیه و تحلیل دقیق با استفاده از AI/ML برای شرکت ها ارائه دهد.

قسمت 1 را بخوانید که می پرسد: چه چیزی جایگزین EDR خواهد شد.