सनबर्स्ट (उर्फ) जैसे परिष्कृत उल्लंघन सोलरविंड्स हैक जो 2020 के अंत में सुर्खियाँ बनीं) तीसरे पक्ष के प्लेटफार्मों से जुड़े जोखिम को पूरी तरह से स्पष्ट करती हैं। आधुनिक संगठन SaaS के लिए विभिन्न तृतीय पक्षों पर निर्भर हो रहे हैं - वित्त से लेकर आपूर्ति श्रृंखला से लेकर आईटी सेवा प्रबंधन (ITSM) तक सब कुछ।
संचालन के दृष्टिकोण से, यह बहुत अच्छा है। संगठन "रोशनी चालू रखने" पर कम और अपने मूल मूल्य प्रस्तावों पर अधिक ध्यान केंद्रित करते हैं। हालाँकि, एक असुविधाजनक सुरक्षा समझौता भी है। यदि आप प्लेटफ़ॉर्म को नियंत्रित नहीं करते हैं, तो आप अपने - या अपने ग्राहक के - डेटा को पूरी तरह से नियंत्रित नहीं करते हैं, जिसका सुरक्षा और अनुपालन संबंधी प्रभाव पड़ता है। इसी तरह, महत्वपूर्ण व्यावसायिक कार्यों की उपलब्धता अक्सर कई बाहरी प्लेटफार्मों पर निर्भर करती है, जिनमें से कई विफलता का एक ही बिंदु हो सकते हैं।
कई संगठनों के लिए, जटिल निर्भरताओं को समझना और जोखिम की भूख और शमन को स्पष्ट रूप से परिभाषित करना वास्तविक चुनौतियां हैं। तृतीय-पक्ष शासन और जोखिम प्रबंधन (टीपीजीआरएम) का उद्देश्य तृतीय-पक्ष संबंधों से उत्पन्न जोखिमों का विश्लेषण और उचित परिश्रम करके इस समस्या को हल करना है।
हालाँकि बहुत सारे टीपीजीआरएम/टीपीआरएम उपकरण मौजूद हैं, लेकिन प्रभावी जोखिम प्रबंधन के लिए केवल तकनीक से कहीं अधिक की आवश्यकता होती है। टीपीजीआरएम के लिए डेलॉइट की तीन-चरणीय प्रक्रिया टीपीजीआरएम ढांचे का लाभ उठाने के लिए आवश्यक परिवर्तन का यथार्थवादी विवरण प्रदान करता है। चरणों को संक्षेप में प्रस्तुत करने के लिए:
- जोखिम और शासन स्थिति बदलें: यह कदम किसी संगठन में जोखिम के पुनर्निर्धारण से संबंधित है। परंपरागत रूप से, जोखिम एक ऐसी चीज़ रही है को खत्म करने. इसे हम कुछ बनने की जरूरत है प्रबंधन.
- जोखिम उठाने की क्षमता और बचाव की रेखाओं को समझें: अगला चरण विभिन्न संदर्भों में किसी संगठन की जोखिम उठाने की क्षमता को मापने और उन जोखिमों के खिलाफ रक्षा की रेखाओं की पहचान करने में विभाजित है।
- एक टीपीजीआरएम ढांचा स्थापित करें: यहीं पर रबर सड़क पर गिरता है। संगठनों को ऐसी रणनीतियाँ लागू करनी चाहिए जो जोखिम प्रबंधन और मूल्य प्रदान करने में मदद करने के लिए लोगों, प्रक्रियाओं और तकनीक का लाभ उठाएँ।
स्पष्ट रूप से, टीपीजीआरएम के एक बड़े हिस्से के लिए मनुष्यों से गुणात्मक इनपुट की आवश्यकता होगी, जैसे रणनीति विकसित करना या विस्तृत ऑडिट करना। जैसा कि कहा गया है, हम ऐसे ड्राइवरों की बदौलत अधिक स्वचालन की ओर बदलाव की उम्मीद कर सकते हैं साइबर बीमा जो साइबरक्यूब जैसे एनालिटिक्स प्लेटफॉर्म के साथ जोखिम को मापने के लिए सक्रिय रूप से मानक और मापने योग्य तरीके विकसित कर रहे हैं।
टीपीजीआरएम मेट्रिक्स की मात्रा निर्धारित करना
इसे ध्यान में रखते हुए, मुझे आने वाले वर्षों में टीपीजीआरएम मेट्रिक्स की मात्रा निर्धारित करने वाले सुरक्षा पोर्टल और डैशबोर्ड का उपयोग देखने की उम्मीद है। ये पोर्टल जोखिम प्रबंधन के लिए वही करेंगे जो अपटाइम रोबोट और पिंगडोम जैसे अपटाइम मॉनिटरिंग प्लेटफॉर्म वेबसाइट मॉनिटरिंग के लिए करते हैं: सबसे महत्वपूर्ण मेट्रिक्स को आसानी से पचने योग्य तरीके से रोल अप करें। वेबसाइट निगरानी की दुनिया की तरह, हम समाधानों में परिष्कार और गहराई का एक अलग स्तर देखेंगे, लेकिन "टेबल स्टेक्स" मेट्रिक्स की एक मानक आधार रेखा उभर कर आएगी।
हम पहले से ही देख रहे हैं कि सेफबेस जैसे प्लेटफ़ॉर्म सुरक्षा प्रश्नावली को स्वचालित करके और विक्रेताओं को कई श्रेणियों में सुरक्षा स्थिति साझा करने में सक्षम बनाकर पर्याप्त प्रगति कर रहे हैं। जोखिम प्रबंधन कंपनी प्रीवेलेंट आईटी समाधान और सेवाएं दोनों प्रदान करने पर ध्यान केंद्रित करते हुए समान समस्याओं का समाधान कर रही है।
इसके अतिरिक्त, विशिष्ट उद्योगों में टीपीजीआरएम समस्याओं को हल करने के लिए संकीर्ण फोकस वाले समाधान पहले से ही स्वचालन का लाभ उठा रहे हैं। उदाहरण के लिए, सिग्नलएक्स भारत में वित्तीय और कानूनी विश्लेषण की समस्या को संबोधित कर रहा है ताकि संगठनों को विक्रेताओं के साथ अनुबंध या साझेदारी में प्रवेश करने से पहले बेहतर परिश्रम करने में सक्षम बनाया जा सके।
मौलिक रूप से, ये समाधान टीपीजीआरएम क्षेत्र में मानकीकरण और स्वचालन की ओर व्यापक रुझान प्रदर्शित करते हैं। अकेले उपकरण तीसरे पक्ष के जोखिम प्रबंधन को हल नहीं कर पाएंगे, लेकिन तीसरे पक्ष के जोखिम में स्वचालित दृश्यता की उभरती हुई आवश्यकता है, और यहीं पर टीपीजीआरएम तकनीक वास्तविक प्रभाव डाल सकती है।
आने वाले वर्षों में, मुझे उम्मीद है कि इस क्षेत्र में विजेता वे उपकरण होंगे जो साइबर बीमा के लिए आवश्यक "हेडलाइन" टीपीजीआरएम मेट्रिक्स में दृश्यता प्रदान करते हैं और अपेक्षाकृत अपरिपक्व टीपीजीआरएम ढांचे के कार्यान्वयन वाले संगठनों के लिए अनुपालन करते हैं, साथ ही जो "जा सकते हैं" गहन” और उद्यमों के लिए एआई/एमएल का उपयोग करके विस्तृत विश्लेषण प्रदान करें।
भाग 1 पढ़ें, जो पूछता है: ईडीआर की जगह क्या लेगा.
