Kifinomult jogsértések, mint például a SUNBURST (alias a SolarWinds hack amelyek 2020 végén kerültek a címlapokra) teljesen egyértelművé teszik a harmadik fél platformjaihoz kapcsolódó kockázatot. A modern szervezetek egyre inkább függenek számos harmadik féltől a SaaS területén – a pénzügyektől az ellátási láncon át az IT-szolgáltatásmenedzsmentig (ITSM) mindenre.
A műveletek szempontjából ez nagyszerű. A szervezetek kevésbé összpontosítanak a „lámpák égve tartására”, hanem inkább az alapvető értékajánlatokra. Van azonban egy kényelmetlen biztonsági kompromisszum is. Ha nem Ön irányítja a platformot, akkor nem tudja teljes mértékben irányítani saját – vagy ügyfele – adatait, aminek biztonsági és megfelelőségi vonatkozásai is vannak. Hasonlóképpen, a kritikus üzleti funkciók elérhetősége gyakran több külső platformtól függ, amelyek közül sok egyetlen hibapont is lehet.
Sok szervezet számára igazi kihívást jelent az összetett függőségek egyszerű eligazodása, valamint a kockázatvállalási hajlandóság és a kockázatcsökkentési lehetőségek világos meghatározása. A harmadik felek irányítása és kockázatkezelése (TPGRM) ezt a problémát a harmadik felekkel fennálló kapcsolatokból származó kockázatok elemzésével és átvilágításával kívánja megoldani.
Noha rengeteg TPGRM/TPRM-eszköz létezik, a hatékony kockázatkezelés nem csupán technológiát igényel. A Deloitte háromlépéses folyamata a TPGRM-hez a TPGRM keretrendszer kihasználásához szükséges átalakítás reális lebontását nyújtja. Összefoglalva a lépéseket:
- Változtassa meg a kockázatot és az irányítási pozíciót: Ez a lépés a szervezet kockázatának újrakeretezésével foglalkozik. Hagyományosan mi voltunk a kockázattal megszüntetése. Olyasmivé kell válnia, mint mi kezelése.
- Ismerje meg a kockázati étvágyat és a védelmi vonalakat: A következő lépés a szervezet kockázati étvágyának számszerűsítése a különböző kontextusokban, és az ezekkel a kockázatokkal szembeni védelmi vonalak meghatározása.
- Hozzon létre egy TPGRM keretrendszert: Itt ütközik a gumi az úton. A szervezeteknek olyan stratégiákat kell megvalósítaniuk, amelyek kihasználják az embereket, a folyamatokat és a technológiát a kockázatkezelés és az értékteremtés érdekében.
Nyilvánvaló, hogy a TPGRM nagy része minőségi hozzájárulást igényel az emberektől, például stratégiák kidolgozásához vagy részletes auditok elvégzéséhez. Ennek ellenére számíthatunk az automatizálás felé való elmozdulásra, köszönhetően a hasonló vezetőknek számítógépes biztosítás amelyek aktívan fejlesztenek szabványokat és mérhető módszereket a kockázat számszerűsítésére olyan elemző platformokkal, mint a CyberCube.
TPGRM-metrikák számszerűsítése
Ezt szem előtt tartva azt várom, hogy az elkövetkező években a biztonsági portálok és a TPGRM-metrikákat számszerűsítő irányítópultok használata megugrott. Ezek a portálok a kockázatkezelés terén azt teszik majd, amit az üzemidő-felügyeleti platformok, például az Uptime Robot és a Pingdom a webhelyek figyelésére: a legfontosabb mutatókat könnyen emészthető módon összesítik. A webhelyfigyelő világhoz hasonlóan a megoldások eltérő szintű kifinomultságát és mélységét tapasztaljuk majd, de az „asztal tét” mérőszámok szabványos alapvonala alakul ki.
Már most látjuk, hogy a SafeBase-hez hasonló platformok jelentős előrelépést tesznek itt a biztonsági kérdőívek automatizálásával, és lehetővé teszik a szállítók számára, hogy több kategóriában megosszák a biztonsági helyzetet. A Prevalent kockázatkezelő cég hasonló problémákat old meg, mind az informatikai megoldások, mind a szolgáltatások nyújtására összpontosítva.
Ezenkívül a szűkebb fókuszú megoldások már az automatizálást is kihasználják a TPGRM-problémák megoldására bizonyos iparágakban. A SignalX például az indiai pénzügyi és jogi elemzés problémáival foglalkozik, hogy lehetővé tegye a szervezetek számára, hogy jobb átvilágítást végezzenek, mielőtt szerződést kötnének vagy partnerséget kötnének a szállítókkal.
Ezek a megoldások alapvetően a szabványosítás és az automatizálás irányába mutatkozó szélesebb tendenciát mutatják a TPGRM térben. Az eszközök önmagukban nem oldják meg a harmadik fél kockázatkezelését, de egyre nagyobb szükség van a harmadik felek kockázatainak automatizált láthatóságára, és ez az, ahol a TPGRM technológia valódi hatást gyakorolhat.
Az elkövetkező években arra számítok, hogy a tér nyertesei azok az eszközök lesznek, amelyek rálátást biztosítanak a kiberbiztosításhoz és a megfelelőséghez szükséges „főcímű” TPGRM mérőszámokhoz a viszonylag kiforratlan TPGRM-keretrendszer megvalósításával rendelkező szervezetek számára, valamint azok számára, amelyek „menni tudnak” mély”, és részletes elemzést nyújt az AI/ML segítségével a vállalkozások számára.
Olvassa el az 1. részt, amely a következőt kérdezi: Mi váltja fel az EDR-t?.
