Pelanggaran canggih seperti SUNBURST (alias peretasan SolarWinds yang menjadi berita utama di akhir tahun 2020) memperjelas risiko yang terkait dengan platform pihak ketiga. Organisasi modern semakin bergantung pada berbagai pihak ketiga untuk SaaS โ mulai dari keuangan hingga rantai pasokan hingga manajemen layanan TI (ITSM).
Dari perspektif operasi, ini bagus. Organisasi kurang fokus pada "menyalakan lampu" dan lebih pada proposisi nilai inti mereka. Namun, ada juga tradeoff keamanan yang tidak nyaman. Jika Anda tidak mengontrol platform, Anda tidak sepenuhnya mengontrol โ atau pelanggan Anda โ data Anda, yang memiliki implikasi keamanan dan kepatuhan. Demikian pula, ketersediaan fungsi bisnis penting seringkali bergantung pada berbagai platform eksternal, banyak di antaranya dapat menjadi satu titik kegagalan.
Bagi banyak organisasi, hanya menavigasi ketergantungan yang kompleks dan dengan jelas mendefinisikan selera risiko dan mitigasi merupakan tantangan nyata. Tata kelola pihak ketiga dan manajemen risiko (TPGRM) bertujuan untuk mengatasi masalah ini dengan menganalisis dan melakukan uji tuntas terhadap risiko yang berasal dari hubungan pihak ketiga.
Meskipun ada banyak alat TPGRM/TPRM, manajemen risiko yang efektif memerlukan lebih dari sekadar teknologi. Proses tiga langkah Deloitte untuk TPGRM memberikan perincian realistis dari transformasi yang diperlukan untuk memanfaatkan kerangka kerja TPGRM. Untuk meringkas langkah-langkahnya:
- Ubah posisi risiko dan tata kelola: Langkah ini berkaitan dengan reframing risiko dalam suatu organisasi. Secara tradisional, risiko telah menjadi sesuatu yang kita menghapuskan. Itu perlu menjadi sesuatu yang kita mengelola.
- Memahami selera risiko dan garis pertahanan: Langkah selanjutnya dipecah menjadi mengukur selera risiko organisasi dalam konteks yang berbeda dan mengidentifikasi garis pertahanan terhadap risiko tersebut.
- Menetapkan kerangka kerja TPGRM: Di sinilah karet menyentuh jalan. Organisasi harus menerapkan strategi yang memanfaatkan orang, proses, dan teknologi untuk membantu mengelola risiko dan menghasilkan nilai.
Jelas, sebagian besar TPGRM akan membutuhkan masukan kualitatif dari manusia, seperti mengembangkan strategi atau melakukan audit terperinci. Yang mengatakan, kita dapat mengharapkan pergeseran ke arah otomatisasi berkat driver seperti asuransi dunia maya yang secara aktif mengembangkan standar dan cara terukur untuk mengukur risiko dengan platform analitik seperti CyberCube.
Mengukur Metrik TPGRM
Dengan mengingat hal itu, saya berharap untuk melihat penggunaan portal dan dasbor keamanan yang mengukur lonjakan metrik TPGRM di tahun-tahun mendatang. Portal ini akan melakukan manajemen risiko seperti yang dilakukan platform pemantauan uptime seperti Robot Uptime dan Pingdom untuk pemantauan situs web: menampilkan metrik terpenting dengan cara yang mudah dicerna. Seperti dunia pemantauan situs web, kita akan melihat berbagai tingkat kecanggihan dan kedalaman di seluruh solusi, tetapi dasar standar metrik "taruhan meja" akan muncul.
Kami telah melihat platform seperti SafeBase membuat kemajuan besar di sini dengan mengotomatiskan kuesioner keamanan dan memungkinkan vendor berbagi postur keamanan di berbagai kategori. Perusahaan manajemen risiko Prevalent memecahkan masalah serupa dengan fokus pada penyediaan solusi dan layanan TI.
Selain itu, solusi dengan fokus yang lebih sempit sudah memanfaatkan otomatisasi untuk menyelesaikan masalah TPGRM di industri tertentu. Misalnya, SignalX menangani ruang masalah analisis keuangan dan hukum di India untuk memungkinkan organisasi melakukan uji tuntas yang lebih baik sebelum memasuki kontrak atau kemitraan dengan vendor.
Pada dasarnya, solusi ini menunjukkan tren yang lebih luas menuju standardisasi dan otomatisasi di ruang TPGRM. Alat saja tidak akan menyelesaikan manajemen risiko pihak ketiga, tetapi ada kebutuhan yang muncul untuk visibilitas otomatis ke dalam risiko pihak ketiga, dan di situlah teknologi TPGRM dapat memberikan dampak yang nyata.
Di tahun-tahun mendatang, saya berharap para pemenang di bidang ini akan menjadi alat yang memberikan visibilitas ke dalam metrik TPGRM โtajuk utamaโ yang diperlukan untuk asuransi dunia maya dan kepatuhan bagi organisasi dengan implementasi kerangka kerja TPGRM yang relatif belum matang, serta organisasi yang dapat โberjalanโ. deepโ dan memberikan analisis mendetail menggunakan AI/ML untuk perusahaan.
Baca bagian 1, yang menanyakan: Apa yang akan menggantikan EDR.
