Violazioni sofisticate come SUNBURST (aka l'hack di SolarWinds che ha fatto notizia alla fine del 2020) rendono abbondantemente chiaro il rischio associato alle piattaforme di terze parti. Le organizzazioni moderne dipendono sempre più da una varietà di terze parti per SaaS, dalla finanza alla supply chain fino alla gestione dei servizi IT (ITSM).
Dal punto di vista delle operazioni, questo è fantastico. Le organizzazioni si concentrano meno sul "mantenere le luci accese" e più sulle loro proposte di valore fondamentali. Tuttavia, c'è anche uno scomodo compromesso di sicurezza. Se non controlli la piattaforma, non controlli completamente i tuoi dati o quelli dei tuoi clienti, il che ha implicazioni per la sicurezza e la conformità. Allo stesso modo, la disponibilità delle funzioni aziendali critiche spesso dipende da più piattaforme esterne, molte delle quali possono rappresentare un singolo punto di errore.
Per molte organizzazioni, la semplice navigazione tra le complesse dipendenze e la definizione chiara della propensione al rischio e delle mitigazioni sono sfide reali. La governance e la gestione del rischio di terze parti (TPGRM) mira a risolvere questo problema analizzando ed eseguendo la due diligence sui rischi derivanti dai rapporti con terze parti.
Sebbene esistano molti strumenti TPGRM/TPRM, una gestione efficace del rischio richiede molto più della semplice tecnologia. Il processo in tre fasi di Deloitte per TPGRM fornisce una ripartizione realistica della trasformazione necessaria per sfruttare un framework TPGRM. Riassumendo i passaggi:
- Modificare il rischio e il posizionamento della governance: Questo passaggio si occupa della ristrutturazione del rischio in un'organizzazione. Tradizionalmente, il rischio è stato qualcosa di noi eliminato. Deve diventare qualcosa di noi gestire.
- Comprendere la propensione al rischio e le linee di difesa: Il passaggio successivo consiste nel quantificare la propensione al rischio di un'organizzazione in diversi contesti e nell'identificare le linee di difesa contro tali rischi.
- Stabilire un framework TPGRM: È qui che la gomma colpisce la strada. Le organizzazioni devono implementare strategie che sfruttino persone, processi e tecnologia per aiutare a gestire il rischio e fornire valore.
Chiaramente, gran parte del TPGRM richiederà input qualitativi da parte degli esseri umani, come lo sviluppo di strategie o la conduzione di audit dettagliati. Detto questo, possiamo aspettarci uno spostamento verso una maggiore automazione grazie a driver come assicurazione informatica che stanno attivamente sviluppando standard e modi misurabili per quantificare il rischio con piattaforme di analisi come CyberCube.
Quantificazione delle metriche TPGRM
Con questo in mente, mi aspetto di vedere l'uso di portali di sicurezza e dashboard che quantificano il picco delle metriche TPGRM nei prossimi anni. Questi portali faranno per la gestione del rischio ciò che le piattaforme di monitoraggio dei tempi di attività come Uptime Robot e Pingdom fanno per il monitoraggio dei siti Web: raggruppare le metriche più importanti in un modo facilmente digeribile. Come nel mondo del monitoraggio dei siti web, vedremo un livello variabile di sofisticazione e profondità tra le soluzioni, ma emergerà una linea di base standard di metriche di "tavolo da tavolo".
Stiamo già vedendo piattaforme come SafeBase fare progressi sostanziali qui automatizzando i questionari sulla sicurezza e consentendo ai fornitori di condividere la posizione di sicurezza tra più categorie. La società di gestione del rischio Prevalent sta risolvendo problemi simili con l'obiettivo di fornire soluzioni e servizi IT.
Inoltre, le soluzioni con un focus più ristretto stanno già sfruttando l'automazione per risolvere i problemi di TPGRM in settori specifici. Ad esempio, SignalX sta affrontando lo spazio problematico dell'analisi finanziaria e legale in India per consentire alle organizzazioni di eseguire una migliore due diligence prima di stipulare contratti o partnership con i fornitori.
Fondamentalmente, queste soluzioni dimostrano la tendenza più ampia verso la standardizzazione e l'automazione nello spazio TPGRM. Gli strumenti da soli non risolveranno la gestione del rischio di terze parti, ma c'è un'esigenza emergente di visibilità automatizzata del rischio di terze parti, ed è qui che la tecnologia TPGRM può avere un impatto reale.
Negli anni a venire, mi aspetto che i vincitori nello spazio siano gli strumenti che forniscono visibilità sulle metriche TPGRM "principali" richieste per l'assicurazione informatica e la conformità per le organizzazioni con implementazioni del framework TPGRM relativamente immature, nonché quelle che possono "andare deep” e fornire analisi dettagliate utilizzando AI/ML per le imprese.
Leggi la parte 1, che chiede: Cosa sostituirà EDR.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
