הפרות מתוחכמות כמו SUNBURST (aka הפריצה של SolarWinds שעלה לכותרות בסוף 2020) מבהירים היטב את הסיכון הכרוך בפלטפורמות של צד שלישי. ארגונים מודרניים תלויים יותר ויותר במגוון צדדים שלישיים עבור SaaS - הכל מפיננסים לשרשרת אספקה ועד לניהול שירותי IT (ITSM).
מנקודת מבט תפעולית, זה נהדר. ארגונים מתמקדים פחות ב"לשמור על האורות דולקים" ויותר בהצעות הערך המרכזיות שלהם. עם זאת, יש גם פשרה אבטחה לא נוחה. אם אינך שולט בפלטפורמה, אינך שולט לחלוטין בנתונים שלך - או של הלקוח שלך - שיש לו השלכות אבטחה ותאימות. באופן דומה, הזמינות של פונקציות עסקיות קריטיות תלויה לרוב במספר פלטפורמות חיצוניות, שרבות מהן יכולות להיות נקודת כשל בודדת.
עבור ארגונים רבים, פשוט ניווט בין התלות המורכבת והגדרה ברורה של תיאבון סיכון והפחתות הם אתגרים אמיתיים. ממשל וניהול סיכונים של צד שלישי (TPGRM) מטרתו לפתור בעיה זו על ידי ניתוח וביצוע בדיקת נאותות על סיכונים הנובעים מיחסי צד שלישי.
למרות שיש הרבה כלים של TPGRM/TPRM, ניהול סיכונים יעיל דורש יותר מסתם טכנולוגיה. תהליך שלושת השלבים של Deloitte עבור TPGRM מספק פירוט ריאלי של השינוי הנדרש למינוף מסגרת TPGRM. לסיכום השלבים:
- שנה את מיצוב הסיכון והממשל: שלב זה עוסק במסגור מחדש של סיכונים בארגון. באופן מסורתי, סיכון היה משהו שאנחנו בוטל. זה צריך להפוך למשהו שאנחנו לנהל.
- הבן את תיאבון הסיכון ואת קווי ההגנה: השלב הבא נחלק לכימות תיאבון הסיכון של הארגון בהקשרים שונים וזיהוי קווי הגנה מפני סיכונים אלו.
- צור מסגרת TPGRM: זה המקום שבו הגומי פוגע בכביש. ארגונים חייבים ליישם אסטרטגיות הממנפות אנשים, תהליכים וטכנולוגיה כדי לסייע בניהול סיכונים ובמתן ערך.
ברור שחלק גדול מ-TPGRM ידרוש קלט איכותי מבני אדם, כגון פיתוח אסטרטגיות או ביצוע ביקורות מפורטות. עם זאת, אנו יכולים לצפות למעבר לעבר יותר אוטומציה הודות לנהגים כמו ביטוח סייבר המפתחים באופן פעיל סטנדרטים ודרכים מדידות לכימות סיכונים באמצעות פלטפורמות אנליטיות כמו CyberCube.
כימות מדדי TPGRM
עם זאת בחשבון, אני מצפה לראות את השימוש בפורטלי אבטחה ובמרכזי מחוונים שמכמתים את עליית מדדי ה-TPGRM בשנים הקרובות. הפורטלים הללו יעשו לניהול סיכונים את מה שפלטפורמות ניטור זמן פעולה כמו Uptime Robot ו-Pingdom עושות לניטור אתרים: לגלגל את המדדים החשובים ביותר בצורה קלה לעיכול. כמו עולם הניטור של אתרים, נראה רמה משתנה של תחכום ועומק על פני פתרונות, אך תופיע קו בסיס סטנדרטי של מדדי "הימור בטבלה".
אנחנו כבר רואים פלטפורמות כמו SafeBase מתקדמת משמעותית כאן על ידי אוטומציה של שאלוני אבטחה ומאפשרת לספקים לחלוק תנוחת אבטחה על פני מספר קטגוריות. חברת ניהול הסיכונים Prevalent פותרת בעיות דומות תוך התמקדות במתן פתרונות ושירותי IT כאחד.
בנוסף, פתרונות עם מיקוד מצומצם יותר כבר ממנפים אוטומציה כדי לפתור בעיות TPGRM בתעשיות ספציפיות. לדוגמה, SignalX מטפלת במרחב הבעייתי של ניתוח פיננסי ומשפטי בהודו כדי לאפשר לארגונים לבצע בדיקת נאותות טובה יותר לפני כניסה לחוזים או שותפויות עם ספקים.
ביסודו של דבר, פתרונות אלה מדגימים את המגמה הרחבה יותר לסטנדרטיזציה ואוטומציה בתחום ה-TPGRM. כלים לבדם לא יפתרו ניהול סיכונים של צד שלישי, אבל יש צורך מתעורר בנראות אוטומטית לסיכון של צד שלישי, ושם טכנולוגיית TPGRM יכולה להשפיע ממשית.
בשנים הבאות, אני מצפה שהמנצחים במרחב יהיו הכלים שיספקו נראות לתוך מדדי ה-TPGRM ה"כותרתיים" הנדרשים לביטוח סייבר ותאימות לארגונים עם יישומי מסגרת TPGRM לא בוגרים יחסית, כמו גם כאלו שיכולים "ללכת". עמוק" ולספק ניתוח מפורט באמצעות AI/ML עבור ארגונים.
קרא את חלק 1, ששואל: מה יחליף את EDR.
