SUNBURST (別名 SolarWinds のハック 2020 年後半に見出しを飾った)は、サードパーティのプラットフォームに関連するリスクを非常に明確にしています。 現代の組織は、金融からサプライ チェーン、IT サービス管理 (ITSM) に至るまで、SaaS をさまざまなサード パーティにますます依存するようになっています。
運用の観点から、これは素晴らしいことです。 組織は、「電気をつけ続ける」ことよりも、中核となる価値提案に重点を置いています。 ただし、不快なセキュリティのトレードオフもあります。 プラットフォームを管理しなければ、自社または顧客のデータを完全に管理することはできず、セキュリティとコンプライアンスに影響します。 同様に、重要なビジネス機能の可用性は、複数の外部プラットフォームに依存することが多く、その多くが単一障害点になる可能性があります。
多くの組織にとって、複雑な依存関係をナビゲートし、リスク選好度と軽減策を明確に定義することは、実際の課題です。 サードパーティのガバナンスとリスク管理 (TPGRM) は、サードパーティとの関係に起因するリスクを分析してデューデリジェンスを実行することにより、この問題を解決することを目的としています。
TPGRM/TPRM ツールはたくさんありますが、効果的なリスク管理には技術だけでは不十分です。 TPGRM に関するデロイトの XNUMX ステップ プロセス TPGRM フレームワークを活用するために必要な変換の現実的な内訳を提供します。 手順を要約すると、次のようになります。
- リスクとガバナンスのポジショニングを変更する: このステップでは、組織内のリスクの再構成を扱います。 従来、リスクは私たちが 排除する. それは私たちが何かになる必要があります 管理します.
- リスク選好と防御線を理解する: 次のステップは、組織のリスク選好度をさまざまな状況で定量化し、それらのリスクに対する防御線を特定することです。
- TPGRM フレームワークを確立します。 これは、ゴムが道路に当たる場所です。 組織は、人、プロセス、技術を活用してリスクを管理し、価値を提供する戦略を実装する必要があります。
明らかに、TPGRM の大部分は、戦略の策定や詳細な監査の実施など、人間による定性的なインプットを必要とします。 とはいえ、次のようなドライバーのおかげで、より多くの自動化への移行が期待できます。 サイバー保険 CyberCube などの分析プラットフォームを使用してリスクを定量化するための標準と測定可能な方法を積極的に開発しています。
TPGRM メトリックの定量化
それを念頭に置いて、今後数年間でTPGRMメトリックの急増を定量化するセキュリティポータルとダッシュボードの使用が見られると予想しています. これらのポータルは、Uptime Robot や Pingdom などのアップタイム監視プラットフォームが Web サイトの監視に対して行うリスク管理の役割を果たします。つまり、最も重要なメトリックを簡単に消化できる方法でロールアップします。 ウェブサイト監視の世界と同様に、ソリューション全体でさまざまなレベルの洗練度と深さが見られますが、「テーブル ステーク」メトリックの標準ベースラインが出現します。
SafeBase のようなプラットフォームは、セキュリティ アンケートを自動化し、ベンダーが複数のカテゴリにわたってセキュリティ体制を共有できるようにすることで、ここで大きな進歩を遂げています。 リスク管理会社の Prevalent は、IT ソリューションとサービスの両方を提供することに重点を置いて、同様の問題を解決しています。
さらに、特定の業界で TPGRM の問題を解決するために、すでに自動化を活用した、より狭い範囲のソリューションがあります。 たとえば、SignalX は、組織がベンダーとの契約またはパートナーシップを締結する前に、より適切なデューデリジェンスを実行できるようにするために、インドの財務および法律分析の問題領域に取り組んでいます。
基本的に、これらのソリューションは、TPGRM 分野における標準化と自動化への幅広いトレンドを示しています。 ツールだけではサードパーティのリスク管理を解決することはできませんが、サードパーティのリスクを自動的に可視化する必要性が新たに生じており、TPGRM テクノロジが真の影響を与えることができるのはそこです。
今後、この分野の勝者は、TPGRM フレームワークの実装が比較的未熟な組織のサイバー保険とコンプライアンスに必要な「主要な」TPGRM 指標を可視化するツールと、 deep」を採用し、エンタープライズ向けの AI/ML を使用した詳細な分析を提供します。
パート 1 を読んでください。 EDRに代わるもの.
