SUNBURST(일명)와 같은 정교한 위반 SolarWinds 해킹 2020년 말에 헤드라인을 장식한 내용)은 제XNUMX자 플랫폼과 관련된 위험을 매우 명확하게 보여줍니다. 현대 조직은 금융부터 공급망, IT 서비스 관리(ITSM)에 이르기까지 SaaS를 위해 점점 더 다양한 제XNUMX자에 의존하고 있습니다.
운영 관점에서 볼 때 이것은 훌륭합니다. 조직은 "상황을 계속 유지하는 것"보다는 핵심 가치 제안에 더 중점을 둡니다. 그러나 불편한 보안 상충관계도 있습니다. 플랫폼을 제어하지 않으면 귀하 또는 고객의 데이터를 완전히 제어할 수 없으며 이는 보안 및 규정 준수에 영향을 미칩니다. 마찬가지로, 중요한 비즈니스 기능의 가용성은 여러 외부 플랫폼에 따라 달라지는 경우가 많으며, 그 중 다수는 단일 실패 지점이 될 수 있습니다.
많은 조직에서는 단순히 복잡한 종속성을 탐색하고 위험 성향과 완화를 명확하게 정의하는 것이 실질적인 과제입니다. 제3자 거버넌스 및 위험 관리(TPGRM)는 제3자 관계에서 발생하는 위험에 대한 실사를 분석하고 수행하여 이 문제를 해결하는 것을 목표로 합니다.
TPGRM/TPRM 도구는 많지만 효과적인 위험 관리에는 단순한 기술 이상의 것이 필요합니다. TPGRM을 위한 딜로이트의 3단계 프로세스 TPGRM 프레임워크를 활용하는 데 필요한 변환에 대한 현실적인 분석을 제공합니다. 단계를 요약하면 다음과 같습니다.
- 위험 및 거버넌스 포지셔닝 변경: 이 단계에서는 조직의 위험 재구성을 다룹니다. 전통적으로 위험은 우리가 제거. 우리가 해야 할 일이 되어야 해요 관리.
- 위험 선호도와 방어선 이해: 다음 단계는 다양한 상황에서 조직의 위험 선호도를 정량화하고 해당 위험에 대한 방어선을 식별하는 것입니다.
- TPGRM 프레임워크 설정: 이곳은 고무가 도로에 닿는 곳입니다. 조직은 사람, 프로세스, 기술을 활용하여 위험을 관리하고 가치를 제공하는 전략을 구현해야 합니다.
분명히 TPGRM의 상당 부분에는 전략 개발이나 세부 감사 수행과 같은 인간의 정성적 입력이 필요합니다. 즉, 다음과 같은 드라이버 덕분에 더 많은 자동화로의 전환을 기대할 수 있습니다. 사이버 보험 CyberCube와 같은 분석 플랫폼을 사용하여 위험을 정량화하는 표준과 측정 가능한 방법을 적극적으로 개발하고 있습니다.
TPGRM 지표 정량화
이를 염두에 두고 향후 몇 년 동안 TPGRM 지표를 정량화하는 보안 포털과 대시보드의 사용이 급증할 것으로 예상됩니다. 이러한 포털은 Uptime Robot 및 Pingdom과 같은 가동 시간 모니터링 플랫폼이 웹 사이트 모니터링을 위해 수행하는 것과 같은 위험 관리를 위해 수행됩니다. 가장 중요한 측정 항목을 쉽게 소화할 수 있는 방식으로 롤업합니다. 웹 사이트 모니터링 세계와 마찬가지로 솔루션 전반에 걸쳐 다양한 수준의 정교함과 깊이를 볼 수 있지만 "테이블 스테이크" 측정 기준의 표준 기준이 나타날 것입니다.
우리는 보안 설문지를 자동화하고 공급업체가 여러 범주에 걸쳐 보안 상태를 공유할 수 있도록 함으로써 SafeBase와 같은 플랫폼이 상당한 진전을 이루는 것을 이미 목격하고 있습니다. 위험 관리 회사인 Prevalent는 IT 솔루션과 서비스를 모두 제공하는 데 중점을 두고 유사한 문제를 해결하고 있습니다.
또한 더 좁은 범위의 솔루션은 이미 자동화를 활용하여 특정 산업의 TPGRM 문제를 해결하고 있습니다. 예를 들어, SignalX는 인도의 재무 및 법률 분석 문제를 해결하여 조직이 공급업체와 계약 또는 파트너십을 체결하기 전에 더 나은 실사를 수행할 수 있도록 합니다.
기본적으로 이러한 솔루션은 TPGRM 분야에서 표준화 및 자동화를 향한 광범위한 추세를 보여줍니다. 도구만으로는 제3자 위험 관리를 해결할 수 없지만 제3자 위험에 대한 자동화된 가시성에 대한 필요성이 대두되고 있으며 이것이 바로 TPGRM 기술이 실질적인 영향을 미칠 수 있는 부분입니다.
앞으로 몇 년 동안 이 분야의 승자는 상대적으로 미숙한 TPGRM 프레임워크 구현을 갖춘 조직의 사이버 보험 및 규정 준수에 필요한 "헤드라인" TPGRM 측정항목에 대한 가시성을 제공하는 도구가 될 것으로 기대합니다. deep'을 통해 기업용 AI/ML을 활용한 상세한 분석을 제공합니다.
1부를 읽으십시오. 질문은 다음과 같습니다. EDR을 대체할 것.
