Geavanceerde inbreuken zoals SUNBURST (aka de SolarWinds-hack die eind 2020 de krantenkoppen haalden) maken het risico dat verbonden is aan platforms van derden overduidelijk. Moderne organisaties zijn voor SaaS steeds afhankelijker van een verscheidenheid aan derde partijen – van financiën tot supply chain tot IT-servicemanagement (ITSM).
Vanuit operationeel perspectief is dit geweldig. Organisaties richten zich minder op ‘het licht aanhouden’ en meer op hun kernwaardeproposities. Er is echter ook een ongemakkelijke afweging op het gebied van beveiliging. Als u geen controle heeft over het platform, heeft u ook niet de volledige controle over uw gegevens (of die van uw klanten), wat implicaties heeft voor de beveiliging en compliance. Op dezelfde manier is de beschikbaarheid van kritieke bedrijfsfuncties vaak afhankelijk van meerdere externe platforms, waarvan er vele één enkel storingspunt kunnen zijn.
Voor veel organisaties zijn het eenvoudigweg navigeren door de complexe afhankelijkheden en het duidelijk definiëren van de risicobereidheid en -mitigaties een echte uitdaging. Third party governance and risk management (TPGRM) heeft tot doel dit probleem op te lossen door het analyseren en uitvoeren van due diligence op risico's die voortvloeien uit relaties met derden.
Hoewel er tal van TPGRM/TPRM-tools zijn, is voor effectief risicobeheer meer nodig dan alleen technologie. Het driestappenproces van Deloitte voor TPGRM biedt een realistisch overzicht van de transformatie die nodig is om een TPGRM-framework te benutten. Om de stappen samen te vatten:
- Verander de risico- en governancepositionering: Deze stap gaat over het herkaderen van risico’s in een organisatie. Traditioneel is risico iets wat wij doen elimineren. Het moet iets van ons worden beheer.
- Begrijp de risicobereidheid en verdedigingslinies: De volgende stap bestaat uit het kwantificeren van de risicobereidheid van een organisatie in verschillende contexten en het identificeren van verdedigingslinies tegen die risico’s.
- Zet een TPGRM-framework op: Dit is waar het rubber de weg raakt. Organisaties moeten strategieën implementeren die mensen, processen en technologie inzetten om risico's te helpen beheersen en waarde te leveren.
Het is duidelijk dat een groot deel van TPGRM kwalitatieve input van mensen zal vereisen, zoals het ontwikkelen van strategieën of het uitvoeren van gedetailleerde audits. Dat gezegd hebbende, kunnen we een verschuiving naar meer automatisering verwachten dankzij chauffeurs zoals cyberverzekering die actief normen en meetbare manieren ontwikkelen om risico's te kwantificeren met analyseplatforms zoals CyberCube.
Kwantificeren van TPGRM-statistieken
Met dat in gedachten verwacht ik dat het gebruik van beveiligingsportals en dashboards die de TPGRM-statistieken kwantificeren de komende jaren zal toenemen. Deze portalen zullen voor risicobeheer doen wat uptime-monitoringplatforms zoals Uptime Robot en Pingdom doen voor website-monitoring: de belangrijkste statistieken op een gemakkelijk verteerbare manier samenvatten. Net als in de wereld van websitemonitoring zullen we bij de oplossingen een wisselend niveau van verfijning en diepgang zien, maar er zal een standaard basislijn van ‘table stakes’-statistieken ontstaan.
We zien dat platforms als SafeBase hier al aanzienlijke vooruitgang boeken door beveiligingsvragenlijsten te automatiseren en leveranciers in staat te stellen de beveiligingshouding over meerdere categorieën te delen. Risicobeheerbedrijf Prevalent lost soortgelijke problemen op met een focus op het leveren van zowel IT-oplossingen als -diensten.
Bovendien maken oplossingen met een beperktere focus al gebruik van automatisering om TPGRM-problemen in specifieke industrieën op te lossen. SignalX pakt bijvoorbeeld de probleemruimte van financiële en juridische analyses in India aan om organisaties in staat te stellen beter due diligence uit te voeren voordat ze contracten of partnerschappen met leveranciers aangaan.
In wezen demonstreren deze oplossingen de bredere trend naar standaardisatie en automatisering in de TPGRM-ruimte. Tools alleen zullen het risicobeheer van derden niet oplossen, maar er is een groeiende behoefte aan geautomatiseerd inzicht in de risico's van derden, en dat is waar TPGRM-technologie een echte impact kan hebben.
In de komende jaren verwacht ik dat de winnaars op dit gebied de tools zullen zijn die inzicht bieden in de ‘headline’ TPGRM-statistieken die nodig zijn voor cyberverzekeringen en compliance voor organisaties met relatief onvolwassen implementaties van het TPGRM-framework, maar ook in organisaties die ‘goed kunnen gaan’. deep” en gedetailleerde analyses bieden met behulp van AI/ML voor ondernemingen.
Lees deel 1, waarin wordt gevraagd: Wat zal EDR vervangen?.
