Sofistikerte brudd som SUNBURST (aka SolarWinds-hacket som skapte overskrifter i slutten av 2020) gjør risikoen forbundet med tredjepartsplattformer helt tydelig. Moderne organisasjoner er i økende grad avhengig av en rekke tredjeparter for SaaS – alt fra økonomi til forsyningskjede til IT-tjenesteadministrasjon (ITSM).
Fra et driftsperspektiv er dette flott. Organisasjoner fokuserer mindre på å "holde lysene på" og mer på sine kjerneverdiforslag. Det er imidlertid også en ubehagelig sikkerhetsavveining. Hvis du ikke kontrollerer plattformen, kontrollerer du ikke dine – eller kundens – data fullstendig, noe som har implikasjoner for sikkerhet og samsvar. Tilsvarende er tilgjengeligheten av kritiske forretningsfunksjoner ofte avhengig av flere eksterne plattformer, hvorav mange kan være et enkelt feilpunkt.
For mange organisasjoner er det reelle utfordringer å bare navigere i de komplekse avhengighetene og tydelig definere risikovilje og -reduksjoner. Tredjeparts styring og risikostyring (TPGRM) har som mål å løse dette problemet ved å analysere og utføre due diligence på risikoer som stammer fra tredjepartsforhold.
Selv om det er mange TPGRM/TPRM-verktøy, krever effektiv risikostyring mer enn bare teknologi. Deloittes tre-trinns prosess for TPGRM gir en realistisk oversikt over transformasjonen som kreves for å utnytte et TPGRM-rammeverk. For å oppsummere trinnene:
- Endre risiko og styringsposisjonering: Dette trinnet omhandler reframing av risiko i en organisasjon. Tradisjonelt har risiko vært noe vi eliminere. Det må bli noe vi administrer.
- Forstå risikovilje og forsvarslinjer: Det neste trinnet er delt inn i å kvantifisere en organisasjons risikovilje i forskjellige sammenhenger og identifisere forsvarslinjer mot disse risikoene.
- Etabler et TPGRM-rammeverk: Det er her gummien treffer veien. Organisasjoner må implementere strategier som utnytter mennesker, prosesser og teknologi for å hjelpe til med å håndtere risiko og levere verdi.
Det er klart at en stor del av TPGRM vil kreve kvalitative innspill fra mennesker, som å utvikle strategier eller gjennomføre detaljerte revisjoner. Når det er sagt, kan vi forvente et skifte mot mer automatisering takket være drivere som nettforsikring som aktivt utvikler standarder og målbare måter å kvantifisere risiko med analyseplattformer som CyberCube.
Kvantifisere TPGRM-beregninger
Med det i tankene, forventer jeg å se bruken av sikkerhetsportaler og dashbord som kvantifiserer TPGRM-målinger i de kommende årene. Disse portalene vil gjøre for risikostyring det oppetidsovervåkingsplattformer som Uptime Robot og Pingdom gjør for nettstedsovervåking: rulle opp de viktigste beregningene på en lett fordøyelig måte. I likhet med nettstedovervåkingsverdenen vil vi se et varierende nivå av sofistikering og dybde på tvers av løsninger, men en standard grunnlinje med "tabellinnsats"-beregninger vil dukke opp.
Vi ser allerede at plattformer som SafeBase gjør betydelige fremskritt her ved å automatisere sikkerhetsspørreskjemaer og gjøre det mulig for leverandører å dele sikkerhetsstilling på tvers av flere kategorier. Risikostyringsselskapet Prevalent løser lignende problemer med fokus på å tilby både IT-løsninger og tjenester.
I tillegg utnytter løsninger med et smalere fokus allerede automatisering for å løse TPGRM-problemer i spesifikke bransjer. For eksempel tar SignalX opp problemområdet med finansiell og juridisk analyse i India for å gjøre det mulig for organisasjoner å utføre bedre due diligence før de inngår kontrakter eller partnerskap med leverandører.
I bunn og grunn demonstrerer disse løsningene den bredere trenden mot standardisering og automatisering i TPGRM-området. Verktøy alene kommer ikke til å løse tredjeparts risikostyring, men det er et voksende behov for automatisert innsyn i tredjepartsrisiko, og det er der TPGRM-teknologi kan gjøre en reell innvirkning.
I årene som kommer forventer jeg at vinnerne i feltet vil være verktøyene som gir innsyn i "overskriften" TPGRM-beregningene som kreves for cyberforsikring og samsvar for organisasjoner med relativt umodne TPGRM-rammeverkimplementeringer, så vel som de som kan "gå dyp" og gi detaljerte analyser ved hjelp av AI/ML for bedrifter.
Les del 1, som spør: Hva vil erstatte EDR.
