Dokąd może nas zaprowadzić zewnętrzny nadzór i zarządzanie ryzykiem?

Wyrafinowane naruszenia, takie jak SUNBURST (aka hack SolarWinds które trafiły na pierwsze strony gazet pod koniec 2020 r.) sprawiają, że ryzyko związane z platformami stron trzecich jest całkowicie jasne. Nowoczesne organizacje w coraz większym stopniu zależą od różnych stron trzecich w zakresie SaaS — od finansów, przez łańcuch dostaw, po zarządzanie usługami IT (ITSM).

Z operacyjnego punktu widzenia jest to świetne rozwiązanie. Organizacje skupiają się mniej na „utrzymywaniu włączonego światła”, a bardziej na swoich kluczowych propozycjach wartości. Istnieje jednak również niewygodny kompromis w zakresie bezpieczeństwa. Jeśli nie kontrolujesz platformy, nie masz całkowitej kontroli nad danymi swoimi lub swojego klienta, co ma wpływ na bezpieczeństwo i zgodność. Podobnie dostępność kluczowych funkcji biznesowych często zależy od wielu platform zewnętrznych, z których wiele może stanowić pojedynczy punkt awarii.

Dla wielu organizacji proste poruszanie się wśród złożonych zależności i jasne określenie apetytu na ryzyko i jego łagodzenia stanowi prawdziwe wyzwanie. Zarządzanie stronami trzecimi i zarządzanie ryzykiem (TPGRM) ma na celu rozwiązanie tego problemu poprzez analizę i przeprowadzenie analizy due diligence ryzyk wynikających z relacji ze stronami trzecimi.

Chociaż istnieje wiele narzędzi TPGRM/TPRM, skuteczne zarządzanie ryzykiem wymaga czegoś więcej niż tylko technologii. Trzyetapowy proces Deloitte dla TPGRM zapewnia realistyczny podział transformacji wymaganej do wykorzystania struktury TPGRM. Podsumowując kroki:

1. Zmień pozycję w zakresie ryzyka i zarządzania: Ten krok dotyczy przeformułowania ryzyka w organizacji. Tradycyjnie ryzyko było czymś, czym się interesowaliśmy wyeliminować. To musi stać się czymś, czym my jesteśmy zarządzanie.
2. Poznaj apetyt na ryzyko i linie obrony: Następny krok polega na ilościowym określeniu apetytu organizacji na ryzyko w różnych kontekstach i identyfikacji linii obrony przed tym ryzykiem.
3. Ustanów ramy TPGRM: W tym miejscu guma uderza w drogę. Organizacje muszą wdrożyć strategie wykorzystujące ludzi, procesy i technologię, aby pomóc w zarządzaniu ryzykiem i dostarczaniu wartości.

Jest oczywiste, że duża część TPGRM będzie wymagała wkładu jakościowego ze strony ludzi, takiego jak opracowanie strategii lub przeprowadzenie szczegółowych audytów. To powiedziawszy, możemy spodziewać się przejścia w kierunku większej automatyzacji dzięki takim kierowcom cyberbezpieczeństwo które aktywnie opracowują standardy i mierzalne sposoby ilościowego określania ryzyka za pomocą platform analitycznych, takich jak CyberCube.

Kwantyfikacja wskaźników TPGRM

Mając to na uwadze, spodziewam się, że w nadchodzących latach nastąpi gwałtowny wzrost liczby portali i pulpitów nawigacyjnych poświęconych bezpieczeństwu. Portale te zrobią dla zarządzania ryzykiem to samo, co platformy monitorowania czasu pracy, takie jak Uptime Robot i Pingdom, robią dla monitorowania stron internetowych: przedstawiają najważniejsze wskaźniki w łatwo przyswajalny sposób. Podobnie jak w świecie monitorowania witryn internetowych, zaobserwujemy różny poziom zaawansowania i szczegółowości rozwiązań, ale wyłoni się standardowy poziom bazowy wskaźników „stawek w tabeli”.

Już teraz widzimy, że platformy takie jak SafeBase poczyniły w tym zakresie znaczny postęp, automatyzując kwestionariusze bezpieczeństwa i umożliwiając dostawcom udostępnianie stanu zabezpieczeń w wielu kategoriach. Firma zarządzająca ryzykiem Prevalent rozwiązuje podobne problemy, koncentrując się zarówno na dostarczaniu rozwiązań, jak i usług IT.

Ponadto rozwiązania o węższym zakresie już wykorzystują automatyzację do rozwiązywania problemów TPGRM w określonych branżach. Na przykład SignalX zajmuje się problematyką analizy finansowej i prawnej w Indiach, aby umożliwić organizacjom przeprowadzanie lepszej analizy due diligence przed zawarciem umów lub partnerstw z dostawcami.

W zasadzie rozwiązania te pokazują szerszy trend w kierunku standaryzacji i automatyzacji w przestrzeni TPGRM. Same narzędzia nie rozwiążą problemu zarządzania ryzykiem stron trzecich, ale pojawia się potrzeba automatycznego wglądu w ryzyko stron trzecich i właśnie w tym przypadku technologia TPGRM może wywrzeć realny wpływ.

Spodziewam się, że w nadchodzących latach zwycięzcami w tej dziedzinie będą narzędzia zapewniające wgląd w „główne” wskaźniki TPGRM wymagane do ubezpieczenia cybernetycznego i zgodności w przypadku organizacji ze stosunkowo niedojrzałymi wdrożeniami ram TPGRM, a także te, które mogą „wyjść z użytku” deep” i zapewnić szczegółową analizę z wykorzystaniem AI/ML dla przedsiębiorstw.

Przeczytaj część 1, która pyta: Co zastąpi EDR.