Încălcări sofisticate precum SUNBURST (alias hack-ul SolarWinds care a făcut titluri la sfârșitul anului 2020) clarifică foarte mult riscul asociat cu platformele terțe. Organizațiile moderne depind din ce în ce mai mult de o varietate de terțe părți pentru SaaS - totul, de la finanțare la lanțul de aprovizionare la managementul serviciilor IT (ITSM).
Din perspectiva operațiunilor, acest lucru este grozav. Organizațiile se concentrează mai puțin pe „menținerea luminilor aprinse” și mai mult pe propunerile lor de valoare de bază. Cu toate acestea, există și un compromis de securitate inconfortabil. Dacă nu controlați platforma, nu controlați complet datele dvs. sau ale clientului, ceea ce are implicații de securitate și conformitate. În mod similar, disponibilitatea funcțiilor critice de afaceri depinde adesea de mai multe platforme externe, dintre care multe pot fi un singur punct de eșec.
Pentru multe organizații, simpla navigare în dependențele complexe și definirea clară a apetitului pentru risc și a reducerilor sunt adevărate provocări. Guvernanța terților și managementul riscurilor (TPGRM) își propune să rezolve această problemă prin analiza și efectuarea de due diligence asupra riscurilor care decurg din relațiile cu terții.
Deși există o mulțime de instrumente TPGRM/TPRM, gestionarea eficientă a riscurilor necesită mai mult decât tehnologie. Procesul Deloitte în trei pași pentru TPGRM oferă o defalcare realistă a transformării necesare pentru a folosi un cadru TPGRM. Pentru a rezuma pașii:
- Riscul de schimbare și poziționarea guvernanței: Acest pas tratează reformularea riscului într-o organizație. În mod tradițional, riscul a fost ceva ce noi elimina. Trebuie să devină ceva pentru noi administra.
- Înțelegeți apetitul pentru risc și liniile de apărare: Următorul pas este împărțit în cuantificarea apetitului pentru risc al unei organizații în diferite contexte și identificarea liniilor de apărare împotriva acelor riscuri.
- Stabiliți un cadru TPGRM: Aici cauciucul lovește drumul. Organizațiile trebuie să implementeze strategii care să folosească oamenii, procesele și tehnologia pentru a ajuta la gestionarea riscurilor și pentru a oferi valoare.
În mod clar, o mare parte a TPGRM va necesita contribuții calitative din partea oamenilor, cum ar fi dezvoltarea de strategii sau efectuarea de audituri detaliate. Acestea fiind spuse, ne putem aștepta la o schimbare către mai multă automatizare datorită șoferilor precum asigurare cibernetică care dezvoltă în mod activ standarde și modalități măsurabile de cuantificare a riscurilor cu platforme de analiză precum CyberCube.
Cuantificarea valorilor TPGRM
Având în vedere acest lucru, mă aștept să văd utilizarea portalurilor de securitate și a tablourilor de bord care cuantifică valorile TPGRM în anii următori. Aceste portaluri vor face pentru gestionarea riscurilor ceea ce platformele de monitorizare a timpului de funcționare, cum ar fi Uptime Robot și Pingdom, fac pentru monitorizarea site-urilor web: includeți cele mai importante valori într-un mod ușor de digerat. La fel ca lumea monitorizării site-urilor web, vom vedea un nivel diferit de sofisticare și profunzime între soluții, dar va apărea o linie de bază standard de metrici pentru „mizele de masă”.
Observăm deja că platforme precum SafeBase fac progrese substanțiale aici prin automatizarea chestionarelor de securitate și permițând furnizorilor să împărtășească postura de securitate în mai multe categorii. Compania de management al riscului Prevalent rezolvă probleme similare, concentrându-se pe furnizarea de soluții și servicii IT.
În plus, soluțiile cu un accent mai restrâns folosesc deja automatizarea pentru a rezolva problemele TPGRM în industrii specifice. De exemplu, SignalX abordează spațiul problematic al analizei financiare și juridice din India pentru a permite organizațiilor să efectueze o mai bună diligență înainte de a încheia contracte sau parteneriate cu furnizorii.
În mod fundamental, aceste soluții demonstrează tendința mai largă către standardizare și automatizare în spațiul TPGRM. Instrumentele singure nu vor rezolva gestionarea riscurilor terților, dar există o nevoie emergentă de vizibilitate automată a riscului terților și aici tehnologia TPGRM poate avea un impact real.
În anii următori, mă aștept ca câștigătorii din spațiu să fie instrumentele care oferă vizibilitate asupra parametrilor TPGRM „de titlu” necesare pentru asigurarea cibernetică și conformitatea pentru organizațiile cu implementări relativ imature ale cadrului TPGRM, precum și cele care pot „mergi”. deep” și oferă analize detaliate folosind AI/ML pentru întreprinderi.
Citiți partea 1, care întreabă: Ce va înlocui EDR.
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
