Куда могут нас завести стороннее управление и управление рисками?

Сложные взломы, такие как SUNBURST (он же взлом SolarWinds которые попали в заголовки газет в конце 2020 года) делают риск, связанный со сторонними платформами, совершенно очевидным. Современные организации все больше зависят от различных третьих сторон для SaaS — от финансов до цепочки поставок и управления ИТ-услугами (ITSM).

С точки зрения эксплуатации это здорово. Организации меньше сосредотачиваются на том, чтобы «поддерживать свет», и больше на своих основных ценностных предложениях. Тем не менее, есть также неудобный компромисс безопасности. Если вы не контролируете платформу, вы не полностью контролируете свои данные или данные вашего клиента, что имеет последствия для безопасности и соответствия требованиям. Точно так же доступность критически важных бизнес-функций часто зависит от нескольких внешних платформ, многие из которых могут быть единой точкой отказа.

Для многих организаций просто навигация по сложным зависимостям и четкое определение склонности к риску и смягчению его последствий являются настоящими проблемами. Стороннее управление и управление рисками (TPGRM) направлено на решение этой проблемы путем анализа и проведения должной осмотрительности в отношении рисков, связанных с отношениями с третьими сторонами.

Хотя существует множество инструментов TPGRM/TPRM, для эффективного управления рисками требуется больше, чем просто технология. Трехэтапный процесс Deloitte для TPGRM обеспечивает реалистичную разбивку трансформации, необходимой для использования структуры TPGRM. Подводя итоги шагов:

1. Изменение позиции в отношении рисков и управления: Этот шаг связан с переосмыслением риска в организации. Традиционно риск был чем-то, что мы ликвидировать. Это должно стать чем-то, что мы управлять.
2. Понимание аппетита к риску и линий защиты: Следующий шаг разбит на количественную оценку склонности организации к риску в различных контекстах и ​​определение линий защиты от этих рисков.
3. Установите структуру TPGRM: Вот где резина отправляется в путь. Организации должны внедрять стратегии, которые задействуют людей, процессы и технологии, чтобы помочь управлять рисками и создавать ценность.

Очевидно, что большая часть TPGRM потребует от людей качественного участия, такого как разработка стратегий или проведение подробных аудитов. Тем не менее, мы можем ожидать перехода к большей автоматизации благодаря таким драйверам, как киберстрахование которые активно разрабатывают стандарты и измеримые способы количественной оценки рисков с помощью аналитических платформ, таких как CyberCube.

Количественная оценка показателей TPGRM

Имея это в виду, я ожидаю, что использование порталов безопасности и информационных панелей, которые количественно измеряют показатели TPGRM, в ближайшие годы резко возрастут. Эти порталы будут делать для управления рисками то же, что и платформы мониторинга времени безотказной работы, такие как Uptime Robot и Pingdom, для мониторинга веб-сайтов: собирать наиболее важные показатели в легко усваиваемой форме. Как и в мире мониторинга веб-сайтов, мы увидим различный уровень сложности и глубины решений, но появится стандартная базовая метрика «столовых ставок».

Мы уже видим, что такие платформы, как SafeBase, добились здесь существенного прогресса, автоматизировав опросы по безопасности и позволив поставщикам делиться состоянием безопасности по нескольким категориям. Компания по управлению рисками Prevalent решает аналогичные проблемы, уделяя особое внимание предоставлению как ИТ-решений, так и услуг.

Кроме того, решения с более узкой направленностью уже используют автоматизацию для решения проблем TPGRM в конкретных отраслях. Например, SignalX решает проблемную область финансового и юридического анализа в Индии, чтобы позволить организациям лучше проводить комплексную проверку перед заключением контрактов или партнерских отношений с поставщиками.

По сути, эти решения демонстрируют более широкую тенденцию к стандартизации и автоматизации в пространстве TPGRM. Сами по себе инструменты не помогут решить проблему управления рисками третьих лиц, но возникает потребность в автоматическом просмотре сторонних рисков, и именно здесь технология TPGRM может оказать реальное влияние.

Я ожидаю, что в ближайшие годы победителями в этой области станут инструменты, обеспечивающие видимость «главных» показателей TPGRM, необходимых для киберстрахования и соответствия требованиям для организаций с относительно незрелыми реализациями инфраструктуры TPGRM, а также те, которые могут deep» и предоставить подробный анализ с использованием AI/ML для предприятий.

Прочитайте часть 1, которая спрашивает: Что заменит МЭД.