Kam nas lahko pripeljeta upravljanje in obvladovanje tveganja tretjih oseb?

Sofisticirane kršitve, kot je SUNBURST (aka kramp SolarWinds ki so se konec leta 2020 pojavile na naslovnicah), je tveganje, povezano s platformami tretjih oseb, povsem jasno. Sodobne organizacije so vse bolj odvisne od različnih tretjih oseb za SaaS – vse od financ do dobavne verige do upravljanja storitev IT (ITSM).

Z operativnega vidika je to super. Organizacije se manj osredotočajo na »prižgane luči« in bolj na svoje temeljne vrednote. Vendar obstaja tudi neprijeten varnostni kompromis. Če ne nadzorujete platforme, ne nadzorujete popolnoma svojih podatkov ali podatkov vaše stranke, kar vpliva na varnost in skladnost. Podobno je razpoložljivost kritičnih poslovnih funkcij pogosto odvisna od več zunanjih platform, od katerih so mnoge lahko ena sama točka odpovedi.

Za mnoge organizacije je preprosto krmarjenje po zapletenih odvisnostih ter jasno definiranje nagnjenosti k tveganju in ublažitev pravi izziv. Upravljanje in obvladovanje tveganj tretjih oseb (TPGRM) želi rešiti to težavo z analizo in skrbnim pregledom tveganj, ki izhajajo iz odnosov s tretjimi osebami.

Čeprav obstaja veliko orodij TPGRM/TPRM, učinkovito upravljanje tveganja zahteva več kot le tehnologijo. Deloittov tristopenjski postopek za TPGRM zagotavlja realistično razčlenitev transformacije, ki je potrebna za izkoriščanje okvira TPGRM. Če povzamem korake:

1. Spremenite položaj tveganja in upravljanja: Ta korak se ukvarja s preoblikovanjem tveganja v organizaciji. Tradicionalno je bilo tveganje nekaj za nas odpravo. To mora postati nekaj, kar mi upravljanje.
2. Razumeti nagnjenost k tveganju in obrambne linije: Naslednji korak je razdeljen na kvantificiranje nagnjenosti organizacije k tveganju v različnih kontekstih in prepoznavanje obrambnih linij pred temi tveganji.
3. Vzpostavite okvir TPGRM: Tukaj guma zadene cesto. Organizacije morajo izvajati strategije, ki izkoriščajo ljudi, procese in tehnologijo za pomoč pri obvladovanju tveganj in zagotavljanju vrednosti.

Jasno je, da bo velik del TPGRM zahteval kvalitativne vložke ljudi, kot je razvoj strategij ali izvajanje podrobnih revizij. Kljub temu lahko pričakujemo premik k večji avtomatizaciji zahvaljujoč gonilnikom, kot je kibernetsko zavarovanje ki aktivno razvijajo standarde in merljive načine za kvantificiranje tveganja z analitičnimi platformami, kot je CyberCube.

Kvantificiranje meritev TPGRM

S tem v mislih pričakujem, da se bo uporaba varnostnih portalov in nadzornih plošč, ki kvantificirajo meritve TPGRM, v prihodnjih letih povečala. Ti portali bodo storili za obvladovanje tveganja, kar platforme za spremljanje delovanja, kot sta Uptime Robot in Pingdom, storijo za spremljanje spletnih mest: združite najpomembnejše meritve na lahko prebavljiv način. Tako kot v svetu spremljanja spletnih strani bomo videli različne stopnje prefinjenosti in globine rešitev, vendar se bo pojavilo standardno izhodišče meritev »tabel stakes«.

Že zdaj opažamo, da so platforme, kot je SafeBase, dosegle znaten napredek z avtomatizacijo varnostnih vprašalnikov in omogočanjem prodajalcem, da delijo varnostno držo v več kategorijah. Družba za upravljanje s tveganji Prevalent rešuje podobne probleme s poudarkom na zagotavljanju tako informacijskih rešitev kot storitev.

Poleg tega rešitve z ožjim fokusom že izkoriščajo avtomatizacijo za reševanje težav TPGRM v določenih panogah. Na primer, SignalX obravnava problematiko finančne in pravne analize v Indiji, da bi organizacijam omogočil boljšo skrbnost pred sklenitvijo pogodb ali partnerstev s prodajalci.

V bistvu te rešitve prikazujejo širši trend k standardizaciji in avtomatizaciji v prostoru TPGRM. Sama orodja ne bodo rešila obvladovanja tveganj tretjih oseb, vendar se pojavlja potreba po avtomatiziranem vpogledu v tveganja tretjih oseb, in tu lahko tehnologija TPGRM resnično vpliva.

V prihodnjih letih pričakujem, da bodo zmagovalci na tem področju orodja, ki zagotavljajo vpogled v »glavne« meritve TPGRM, potrebne za kibernetsko zavarovanje in skladnost za organizacije z razmeroma nezrelimi implementacijami ogrodja TPGRM, kot tudi tista, ki lahko »grejo« globoko« in zagotoviti podrobno analizo z uporabo AI/ML za podjetja.

Preberite 1. del, ki sprašuje: Kaj bo nadomestilo EDR.