Sofistikerade intrång som SUNBURST (aka SolarWinds-hacket som skapade rubriker i slutet av 2020) gör risken förknippad med tredjepartsplattformar mycket tydlig. Moderna organisationer är alltmer beroende av en mängd olika tredjeparter för SaaS - allt från finans till leveranskedja till IT-tjänsthantering (ITSM).
Ur ett verksamhetsperspektiv är detta jättebra. Organisationer fokuserar mindre på att "hålla lamporna tända" och mer på sina kärnvärdesförslag. Men det finns också en obekväm säkerhetsavvägning. Om du inte kontrollerar plattformen kontrollerar du inte helt dina – eller din kunds – data, vilket har konsekvenser för säkerhet och efterlevnad. På samma sätt beror tillgängligheten av kritiska affärsfunktioner ofta på flera externa plattformar, varav många kan vara en enda punkt där det misslyckas.
För många organisationer är det verkliga utmaningar att helt enkelt navigera i de komplexa beroenden och tydligt definiera riskaptit och begränsningar. Tredjepartsstyrning och riskhantering (TPGRM) syftar till att lösa detta problem genom att analysera och utföra due diligence på risker som härrör från tredje parts relationer.
Även om det finns gott om TPGRM/TPRM-verktyg kräver effektiv riskhantering mer än bara teknik. Deloittes trestegsprocess för TPGRM ger en realistisk uppdelning av den transformation som krävs för att utnyttja ett TPGRM-ramverk. För att sammanfatta stegen:
- Ändra risk- och styrningspositionering: Detta steg handlar om omformuleringen av risker i en organisation. Traditionellt sett har risk varit något vi eliminera. Det måste bli något vi hantera.
- Förstå riskaptit och försvarslinjer: Nästa steg är indelat i att kvantifiera en organisations riskaptit i olika sammanhang och identifiera försvarslinjer mot dessa risker.
- Etablera ett TPGRM-ramverk: Det är här gummit slår ut på vägen. Organisationer måste implementera strategier som utnyttjar människor, processer och teknik för att hjälpa till att hantera risker och leverera värde.
Det är uppenbart att en stor del av TPGRM kommer att kräva kvalitativ input från människor, som att utveckla strategier eller genomföra detaljerade revisioner. Som sagt, vi kan förvänta oss en förändring mot mer automatisering tack vare förare som cyberförsäkring som aktivt utvecklar standarder och mätbara sätt att kvantifiera risker med analysplattformar som CyberCube.
Kvantifiera TPGRM-mått
Med det i åtanke, förväntar jag mig att se användningen av säkerhetsportaler och instrumentpaneler som kvantifierar TPGRM-mätvärden spika under de kommande åren. Dessa portaler kommer att göra för riskhantering vad övervakningsplattformar för drifttid som Uptime Robot och Pingdom gör för webbplatsövervakning: samla ihop de viktigaste mätvärdena på ett lättsmält sätt. Liksom webbplatsövervakningsvärlden kommer vi att se en varierande nivå av sofistikering och djup över lösningar, men en standardbaslinje för "tabellinsatser"-mått kommer att dyka upp.
Vi ser redan att plattformar som SafeBase gör betydande framsteg här genom att automatisera säkerhetsfrågeformulär och göra det möjligt för leverantörer att dela säkerhetsställning över flera kategorier. Riskhanteringsföretaget Prevalent löser liknande problem med fokus på att tillhandahålla både IT-lösningar och tjänster.
Dessutom utnyttjar lösningar med ett snävare fokus redan automatisering för att lösa TPGRM-problem i specifika branscher. Till exempel tar SignalX upp problemområdet för finansiell och juridisk analys i Indien för att göra det möjligt för organisationer att utföra bättre due diligence innan de ingår kontrakt eller partnerskap med leverantörer.
I grund och botten visar dessa lösningar den bredare trenden mot standardisering och automatisering i TPGRM-utrymmet. Verktyg ensamma kommer inte att lösa riskhantering från tredje part, men det finns ett växande behov av automatiserad insyn i tredje parts risker, och det är där TPGRM-tekniken kan få verklig inverkan.
Under de kommande åren förväntar jag mig att vinnarna i utrymmet kommer att vara verktygen som ger insyn i "rubriken" TPGRM-mått som krävs för cyberförsäkring och efterlevnad för organisationer med relativt omogna TPGRM-ramverksimplementeringar, såväl som de som kan "gå deep” och tillhandahålla detaljerad analys med AI/ML för företag.
Läs del 1, som frågar: Vad kommer att ersätta EDR.
