การกำกับดูแลบุคคลที่สามและการบริหารความเสี่ยงจะพาเราไปที่ใด

การละเมิดที่ซับซ้อนเช่น SUNBURST (aka แฮ็ก SolarWinds ที่เป็นข่าวพาดหัวในช่วงปลายปี 2020) ทำให้ความเสี่ยงที่เกี่ยวข้องกับแพลตฟอร์มของบุคคลที่สามมีความชัดเจนอย่างมาก องค์กรสมัยใหม่ต้องพึ่งพาบุคคลที่สามมากขึ้นสำหรับ SaaS — ทุกอย่างตั้งแต่การเงิน ห่วงโซ่อุปทาน ไปจนถึงการจัดการบริการไอที (ITSM)

จากมุมมองของการดำเนินงาน นี่เป็นสิ่งที่ดีมาก องค์กรต่าง ๆ ให้ความสำคัญกับ "การรักษาแสงสว่าง" น้อยลง และให้ความสำคัญกับข้อเสนอคุณค่าหลักของตนมากขึ้น อย่างไรก็ตาม ยังมีการแลกเปลี่ยนด้านความปลอดภัยที่ไม่สบายใจ หากคุณไม่ควบคุมแพลตฟอร์ม แสดงว่าคุณไม่ได้ควบคุมข้อมูลของคุณหรือลูกค้าของคุณอย่างสมบูรณ์ ซึ่งมีผลกระทบด้านความปลอดภัยและการปฏิบัติตามข้อกำหนด ในทำนองเดียวกัน ความพร้อมใช้งานของฟังก์ชันทางธุรกิจที่สำคัญมักขึ้นอยู่กับแพลตฟอร์มภายนอกหลายแพลตฟอร์ม ซึ่งหลายแพลตฟอร์มอาจเป็นจุดล้มเหลวเพียงจุดเดียว

สำหรับหลายๆ องค์กร การนำทางไปยังการขึ้นต่อกันที่ซับซ้อนและการกำหนดความเสี่ยงที่ยอมรับได้และการลดความเสี่ยงอย่างชัดเจนนั้นเป็นความท้าทายอย่างแท้จริง การกำกับดูแลและการจัดการความเสี่ยงของบุคคลที่สาม (TPGRM) มีเป้าหมายเพื่อแก้ปัญหานี้โดยการวิเคราะห์และดำเนินการตรวจสอบสถานะความเสี่ยงที่เกิดจากความสัมพันธ์ของบุคคลที่สาม

แม้ว่าจะมีเครื่องมือ TGRM/TPRM มากมาย แต่การบริหารความเสี่ยงที่มีประสิทธิภาพนั้นไม่ใช่แค่เทคโนโลยี กระบวนการสามขั้นตอนของ Deloitte สำหรับ TGPRM ให้รายละเอียดที่เป็นจริงของการเปลี่ยนแปลงที่จำเป็นในการใช้ประโยชน์จากกรอบ TGRM เพื่อสรุปขั้นตอน:

1. เปลี่ยนตำแหน่งความเสี่ยงและการกำกับดูแล: ขั้นตอนนี้เกี่ยวข้องกับการปรับโครงสร้างความเสี่ยงในองค์กร เดิมที ความเสี่ยงเป็นสิ่งที่เรา กำจัด. มันต้องกลายเป็นสิ่งที่เรา จัดการ.
2. ทำความเข้าใจกับความเสี่ยงและแนวป้องกัน: ขั้นตอนต่อไปจะแบ่งออกเป็นการวัดปริมาณความเสี่ยงที่ยอมรับได้ขององค์กรในบริบทต่างๆ และระบุแนวป้องกันความเสี่ยงเหล่านั้น
3. กำหนดกรอบ TGRM: นี่คือจุดที่ยางสัมผัสกับถนน องค์กรต้องใช้กลยุทธ์ที่ใช้ประโยชน์จากบุคลากร กระบวนการ และเทคโนโลยีเพื่อช่วยจัดการความเสี่ยงและส่งมอบคุณค่า

เห็นได้ชัดว่า TGRM ส่วนใหญ่ต้องการข้อมูลเชิงคุณภาพจากบุคลากร เช่น การพัฒนากลยุทธ์หรือดำเนินการตรวจสอบอย่างละเอียด ที่กล่าวว่าเราสามารถคาดหวังการเปลี่ยนแปลงไปสู่ระบบอัตโนมัติมากขึ้นด้วยไดรเวอร์เช่น ประกันภัยไซเบอร์ ที่กำลังพัฒนามาตรฐานอย่างแข็งขันและวิธีที่วัดผลได้เพื่อประเมินความเสี่ยงด้วยแพลตฟอร์มการวิเคราะห์เช่น CyberCube

การหาปริมาณเมตริก TGPRM

เมื่อคำนึงถึงสิ่งนี้แล้ว ฉันคาดว่าจะเห็นการใช้พอร์ทัลความปลอดภัยและแดชบอร์ดที่วัดปริมาณเมตริก TGPRM พุ่งสูงขึ้นในอีกไม่กี่ปีข้างหน้า พอร์ทัลเหล่านี้จะทำเพื่อการจัดการความเสี่ยงเช่นเดียวกับที่แพลตฟอร์มการตรวจสอบเวลาทำงาน เช่น Uptime Robot และ Pingdom ทำสำหรับการตรวจสอบเว็บไซต์: รวบรวมเมตริกที่สำคัญที่สุดด้วยวิธีที่ย่อยง่าย เช่นเดียวกับโลกของการตรวจสอบเว็บไซต์ เราจะเห็นระดับความซับซ้อนและความลึกที่แตกต่างกันในโซลูชันต่างๆ แต่เกณฑ์มาตรฐานของเมตริก "เดิมพันบนโต๊ะ" จะปรากฏขึ้น

เราเห็นแล้วว่าแพลตฟอร์มอย่าง SafeBase มีความก้าวหน้าอย่างมากที่นี่โดยทำแบบสอบถามด้านความปลอดภัยโดยอัตโนมัติและช่วยให้ผู้ขายแบ่งปันมาตรการรักษาความปลอดภัยในหลายหมวดหมู่ บริษัทจัดการความเสี่ยงที่แพร่หลายกำลังแก้ปัญหาที่คล้ายกันโดยมุ่งเน้นที่การจัดหาทั้งโซลูชันและบริการด้านไอที

นอกจากนี้ โซลูชันที่มีการโฟกัสที่แคบกว่านั้นกำลังใช้ประโยชน์จากระบบอัตโนมัติเพื่อแก้ปัญหา TGRM ในอุตสาหกรรมเฉพาะอยู่แล้ว ตัวอย่างเช่น SignalX กำลังจัดการกับปัญหาของการวิเคราะห์ทางการเงินและกฎหมายในอินเดีย เพื่อให้องค์กรต่างๆ สามารถดำเนินการตรวจสอบสถานะได้ดีขึ้นก่อนที่จะทำสัญญาหรือความร่วมมือกับผู้ขาย

โดยพื้นฐานแล้ว โซลูชันเหล่านี้แสดงให้เห็นถึงแนวโน้มที่กว้างขึ้นไปสู่การสร้างมาตรฐานและระบบอัตโนมัติในพื้นที่ TGRM เครื่องมือเพียงอย่างเดียวไม่สามารถแก้ปัญหาการจัดการความเสี่ยงของบุคคลที่สามได้ แต่มีความจำเป็นที่เกิดขึ้นใหม่สำหรับการมองเห็นอัตโนมัติในความเสี่ยงของบุคคลที่สาม และนั่นคือสิ่งที่เทคโนโลยี TPGRM สามารถสร้างผลกระทบที่แท้จริงได้

ในอีกไม่กี่ปีข้างหน้า ฉันคาดหวังว่าผู้ชนะในพื้นที่จะเป็นเครื่องมือที่ช่วยให้มองเห็นเมตริก TPGRM "พาดหัว" ที่จำเป็นสำหรับการประกันทางไซเบอร์และการปฏิบัติตามข้อกำหนดสำหรับองค์กรที่มีการใช้งานกรอบงาน TPGRM ที่ยังไม่บรรลุนิติภาวะ ลึก” และให้การวิเคราะห์โดยละเอียดโดยใช้ AI/ML สำหรับองค์กร

อ่านตอนที่ 1 ซึ่งถามว่า: อะไรจะมาแทนที่ EDR.