SUNBURST (aka SolarWinds hack'i 2020'nin sonlarında manşetlere çıkan) üçüncü taraf platformlarla ilişkili riski fazlasıyla açık hale getiriyor. Modern kuruluşlar, finanstan tedarik zincirine ve BT hizmet yönetimine (ITSM) kadar her şey dahil olmak üzere SaaS için çeşitli üçüncü taraflara giderek daha fazla bağımlı hale geliyor.
Operasyon açısından bakıldığında bu harika. Kuruluşlar "ışıkları açık tutmaya" daha az, temel değer önerilerine daha fazla odaklanıyor. Ancak aynı zamanda rahatsız edici bir güvenlik dengesi de var. Platformu kontrol etmezseniz, sizin veya müşterinizin verilerini tamamen kontrol edemezsiniz; bu da güvenlik ve uyumluluk açısından sonuçlar doğurur. Benzer şekilde, kritik iş fonksiyonlarının kullanılabilirliği çoğu zaman birden fazla harici platforma bağlıdır ve bunların çoğu tek bir arıza noktası olabilir.
Pek çok kuruluş için, karmaşık bağımlılıklar arasında basitçe gezinmek ve risk iştahlarını ve azaltımlarını açıkça tanımlamak gerçek zorluklardır. Üçüncü taraf yönetişim ve risk yönetimi (TPGRM), üçüncü taraf ilişkilerinden kaynaklanan riskleri analiz edip gerekli özeni göstererek bu sorunu çözmeyi amaçlamaktadır.
Çok sayıda TPGRM/TPRM aracı mevcut olsa da etkili risk yönetimi teknolojiden daha fazlasını gerektirir. Deloitte'un TPGRM için üç adımlı süreci TPGRM çerçevesinden yararlanmak için gereken dönüşümün gerçekçi bir dökümünü sağlar. Adımları özetlemek gerekirse:
- Risk ve yönetim konumlandırmasını değiştirin: Bu adım, bir kuruluştaki riskin yeniden çerçevelenmesiyle ilgilidir. Geleneksel olarak risk, bizim gidermek. Bizim için bir şey haline gelmesi gerekiyor yönetmek.
- Risk iştahını ve savunma hatlarını anlayın: Bir sonraki adım, bir kuruluşun farklı bağlamlardaki risk iştahının ölçülmesine ve bu risklere karşı savunma hatlarının belirlenmesine ayrılmıştır.
- Bir TPGRM çerçevesi oluşturun: Kauçuğun yola çarptığı yer burasıdır. Kuruluşlar, riski yönetmeye ve değer sunmaya yardımcı olmak için insanlardan, süreçlerden ve teknolojiden yararlanan stratejiler uygulamalıdır.
Açıkçası, TPGRM'nin büyük bir kısmı, stratejiler geliştirmek veya ayrıntılı denetimler yürütmek gibi insanlardan niteliksel girdi gerektirecektir. Bununla birlikte, aşağıdaki gibi etkenler sayesinde daha fazla otomasyona doğru bir geçiş bekleyebiliriz. siber sigorta CyberCube gibi analitik platformlarıyla riski ölçmek için aktif olarak standartlar ve ölçülebilir yollar geliştiren şirketler.
TPGRM Metriklerinin Ölçülmesi
Bunu akılda tutarak, önümüzdeki yıllarda TPGRM ölçümlerini ölçen güvenlik portallarının ve gösterge tablolarının kullanımının artacağını görmeyi bekliyorum. Bu portallar, Uptime Robot ve Pingdom gibi çalışma süresi izleme platformlarının web sitesi izleme için yaptıklarını risk yönetimi için yapacaktır: en önemli ölçümleri kolayca sindirilebilir bir şekilde toplayın. Web sitesi izleme dünyasında olduğu gibi, çözümler arasında değişen düzeyde karmaşıklık ve derinlik göreceğiz, ancak "masa bahisleri" metriklerinin standart bir temeli ortaya çıkacak.
SafeBase gibi platformların, güvenlik anketlerini otomatikleştirerek ve satıcıların güvenlik duruşunu birden fazla kategoride paylaşmasına olanak tanıyarak burada önemli ilerleme kaydettiğini zaten görüyoruz. Risk yönetimi şirketi Prevalent, hem BT çözümleri hem de hizmetler sağlamaya odaklanarak benzer sorunları çözüyor.
Ek olarak, daha dar odaklı çözümler, belirli sektörlerdeki TPGRM sorunlarını çözmek için halihazırda otomasyondan yararlanıyor. Örneğin SignalX, kuruluşların satıcılarla sözleşme veya ortaklık kurmadan önce daha iyi durum tespiti yapmalarını sağlamak için Hindistan'daki mali ve hukuki analizin sorun alanını ele alıyor.
Temel olarak bu çözümler, TPGRM alanında standardizasyon ve otomasyona yönelik daha geniş bir eğilimi göstermektedir. Araçlar tek başına üçüncü taraf risk yönetimini çözemez, ancak üçüncü taraf riskine ilişkin otomatik görünürlüğe yönelik artan bir ihtiyaç vardır ve TPGRM teknolojisinin gerçek bir etki yaratabileceği yer burasıdır.
Gelecek yıllarda, bu alandaki kazananların, nispeten olgunlaşmamış TPGRM çerçeve uygulamalarına sahip kuruluşların yanı sıra "geçebilen" kuruluşlar için siber sigorta ve uyumluluk için gerekli "başlık" TPGRM ölçümlerine görünürlük sağlayan araçlar olmasını bekliyorum. derin” ve işletmeler için AI/ML kullanarak ayrıntılı analizler sağlar.
Şunu soran 1. bölümü okuyun: EDR'nin yerini ne alacak?.
