Складні порушення, такі як SUNBURST (він же злом SolarWinds які потрапили в заголовки газет наприкінці 2020 року) абсолютно чітко пояснюють ризик, пов’язаний зі сторонніми платформами. Сучасні організації все більше залежать від різноманітних третіх сторін для SaaS — від фінансів до ланцюга постачання до управління ІТ-послугами (ITSM).
З точки зору операцій це чудово. Організації менше зосереджуються на «увімкненому світлі», а більше на своїх основних ціннісних пропозиціях. Однак є також незручний компроміс безпеки. Якщо ви не контролюєте платформу, ви не повністю контролюєте свої дані або дані своїх клієнтів, що має наслідки для безпеки та відповідності. Подібним чином доступність критично важливих бізнес-функцій часто залежить від кількох зовнішніх платформ, багато з яких можуть бути єдиною точкою збою.
Для багатьох організацій справжньою проблемою є просто орієнтування в складних залежностях і чітке визначення схильності до ризику та пом’якшення. Управління третіми сторонами та управління ризиками (TPGRM) має на меті вирішити цю проблему шляхом аналізу та належної перевірки ризиків, що виникають у зв’язках із третіми особами.
Хоча існує багато інструментів TPGRM/TPRM, ефективне управління ризиками вимагає не тільки технологій. Триетапний процес Deloitte для TPGRM надає реалістичну розбивку трансформації, необхідної для використання інфраструктури TPGRM. Щоб підсумувати кроки:
- Зміна позиціонування ризиків і управління: Цей крок стосується рефреймінгу ризику в організації. Традиційно ми ризикували усунутий. Це має стати чимось нами управляти.
- Зрозумійте схильність до ризику та лінії захисту: Наступним кроком є кількісна оцінка схильності організації до ризику в різних контекстах і визначення ліній захисту від цих ризиків.
- Створіть структуру TPGRM: Тут гума потрапляє на дорогу. Організації повинні впроваджувати стратегії, які залучають людей, процеси та технології, щоб допомогти керувати ризиками та забезпечувати цінність.
Очевидно, що значна частина TPGRM вимагатиме якісного внеску від людей, наприклад, розробки стратегій або проведення детальних аудитів. Тим не менш, ми можемо очікувати зрушення в бік більшої автоматизації завдяки таким водіям, як кіберстрахування які активно розробляють стандарти та вимірювані способи кількісної оцінки ризику за допомогою аналітичних платформ, таких як CyberCube.
Кількісна оцінка показників TPGRM
Маючи це на увазі, я очікую, що використання порталів безпеки та інформаційних панелей, які кількісно визначають показники TPGRM, зросте в найближчі роки. Ці портали зроблять для управління ризиками те ж саме, що платформи моніторингу безперебійної роботи, як-от Uptime Robot і Pingdom, для моніторингу веб-сайтів: згортають найважливіші показники в легко засвоюваний спосіб. Як і у світі моніторингу веб-сайтів, ми побачимо різний рівень складності та глибини різних рішень, але з’явиться стандартна базова метрика «стільних ставок».
Ми вже бачимо, що такі платформи, як SafeBase, досягли значного прогресу, автоматизувавши анкети щодо безпеки та дозволивши постачальникам ділитися безпекою між кількома категоріями. Компанія з управління ризиками Prevalent вирішує подібні проблеми, зосереджуючись на наданні ІТ-рішень і послуг.
Крім того, рішення з більш вузькою спрямованістю вже використовують автоматизацію для вирішення проблем TPGRM у певних галузях. Наприклад, SignalX вирішує проблемний простір фінансового та правового аналізу в Індії, щоб дати можливість організаціям краще проводити належну перевірку перед укладенням контрактів або партнерства з постачальниками.
По суті, ці рішення демонструють ширшу тенденцію до стандартизації та автоматизації в просторі TPGRM. Інструменти самі по собі не вирішать питання управління ризиками третіх сторін, але виникає потреба в автоматизованій видимості ризиків третіх сторін, і саме тут технологія TPGRM може справити реальний вплив.
Я очікую, що в найближчі роки переможцями в цьому просторі стануть інструменти, які забезпечать видимість «головних» показників TPGRM, необхідних для кіберстрахування та відповідності для організацій із відносно незрілими впровадженнями фреймворку TPGRM, а також ті, які можуть «йти» deep» і надати детальний аналіз за допомогою AI/ML для підприємств.
Прочитайте частину 1, яка запитує: Що замінить EDR.
