Vi phạm tinh vi như SUNBURST (aka bản hack SolarWinds đã trở thành tiêu đề vào cuối năm 2020) khiến rủi ro liên quan đến nền tảng của bên thứ ba trở nên rõ ràng. Các tổ chức hiện đại ngày càng phụ thuộc vào nhiều bên thứ ba đối với SaaS — mọi thứ từ tài chính đến chuỗi cung ứng đến quản lý dịch vụ CNTT (ITSM).
Từ góc độ hoạt động, điều này thật tuyệt vời. Các tổ chức ít tập trung hơn vào việc “luôn sáng” mà tập trung nhiều hơn vào các đề xuất giá trị cốt lõi của họ. Tuy nhiên, cũng có một sự đánh đổi về an ninh không mấy dễ chịu. Nếu bạn không kiểm soát nền tảng, bạn không hoàn toàn kiểm soát dữ liệu của mình — hoặc của khách hàng —, điều này có ý nghĩa về bảo mật và tuân thủ. Tương tự, tính khả dụng của các chức năng kinh doanh quan trọng thường phụ thuộc vào nhiều nền tảng bên ngoài, nhiều nền tảng trong số đó có thể là một điểm lỗi duy nhất.
Đối với nhiều tổ chức, chỉ đơn giản là điều hướng các phụ thuộc phức tạp và xác định rõ ràng khẩu vị rủi ro và giảm thiểu là những thách thức thực sự. Quản trị bên thứ ba và quản lý rủi ro (TPGRM) nhằm giải quyết vấn đề này bằng cách phân tích và thực hiện thẩm định đối với các rủi ro bắt nguồn từ mối quan hệ với bên thứ ba.
Mặc dù có rất nhiều công cụ TPGRM/TPRM, nhưng việc quản lý rủi ro hiệu quả không chỉ cần công nghệ. Quy trình ba bước của Deloitte cho TPGRM cung cấp phân tích thực tế về quá trình chuyển đổi cần thiết để tận dụng khung TPGRM. Để tóm tắt các bước:
- Thay đổi định vị rủi ro và quản trị: Bước này liên quan đến việc sắp xếp lại rủi ro trong một tổ chức. Theo truyền thống, rủi ro là thứ mà chúng ta loại bỏ. Nó cần phải trở thành một cái gì đó chúng ta quản lý.
- Hiểu khẩu vị rủi ro và tuyến phòng thủ: Bước tiếp theo được chia thành việc định lượng mức độ chấp nhận rủi ro của tổ chức trong các bối cảnh khác nhau và xác định các tuyến phòng thủ chống lại những rủi ro đó.
- Thiết lập khung TPGRM: Đây là nơi cao su chạm đường. Các tổ chức phải triển khai các chiến lược tận dụng con người, quy trình và công nghệ để giúp quản lý rủi ro và mang lại giá trị.
Rõ ràng, một phần lớn TPGRM sẽ yêu cầu đầu vào định tính từ con người, chẳng hạn như phát triển chiến lược hoặc tiến hành kiểm tra chi tiết. Điều đó nói rằng, chúng ta có thể mong đợi một sự thay đổi theo hướng tự động hóa nhiều hơn nhờ các trình điều khiển như bảo hiểm mạng đang tích cực phát triển các tiêu chuẩn và cách đo lường rủi ro bằng các nền tảng phân tích như CyberCube.
Định lượng số liệu TPGRM
Với suy nghĩ đó, tôi kỳ vọng sẽ thấy việc sử dụng các cổng thông tin và bảng thông tin bảo mật giúp định lượng các chỉ số TPGRM sẽ tăng đột biến trong những năm tới. Các cổng này sẽ giúp quản lý rủi ro giống như những nền tảng giám sát thời gian hoạt động như Uptime Robot và Pingdom thực hiện để giám sát trang web: tổng hợp các số liệu quan trọng nhất theo cách dễ hiểu. Giống như thế giới giám sát trang web, chúng ta sẽ thấy mức độ phức tạp và chuyên sâu khác nhau của các giải pháp, nhưng đường cơ sở tiêu chuẩn của số liệu “tiền đặt cược trên bảng” sẽ xuất hiện.
Chúng tôi đã thấy các nền tảng như SafeBase đạt được tiến bộ đáng kể ở đây bằng cách tự động hóa các câu hỏi bảo mật và cho phép nhà cung cấp chia sẻ tình hình bảo mật trên nhiều danh mục. Công ty quản lý rủi ro Prevalent đang giải quyết các vấn đề tương tự với trọng tâm là cung cấp cả giải pháp và dịch vụ CNTT.
Ngoài ra, các giải pháp có trọng tâm hẹp hơn đã tận dụng tự động hóa để giải quyết các vấn đề về TPGRM trong các ngành cụ thể. Ví dụ: SignalX đang giải quyết vấn đề về phân tích tài chính và pháp lý ở Ấn Độ để cho phép các tổ chức thực hiện thẩm định tốt hơn trước khi ký kết hợp đồng hoặc quan hệ đối tác với các nhà cung cấp.
Về cơ bản, các giải pháp này thể hiện xu hướng rộng hơn về tiêu chuẩn hóa và tự động hóa trong không gian TPGRM. Chỉ riêng các công cụ sẽ không giải quyết được vấn đề quản lý rủi ro của bên thứ ba, nhưng ngày càng có nhu cầu về khả năng hiển thị tự động về rủi ro của bên thứ ba và đó là lúc công nghệ TPGRM có thể tạo ra tác động thực sự.
Trong những năm tới, tôi hy vọng những người chiến thắng trong lĩnh vực này sẽ là những công cụ cung cấp khả năng hiển thị các số liệu TPGRM “tiêu đề” cần thiết cho bảo hiểm mạng và sự tuân thủ đối với các tổ chức triển khai khung TPGRM tương đối non trẻ, cũng như những tổ chức có thể “đi sâu” và cung cấp phân tích chi tiết bằng AI/ML cho doanh nghiệp.
Đọc phần 1, yêu cầu: Điều gì sẽ thay thế EDR.
