像 SUNBURST(又名 SolarWinds 黑客攻击 2020 年底成为头条新闻)使与第三方平台相关的风险变得非常清晰。现代组织越来越依赖各种第三方 SaaS——从财务到供应链再到 IT 服务管理 (ITSM)。
从运营角度来看,这非常棒。组织较少关注“保持运转”,而更多地关注其核心价值主张。然而,也存在令人不安的安全权衡。如果您不控制平台,您就无法完全控制您或您客户的数据,这会产生安全性和合规性影响。同样,关键业务功能的可用性通常取决于多个外部平台,其中许多平台可能会出现单点故障。
对于许多组织来说,简单地处理复杂的依赖关系并明确定义风险偏好和缓解措施是真正的挑战。第三方治理和风险管理(TPGRM)旨在通过对第三方关系产生的风险进行分析和尽职调查来解决这一问题。
尽管有大量 TPGRM/TPRM 工具,但有效的风险管理需要的不仅仅是技术。 德勤 TPGRM 的三步流程 提供了利用 TPGRM 框架所需的转换的实际细分。总结一下步骤:
- 改变风险和治理定位: 此步骤涉及组织中风险的重构。传统上,风险一直是我们所面临的问题 消除。它需要成为我们的东西 管理.
- 了解风险偏好和防线: 下一步是量化组织在不同环境下的风险偏好,并确定针对这些风险的防线。
- 建立TPGRM框架: 这就是橡胶接触路面的地方。组织必须实施利用人员、流程和技术来帮助管理风险和交付价值的战略。
显然,TPGRM 的很大一部分需要人类的定性输入,例如制定策略或进行详细的审核。也就是说,由于像这样的驱动因素,我们可以预期转向更多的自动化 网络保险 正在积极开发标准和可衡量的方法,以使用 CyberCube 等分析平台来量化风险。
量化 TPGRM 指标
考虑到这一点,我预计未来几年量化 TPGRM 指标的安全门户和仪表板的使用将会激增。这些门户对于风险管理的作用就像正常运行时间监控平台(例如 Uptime Robot 和 Pingdom)对于网站监控的作用一样:以易于理解的方式汇总最重要的指标。就像网站监控世界一样,我们将看到解决方案的复杂程度和深度各不相同,但“赌注”指标的标准基线将会出现。
我们已经看到像 SafeBase 这样的平台通过自动化安全调查问卷并使供应商能够跨多个类别共享安全态势而取得了实质性进展。风险管理公司 Prevalent 正在解决类似的问题,重点是提供 IT 解决方案和服务。
此外,关注范围较窄的解决方案已经在利用自动化来解决特定行业中的 TPGRM 问题。例如,SignalX 正在解决印度的财务和法律分析问题,使组织能够在与供应商签订合同或建立合作伙伴关系之前进行更好的尽职调查。
从根本上讲,这些解决方案展示了 TPGRM 领域标准化和自动化的更广泛趋势。仅靠工具并不能解决第三方风险管理问题,但对第三方风险的自动可视性的需求正在不断涌现,而这正是 TPGRM 技术可以发挥真正影响力的地方。
在未来的几年里,我预计该领域的赢家将是能够为 TPGRM 框架实施相对不成熟的组织以及那些可以“继续”的组织提供网络保险和合规性所需的“头条”TPGRM 指标可见性的工具。 Deep”并利用AI/ML为企业提供详细的分析。
阅读第 1 部分,其中询问: 什么将取代 EDR.
