SUNBURST (diğer adıyla 2020’nin sonlarında manşetlere çıkan SolarWinds hack’i) gibi karmaşık ihlaller, üçüncü taraf platformlarla ilişkili riski fazlasıyla net hale getiriyor. Modern kuruluşlar, SaaS için finanstan tedarik zincirine ve BT hizmet yönetimine (ITSM) kadar her şey için çeşitli üçüncü taraflara giderek daha fazla bağımlı hale geliyor.
Operasyon açısından bakıldığında, bu harika. Kuruluşlar “ışıkları açık tutmaya” daha az, temel değer önerilerine daha çok odaklanır. Bununla birlikte, güvenlik söz konusu olduğunda rahatsız edici bir değiş tokuş da var. Platformu kontrol etmezseniz, güvenlik ve uyumlulukla ilgili sonuçları olan, kendinizin veya müşterinizin verilerini tamamen kontrol edemezsiniz. Benzer şekilde, kritik iş işlevlerinin kullanılabilirliği genellikle, çoğu tek bir arıza noktası olabilen birden çok harici platforma bağlıdır.
Pek çok kuruluş için, karmaşık bağımlılıklar arasında gezinmek ve risk iştahlarını ve azaltmaları net bir şekilde tanımlamak gerçek bir zorluktur. Üçüncü taraf yönetişim ve risk yönetimi (TPGRM), üçüncü taraf ilişkilerinden kaynaklanan riskleri analiz ederek ve bunlara ilişkin durum tespiti yaparak bu sorunu çözmeyi amaçlar.
Çok sayıda TPGRM/TPRM aracı olsa da, etkin risk yönetimi teknolojiden daha fazlasını gerektirir. Deloitte’un TPGRM için 3 adımlı süreci bir TPGRM çerçevesinden yararlanmak için gereken dönüşümün gerçekçi bir dökümünü sağlar. Adımları özetlemek gerekirse:
- Risk ve yönetişim konumlandırmasını değiştirin: Bu adım, bir organizasyondaki riskin yeniden çerçevelendirilmesi ile ilgilidir. Geleneksel olarak, risk bizim için bir şey olmuştur. bertaraf etmek. bizim bir şey haline gelmesi gerekiyor üstesinden gelmek.
- Risk iştahını ve savunma hatlarını anlayın: Bir sonraki adım, bir organizasyonun farklı bağlamlardaki risk iştahını ölçmek ve bu risklere karşı savunma hatlarını belirlemektir.
- Bir TPGRM çerçevesi oluşturun: Kauçuğun yola çarptığı yer burasıdır. Kuruluşlar, riski yönetmeye ve değer sunmaya yardımcı olmak için insanlardan, süreçlerden ve teknolojiden yararlanan stratejiler uygulamalıdır.
Açıkçası, TPGRM’nin büyük bir kısmı, strateji geliştirmek veya ayrıntılı denetimler yapmak gibi insanlardan nitel girdiler gerektirecektir. Bununla birlikte, CyberCube gibi analiz platformları ile riski ölçmek için aktif olarak standartlar ve ölçülebilir yollar geliştiren siber sigorta gibi faktörler sayesinde daha fazla otomasyona doğru bir geçiş bekleyebiliriz.
TPGRM Metriklerini Ölçme
Bunu göz önünde bulundurarak, önümüzdeki yıllarda TPGRM metriklerini ölçen güvenlik portallarının ve panolarının kullanımının artmasını bekliyorum. Uptime Robot ve Pingdom gibi çalışma süresi izleme platformlarının web sitesi izleme için yaptıklarını risk yönetimi için bu portallar yapacaktır: en önemli ölçümleri kolayca sindirilebilir bir şekilde toplayın. Web sitesi izleme dünyasında olduğu gibi, çözümler arasında değişen düzeyde karmaşıklık ve derinlik göreceğiz, ancak standart bir “tablo bahisleri” metrikleri ortaya çıkacaktır.
SafeBase gibi platformların, güvenlik anketlerini otomatikleştirerek ve satıcıların güvenlik duruşlarını birden çok kategoride paylaşmasına olanak tanıyarak burada önemli ilerleme kaydettiğini şimdiden görüyoruz. Risk yönetimi şirketi Prevalent, hem BT çözümleri hem de hizmetleri sağlamaya odaklanarak benzer sorunları çözüyor.
Ek olarak, daha dar odaklı çözümler, belirli endüstrilerdeki TPGRM sorunlarını çözmek için halihazırda otomasyondan yararlanıyor. Örneğin SignalX, kuruluşların satıcılarla sözleşmelere veya ortaklıklara girmeden önce daha iyi durum tespiti yapmalarını sağlamak için Hindistan’daki mali ve yasal analiz problem alanını ele alıyor.
Temel olarak, bu çözümler TPGRM alanında standardizasyon ve otomasyona yönelik daha geniş bir eğilimi göstermektedir. Araçlar tek başına üçüncü taraf risk yönetimini çözmeyecek, ancak üçüncü taraf riskine yönelik otomatik görünürlük için artan bir ihtiyaç var ve işte bu noktada TPGRM teknolojisi gerçek bir etki yaratabilir.
Önümüzdeki yıllarda, siber sigorta için gerekli olan “başlık” TPGRM metriklerine görünürlük sağlayan araçlar ve görece olgunlaşmamış TPGRM çerçeve uygulamalarına sahip kuruluşlar için uyum sağlayan ve aynı zamanda “gidebilenler” alanında kazananların olmasını bekliyorum. derin” ve işletmeler için AI/ML kullanarak ayrıntılı analiz sağlar.
soran 1. bölümü okuyun EDR’nin yerini ne alacak.