Risikostyring av leverandører: Hva du bør tenke på når du handler etter en VRM-løsning

Bilde: NicoElNino, Getty Images / iStockphoto

Risikostyring av leverandører (VRM) er ikke et nytt konsept. Min TechRepublic februar 2016 artikkel 5 beste fremgangsmåter for å redusere tredjeparts leverandørers sikkerhetsrisiko ser på flere måter å redusere risikoen for brudd på data forårsaket av tredjepartsleverandører. I den artikkelen var jeg klar over å ikke definere VRM. Her er et utdrag av definisjonen fra Gartners IT-ordliste:

Cybercriminals favoritt angrepsvektor

Tredjepartsleverandør (TPV) -initierte datainnbrudd blir en go-to-attack-vektor for nettkriminelle. Ponemon Instituts tredje årlige (2018) datarisiko i tredjeparts økosystemrapport gir troverdighet til denne informasjonen:

De beste fremgangsmåtene som er nevnt i TechRepublic-artikkelen gjelder fortsatt i dag, men prosjekter med cybersecurity nå med mye mer erfaring har flere tanker om TPV-sikkerhet, spesielt ideer om hvordan du kan bruke VRM for å begrense den angrepsveien. ( Merk : Denne artikkelen om leverandørrisiko er tilgjengelig som en gratis PDF-nedlasting.)

Et friskt blikk på VRM tech

En slik proff er Craig Callé, en datasikkerhetskonsulent og tidligere finansdirektør i Amazons divisjon digitale medier og bøker. I sin CFO.com-artikkel Vendor Risk: The Second Class Citizen of Cybersecurity, tar Callé et nytt blikk på VRM-teknologi. Dessverre ser ting ganske dystert ut.

Annet enn i de sterkt regulerte bank- og helsevesenet, er risikostyring av leverandører fortsatt cybersecuritys andre klasse, og får langt mindre oppmerksomhet enn det fortjener, begynner Callé. "Angrep som stammer fra usikre leverandører og andre tredjeparter genererer mer enn halvparten av rapporterte brudd, men likevel adresserer de fleste selskaper den kilden til sårbarhet."

Hvorfor VRM-er er andre klasses borgere

Med hensyn til hvorfor VRM ikke blir gitt den respekten den fortjener, tilbyr Callé følgende grunner:

  • Ingen sølvkuler: Vi vil ha "quick fix." Men, Callé antyder at mennesker og prosesser er de store delene av VRM - ikke teknologi. Med andre ord, det er ikke en "plug and play" -løsning.
  • Siloer er ikke nyttige: Bedriftsavdelinger - spesielt juridisk, anskaffelse og finans - har en tendens til å operere uavhengig, noe som motvirker å sikre en virksomhets sensitiv informasjon.
  • Konfrontasjon kreves: Hvis og når en svakhet blir oppdaget hos en kontraktert TPV, vil medlemmer av VRM-teamet og / eller øverste ledelse måtte konfrontere de ansvarlige på TPV.
  • Konvensjonelle tilnærminger har begrensninger: Tradisjonell undersøkelse og overvåkingstaktikk, som spørreskjemaer, penetrasjonstesting og intervju på stedet, har en tendens til å være ufullstendig, unøyaktig og kostbar, og er derfor ikke ansett å være verdt innsatsen fra den øverste ledelsen.
  • Begrenset basseng med talent: Profesjonelle innen cybersikkerhet er generelt mangelvare; fagpersoner med VRM-kompetanse er enda knappere.

Hvordan et modent VRM-program ser ut

Det er mange VRM-programmer å velge mellom; Når det er sagt advarer Callé at ingen to plattformer er like. Så når du handler etter et VRM-program, er det viktig å vurdere følgende.

Risiko dekket: I tillegg til å redusere risiko relatert til cybersikkerhet, mener Callé følgende risikofaktorer er viktige:

  • Hvor sannsynlig er det at leverandøren går konkurs?
  • Hvilke garantier er det for å minimere tap av omdømme og forhindre kompromis med merkeverdi?

Behandle eierskap: Modne programmer har tydelig eierforhold til prosesser og VRM-teammedlemmer fra hver avdeling som sannsynligvis vil bli berørt av et datainnbrudd.

Leverandørens dekning: I følge Callé mangler selskaper ofte et omfattende lager av leverandørene sine. Han skriver: "80/20-regelen gjelder leverandørrisikostyring, så leverandørlisten bør settes sammen i nivåer, med større ressurser brukt på de mer følsomme."

Dekningens utholdenhet: Umodne programmer, antyder Callé, undersøker leverandørproblemer etter det, mens modne programmer planlegger periodiske vurderinger. Han legger til, "Det er nå mulig å kontinuerlig overvåke de eksterne risikofaktorene som indikerer potensialet for et datainnbrudd."

Servicenivåer: Det er lite sannsynlig at umodne programmer tilbyr servicenivåer, mens modne plattformer lar VRM-teamet etablere servicenivåer etter behov.

VRM bruker en nettverksratingstjeneste

Cyber-risk ratings services kan tilby kontinuerlig overvåking av en TPVs sikkerhet. "Disse firmaene måler alle risikofaktorer som er synlige utenfra, og kan til og med forutsi et datainnbrudd, " skriver Callé.

Noen andre tjenester som tilbys av selskaper som er involvert i nettbasert risikovurdering - som ProcessUnity, MetricStream og Santa Fe Group - er:

  • Automatisering av VRM-prosessen, slik at selskaper kan skyleverte plattformer;
  • dele leverandørresponser og andre data mellom tjenestens medlemmer; og
  • slik at klienter får tilgang til loggklassifiseringstjenestene for å identifisere og vurdere risiko.

Siste tanker

Callé og andre tilhengere av VRM anser teknologien som et konkurransefortrinn. Et annet argument fra Callé er: "Emerging technology and other resources, as well as regulations with stiff straps, motiverer selskaper til å gi VRM den støtten den krever."

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2020 | mobilegn.com