Lieferantenrisikomanagement: Was beim Kauf einer VRM-Lösung zu beachten ist

Bild: NicoElNino, Getty Images / iStockphoto

Vendor Risk Management (VRM) ist kein neues Konzept. In My TechRepublic, Februar 5, Artikel 5, Best Practices zur Reduzierung der Sicherheitsrisiken von Drittanbietern, werden verschiedene Möglichkeiten untersucht, um das Risiko von Datenverletzungen durch Drittanbieter zu verringern. In diesem Artikel habe ich VRM nicht definiert. Hier ist ein Auszug aus der Definition aus dem IT-Glossar von Gartner:

Lieblingsangriffsvektor der Cyberkriminellen

Von Drittanbietern (TPV) ausgelöste Datenschutzverletzungen werden zum Angriffsvektor für Cyberkriminelle. Das dritte jährliche Datenrisiko des Ponemon Institute (2018) im Bericht über Ökosysteme von Drittanbietern verleiht diesen Informationen mehr Glaubwürdigkeit:

Die im TechRepublic-Artikel erwähnten Best Practices gelten noch heute, aber Cybersicherheitsprofis mit viel mehr Erfahrung haben zusätzliche Gedanken zur TPV-Sicherheit, insbesondere Ideen zur Verwendung von VRM, um diesen Angriffsweg einzuschränken. ( Hinweis : Dieser Artikel über das Lieferantenrisiko ist als kostenloser PDF-Download verfügbar.)

Ein neuer Blick auf VRM Tech

Ein solcher Profi ist Craig Callé, ein Berater für Datensicherheit und ehemaliger CFO der Division Digital Media and Books von Amazon. In seinem CFO.com-Artikel Vendor Risk: Der zweitklassige Bürger der Cybersicherheit wirft Callé einen neuen Blick auf die VRM-Technologie. Leider sieht es eher trostlos aus.

"Anders als in der stark regulierten Banken- und Gesundheitsbranche bleibt das Anbieterrisikomanagement der zweitklassige Bürger der Cybersicherheit und erhält weit weniger Aufmerksamkeit, als es verdient", beginnt Callé. "Angriffe von unsicheren Anbietern und anderen Dritten verursachen mehr als die Hälfte der gemeldeten Verstöße, doch die meisten Unternehmen adressieren diese Schwachstellenquelle nicht."

Warum VRMs Bürger zweiter Klasse sind

Callé gibt folgende Gründe an, warum VRM nicht den Respekt erhält, den es verdient:

  • Keine Silberkugeln: Wir wollen die "schnelle Lösung". Callé schlägt jedoch vor, dass Menschen und Prozesse die großen Teile von VRM sind - nicht die Technologie. Mit anderen Worten, es ist keine "Plug and Play" -Lösung.
  • Silos sind nicht hilfreich: Die Abteilungen des Unternehmens - insbesondere Recht, Beschaffung und Finanzen - arbeiten in der Regel unabhängig voneinander, was der Sicherung der vertraulichen Informationen eines Unternehmens entgegenwirkt.
  • Konfrontation erforderlich: Wenn bei einem vertraglich vereinbarten TPV eine Schwäche festgestellt wird, müssen sich Mitglieder des VRM-Teams und / oder des oberen Managements den Verantwortlichen des TPV stellen.
  • Herkömmliche Ansätze weisen Einschränkungen auf: Herkömmliche Überprüfungs- und Überwachungstaktiken wie Fragebögen, Penetrationstests und Interviews vor Ort sind in der Regel unvollständig, ungenau und teuer und werden daher vom oberen Management als nicht lohnenswert angesehen.
  • Begrenzter Talentpool: Cybersecurity-Experten sind im Allgemeinen Mangelware. Profis mit VRM-Know-how sind noch seltener.

Wie ein ausgereiftes VRM-Programm aussieht

Es gibt viele VRM-Programme zur Auswahl; Callé warnt jedoch davor, dass keine zwei Plattformen gleich sind. Wenn Sie also ein VRM-Programm kaufen, ist es wichtig, Folgendes zu berücksichtigen.

Abgedeckte Risiken: Neben der Reduzierung des Cybersicherheitsrisikos hält Callé die folgenden Risikofaktoren für wichtig:

  • Wie wahrscheinlich ist es, dass der Verkäufer bankrott geht?
  • Welche Sicherheitsvorkehrungen sind vorhanden, um den Verlust des Ansehens zu minimieren und Kompromisse beim Markenwert zu verhindern?

Prozessverantwortung: Ältere Programme haben eine klare Eigentümerschaft an Prozessen und VRM-Teammitgliedern aus allen Abteilungen, die wahrscheinlich von einem Datenverstoß betroffen sind.

Lieferantenabdeckung : Laut Callé fehlt Unternehmen häufig ein umfassendes Inventar ihrer Lieferanten. Er schreibt: "Die 80/20-Regel gilt für das Lieferantenrisikomanagement. Daher sollte die Lieferantenliste in Ebenen unterteilt werden, wobei den sensibleren Ressourcen mehr Ressourcen zugewiesen werden sollten."

Persistenz der Abdeckung: Unreife Programme, schlägt Callé vor, untersuchen Anbieterprobleme nachträglich, während ausgereifte Programme regelmäßige Bewertungen planen. Er fügt hinzu: "Es ist jetzt möglich, die externen Risikofaktoren, die auf das Potenzial einer Datenverletzung hinweisen, kontinuierlich zu überwachen."

Service Levels: Es ist unwahrscheinlich, dass unreife Programme Service Levels bieten, während ausgereifte Plattformen es dem VRM-Team ermöglichen, Service Levels nach Bedarf festzulegen.

VRM mit einem Cyber-Risk-Rating-Service

Cyber-Risikobewertungsdienste können eine kontinuierliche Überwachung der Sicherheit eines TPV bieten. "Diese Unternehmen messen alle Risikofaktoren, die von außen sichtbar sind, und können sogar einen Datenverstoß vorhersagen", schreibt Callé.

Einige andere Dienstleistungen, die von Unternehmen angeboten werden, die an der Bewertung von Cyber-Risiken beteiligt sind, wie ProcessUnity, MetricStream und die Santa Fe Group, sind:

  • Automatisierung des VRM-Prozesses, damit Unternehmen Plattformen in der Cloud bereitstellen können;
  • Weitergabe von Lieferantenantworten und anderen Daten an die Mitglieder des Dienstes; und
  • Kunden können auf die Protokollbewertungsdienste zugreifen, um Risiken zu identifizieren und zu bewerten.

Abschließende Gedanken

Callé und andere Befürworter von VRM betrachten die Technologie als Wettbewerbsvorteil. Ein weiteres Argument von Callé lautet: "Neue Technologien und andere Ressourcen sowie Vorschriften mit strengen Strafen motivieren Unternehmen, VRM die erforderliche Unterstützung zu gewähren."

Cybersecurity Insider Newsletter

Stärken Sie die IT-Sicherheitsabwehr Ihres Unternehmens, indem Sie sich über die neuesten Nachrichten, Lösungen und Best Practices zur Cybersicherheit auf dem Laufenden halten. Lieferung dienstags und donnerstags

Heute anmelden

© Copyright 2021 | mobilegn.com