Sælgerrisikostyring: Hvad skal man overveje, når man køber en VRM-løsning

Billede: NicoElNino, Getty Images / iStockphoto

Risikostyring af leverandører (VRM) er ikke et nyt koncept. Min TechRepublic februar 2016 artikel 5 bedste fremgangsmåder til at reducere tredjeparts leverandørers sikkerhedsrisici ser på flere måder at mindske risikoen for dataforbrud forårsaget af tredjepartsleverandører. I denne artikel blev jeg forladt til ikke at definere VRM. Her er et uddrag af definitionen fra Gartners IT-ordliste:

Cybercriminals 'yndlingsangrebvektor

Tredjepartsleverandør (TPV) -initierede dataovertrædelser bliver den go-to-attack-vektor for cyberkriminelle. Ponemon Instituts tredje årlige (2018) datarisiko i tredjeparts økosystemrapport tilføjer ærlighed til disse oplysninger:

Den bedste praksis, der er nævnt i TechRepublic-artiklen, gælder stadig i dag, men cybersecurity-profferne nu med meget mere erfaring har yderligere tanker om TPV-sikkerhed, især ideer til, hvordan man bruger VRM til at begrænse den angrebsmåde. ( Bemærk : Denne artikel om leverandørrisiko er tilgængelig som en gratis PDF-download.)

Et frisk blik på VRM tech

En sådan proff er Craig Callé, en datasikkerhedskonsulent og tidligere finansdirektør for Amazons afdeling Digital Media and Books. I sin CFO.com-artikel Leverandørrisiko: Andenklasseborger af cybersikkerhed ser Callé et nyt blik på VRM-teknologi. Desværre ser tingene temmelig dystre ud.

"Bortset fra i de stærkt regulerede bank- og sundhedsydelser er forhandlerrisikostyring fortsat cybersecurity's andenklasses borger, der får langt mindre opmærksomhed, end det fortjener, " begynder Callé. "Angreb, der stammer fra usikre leverandører og andre tredjeparter, genererer mere end halvdelen af ​​de rapporterede overtrædelser, men alligevel adresserer de fleste virksomheder denne kilde til sårbarhed."

Hvorfor VRM'er er andenklasses borgere

Med hensyn til hvorfor VRM ikke får den respekt, den fortjener, tilbyder Callé følgende grunde:

  • Ingen sølvkugler: Vi ønsker "quick fix." Men Callé antyder, at mennesker og processer er de store stykker VRM - ikke teknologi. Med andre ord er det ikke en "plug and play" -løsning.
  • Siloer er ikke nyttige: Virksomhedsafdelinger - især juridisk, indkøb og finansiering - har en tendens til at operere uafhængigt, hvilket modvirker at sikre en virksomheds følsomme information.
  • Konfrontation krævet: Hvis og når en svaghed opdages ved en kontraheret TPV, skal medlemmer af VRM-teamet og / eller den øverste ledelse konfrontere de ansvarlige på TPV.
  • Konventionelle tilgange har begrænsninger: Traditionel kontrol- og overvågningstaktik, såsom spørgeskemaer, gennemtrængningstest og interviews på stedet har en tendens til at være ufuldstændig, unøjagtig og dyre, og derfor antages det ikke at være værd at øverste ledelse.
  • Begrænset pulje af talent: Cybersecurity-fagfolk er generelt mangelvare; fagfolk med VRM-ekspertise er endnu mere knappe.

Sådan ser et modent VRM-program ud

Der er masser af VRM-programmer at vælge imellem; Når det er sagt advarer Callé, at ingen to platforme er ens. Så når du køber et VRM-program, er det vigtigt at overveje følgende.

Dækkede risici: Ud over at reducere risikoen i forbindelse med cybersikkerhed mener Callé følgende risikofaktorer er vigtige:

  • Hvor sandsynligt er sælgeren at gå konkurs?
  • Hvilke garantier er der for at minimere tab af omdømme og forhindre kompromis med brand-værdi?

Procesejerskab: Ældre programmer har klart ejerskab af processer og VRM-teammedlemmer fra hver afdeling, der sandsynligvis vil blive påvirket af et dataforbrud.

Sælgerdækning : Ifølge Callé mangler virksomheder ofte en omfattende opgørelse over deres leverandører. Han skriver, "80/20-reglen gælder for risikostyring af leverandører, så leverandørlisten skal indsættes i niveauer med større ressourcer anvendt på de mere følsomme."

Dækningens vedholdenhed: Umodne programmer, foreslår Callé, undersøger sælgers problemer efter det faktum, mens modne programmer planlægger periodiske vurderinger. Han tilføjer, "Det er nu muligt kontinuerligt at overvåge de eksterne risikofaktorer, der indikerer potentialet for en dataovertrædelse."

Serviceniveau: Det er usandsynligt, at umodne programmer tilbyder serviceniveauer, mens modne platforme giver VRM-teamet mulighed for at etablere serviceniveauet efter behov.

VRM ved hjælp af en cyber-risikovurderingsservice

Cyber-risk ratings-tjenester kan tilbyde kontinuerlig overvågning af en TPVs sikkerhed. "Disse virksomheder måler alle de risikofaktorer, der er synlige udefra, og kan endda forudsige en dataforbrud, " skriver Callé.

Nogle andre tjenester, der tilbydes af virksomheder, der er involveret i rating af cyberrisici - som ProcessUnity, MetricStream og Santa Fe Group - er:

  • Automatisering af VRM-processen, så virksomheder kan sky-leverede platforme;
  • deling af leverandørsvar og andre data mellem tjenestens medlemmer; og
  • der giver klienter adgang til logbedømmelsestjenesterne til at identificere og vurdere risici.

Endelige tanker

Callé og andre tilhængere af VRM betragter teknologien som en konkurrencefordel. Et andet argument fra Callé er, "Emerging technology and other resources, såvel som regler med stive sanktioner, motiverer virksomhederne til at give VRM den støtte, den kræver."

Cybersecurity Insider Nyhedsbrev

Styrke din organisations IT-sikkerhedsforsvar ved at holde dig ajour med de seneste cybersecurity-nyheder, løsninger og bedste praksis. Leveres tirsdage og torsdage

Tilmeld dig i dag

© Copyright 2020 | mobilegn.com