Wir haben uns kürzlich mit einem Vordenker im Bereich Risikomanagement für Drittanbieter zu einem Interview zusammengesetzt, um zu erfahren, wie er das Risiko für Drittanbieter im Zusammenhang mit anderen Sicherheits- und Risikoüberlegungen sieht. In diesem Blog gibt dieser CISO seine Sichtweise darüber wieder, was es braucht, um ein nachhaltiges Risikomanagementprogramm für Dritte aufzubauen. Aufgrund der hier dargelegten Meinungen und weil Risiko und Sicherheit ein sensibles Thema sind, hat dieser CISO darum gebeten, dass sein Name und der Name seines Unternehmens nicht verwendet werden.
Wie hat sich das Risikomanagement für Dritte entwickelt? Wie hat sich das auf Ihre gesamte Risikooberfläche ausgewirkt?
Wir haben in den letzten 10-15 Jahren gesehen, dass sich die Ökosysteme durch die Digitalisierung rasch erweitert haben und mehr Dritte einbezogen wurden. In der Vergangenheit haben sie Waren und Dienstleistungen vor Ort bereitgestellt. Aber jetzt hat sich das Modell verschoben, und zwar in Richtung "as a service" in der Cloud, und das erhöht das Risiko. Im Namen des Know-hows und der Kostenreduzierung geben Sie ein wenig Kontrolle auf. Aber man muss aufpassen, dass man nicht in eine Falle tappt - die Auslagerung des Risikos bedeutet nicht unbedingt die Auslagerung der Verantwortung.
Was ist für Sie die größte Herausforderung bei der Bewertung Ihrer Lieferanten und anderer Drittparteien?
Ich achte darauf, ob meine Dritten die gleichen Grundsätze befolgen wie ich, was selten bis nie der Fall ist. Das Problem ist der Umfang. Sie beantworten eine Frage in ihrem Fragebogen zur Risikobewertung, aber nicht die Frage innerhalb des Geltungsbereichs. Wenn ich beispielsweise einen Dritten frage, ob er Daten "in Bewegung und in Ruhe" verschlüsselt, und er antwortet mit "Ja", dann war's das. Um dem Problem auf den Grund zu gehen, ist ein viel größerer Aufwand und ein größerer Kontext erforderlich, und es ist schwer zu validieren. Das lässt sich nicht skalieren.
Apropos Validierung: Wie sieht es mit externen Maßnahmen aus, um zu überprüfen, ob Kontrollen vorhanden sind?
Das kommt darauf an. Wenn Sie über Scanning- und Scoring-Tools sprechen, finde ich, dass sie in der Regel falsch sind. Sie alle liefern unterschiedliche Daten ohne Kontext oder Transparenz. Das ist alles "Geheimsache".
Welche Art von Berichten müssen Sie dem Vorstand vorlegen? Was ist für sie von Interesse?
Dies ist von Unternehmen zu Unternehmen unterschiedlich, aber es geht darum, ein Gleichgewicht zu finden zwischen dem, was Sie wollen, und dem, was sie tatsächlich interessiert. Gehen Sie jedes Gespräch auf Vorstandsebene aus einem geschäftlichen Blickwinkel an und ermitteln Sie, wo die Risiken für das Unternehmen liegen - nicht das Sicherheitsrisiko oder der Vorfall selbst, sondern die tatsächlichen nachgelagerten Auswirkungen dieses Risikos oder Vorfalls.
Das Problem ist, dass nach wie vor eine Kluft besteht zwischen dem, wie Risiko wirklich aussieht, und der Frage, wie es sinnvoll kommuniziert werden kann. Dieses Problem liegt in der Rechenschaftspflicht begründet; konzeptionell ist dies nicht anders als bei der Finanzberichterstattung. Man muss bei der Berichterstattung über Sicherheitsrisiken die gleiche Strenge und den gleichen Ansatz anwenden wie bei finanziellen Risiken. Ich denke, dass die meisten Vorstände das heute noch nicht verstanden haben, und solange sie das nicht tun, werden diese Organisationen unter einer Verständnislücke leiden. Erinnern Sie sich daran, was Enron für die Finanzberichterstattung getan hat? Ich hoffe aufrichtig, dass es keinen Vorfall vom Typ "Cyber-Enron" braucht, um die Vorstände aufzuwecken. Aber wenn man den Schaden nicht definieren kann, wird man auch keine Akzeptanz finden.
Was ist mit dem Datenschutz? Abgesehen von "Business Resilience" oder "Kontinuität" als Folge der COVID-19-Krise, hat "Privatsphäre" in letzter Zeit die Gespräche mit Dritten dominiert.
Zwischen CCPA
und anderen damit zusammenhängenden Gesetzentwürfen wird der Datenschutz die Diskussionen über die Rechenschaftspflicht vorantreiben. Das ist das hoffnungsvollste Ergebnis einer jeden Gesetzgebung: Rechenschaftspflicht. Diese Durchsetzungsebene muss die Kontrolle verstärken und die Unternehmen dazu zwingen, sich ernsthafter damit zu befassen, anstatt nur "das Kästchen anzukreuzen".
Das Problem ist, dass Gesetze innerhalb von Grenzen gemacht werden, aber das Internet hat Grenzen überschritten. Welches Gesetz gilt für das Internet weltweit? Es gilt nicht für physische Grenzen. Das ist ein anderes Konzept als das, wie dieses Land aufgebaut wurde.
Wie sieht für Sie das ideale Risikomanagementprogramm für Dritte aus? Was sind die richtigen Komponenten oder Elemente?
Gehen Sie zunächst in das Unternehmen und dokumentieren Sie, was für sie wichtig ist. Stellen Sie fest, ob ihre Bedürfnisse mit dem Auftrag und den Zielen Ihres Unternehmens übereinstimmen. Am wichtigsten ist, dass Sie den Rat des Unternehmens ganzheitlich annehmen. Listen Sie dann die X wichtigsten Dinge auf, setzen Sie Prioritäten, und gehen Sie mit einer Reihe von Risiken, die Sie zu tolerieren bereit sind, zurück zum Unternehmen. Dies ist der Beginn der Governance.
Sobald dieser Governance-Rahmen definiert ist, sollten Sie sich die Drittparteien ansehen und prüfen, wie sie im Vergleich zu dem Risiko abschneiden, das das Unternehmen zu tolerieren bereit ist. Dann - und hier kommt der typischerweise arbeitsintensive Teil - muss ein Weg gefunden werden, dies auf einer laufenden Basis zu tun. Legen Sie fest, welche Informationen dafür benötigt werden, ob sie für alle Dritten gelten und wie sie im Laufe der Zeit verwaltet werden sollen.
Die richtige Governance-Struktur mit kontinuierlicher Bildungstransparenz ist entscheidend für den langfristigen Erfolg.
Wenn Sie mit anderen Organisationen sprechen, welche Ratschläge geben Sie ihnen? Wo soll man anfangen, wie soll man Prioritäten setzen usw.
Zunächst müssen Sie verstehen, was für das Unternehmen wichtig ist, wie ich in der vorherigen Frage erläutert habe. Sobald Sie wissen, was wichtig ist - und die Kommunikation zwischen Ihnen und dem Unternehmen in beide Richtungen fließt -, haben Sie eine solidere Grundlage, auf der Sie eine Due-Diligence-Prüfung durchführen und darauf aufbauend risikobasierte Entscheidungen treffen können.
Denken Sie auch daran, dass es nicht nur um die Bewertung des finanziellen Risikos für Ihr Unternehmen geht - Sie müssen auch den Datenschutz berücksichtigen. Sie müssen diese Gespräche ganz oben führen. Die Entscheidung und die Verantwortlichkeit liegen beim Unternehmen, nicht bei der Sicherheit. Es ist nicht die Aufgabe des Sicherheitsdienstes, Risiken zu akzeptieren - meine Aufgabe ist es, die Bewertung vorzunehmen. Sie müssen das Unternehmen darüber aufklären, was Risiko bedeutet, sich die Daten ansehen, Fragen stellen und das Unternehmen informieren, damit es eine für das Unternehmen angemessene Risikobereitschaft akzeptieren kann.
Was hält Sie nachts wach?
Ich bin ein CISO. Ich habe seit Jahren nicht mehr geschlafen 😊. Aber im Ernst: Ich überlege regelmäßig, ob ich alles getan habe, was ich vernünftigerweise tun kann, um den Auftrag zu erfüllen. Wenn zum Beispiel etwas passiert, kann ich dann dem Unternehmen vertrauensvoll berichten, was passiert ist, wie es passiert ist und was wir dagegen tun? Ich habe schon vor langer Zeit akzeptiert, dass es keine Jobsicherheit als CISO gibt, aber ich muss mit mir selbst im Reinen sein, dass ich alles gegeben habe und kontrolliere, was ich kontrollieren kann. Die wilden Anbieter von mir sind eine ganz andere Geschichte...
Wenn Sie mehr darüber erfahren möchten, wie Prevalent Sie bei der Bewältigung Ihrer Herausforderungen im Bereich des Third-Party-Rights-Managements unterstützen kann, nehmen Sie noch heute Kontakt mit uns auf, laden Sie unseren Best-Practice-Leitfaden herunter oder nehmen Sie an einer schnellen Online-Beurteilung teil, um den Reifegrad Ihres TPRM-Programms zu ermitteln.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
