Während Sie unter die Ereignisse auf der ganzen Welt verfolgen, während die Regierungen versuchen, das Coronavirus zu diagnostizieren und einzudämmen, denken Sie wahrscheinlich auch darüber nach, wie gut Sie auf den Fall vorbereitet sind, dass es zu einer echten Pandemie kommt. Da das Virus offenbar in China entstanden ist und viele globale Unternehmen einen Teil ihrer Lieferketten von dort beziehen, ist es nur natürlich, dass Sie sich auch Gedanken darüber machen, wie das Konzentrationsrisiko in Ihr allgemeines Risikomanagement und Ihren Reaktionsplan auf Vorfälle eingebunden ist. In diesem Blog werde ich das Konzentrationsrisiko definieren und einen proaktiven Prozess zur Sensibilisierung für die Reaktion auf Vorfälle erörtern, der Stabilität und Widerstandsfähigkeit in Zeiten von Unterbrechungen gewährleisten soll.
Was ist das Konzentrationsrisiko im Zusammenhang mit Dritten?
Ursprünglich aus dem Bankensektor stammend und für die Verwendung in mehreren Sektoren angepasst, beschreibt das Konzentrationsrisiko das Ausmaß des Risikos in der Lieferkette eines Unternehmens aufgrund der Konzentration auf eine einzige Branche, einen einzigen Ort oder einen einzigen Partner. Das Risiko ergibt sich aus einer mangelnden Diversifizierung des Lieferantenportfolios.
Was ist ein Krisenreaktionsplan?
Ein Notfallplan besteht aus einer vorgefertigten Liste von Maßnahmen, Aufgaben und Personen, die im Falle eines potenziell geschäftsschädigenden Vorfalls oder Ereignisses (z. B. einer Naturkatastrophe, die sich auf ein Rechenzentrum auswirkt, oder eines DDoS-Angriffs, der eine Website lahmlegt) zu kontaktieren sind. Es gibt unzählige Beispiele für Notfallpläne, die über eine einfache Google-Suche gefunden werden können. Ich empfehle Ihnen, Ihren bestehenden Notfallplan zu überprüfen und ihn mit anderen Branchenbeispielen und Best Practices zu vergleichen sowie Tests mit Szenarien von Dritten durchzuführen.
Was ist Resilienz?
Resilienz ist definiert als "die Fähigkeit, sich schnell von Schwierigkeiten zu erholen". Die Betonung liegt auf schnell. In Bezug auf Ihre Lieferkette bedeutet Resilienz die Fähigkeit Ihres Unternehmens, sich schnell und mit begrenzten negativen Auswirkungen auf die nachgelagerten Bereiche an die Gegebenheiten anzupassen (z. B. Verlagerung der Produktion in Backup- oder sekundäre Rechenzentren oder Einrichtungen). Resilienz sollte eine der Triebfedern für Ihren Notfallplan sein.
Wie ein proaktiver und ausgereifter Plan zur Reaktion auf Zwischenfälle aussieht
Speziell für Risiken, die von Dritten ausgehen, umfasst ein proaktiver Plan zur Reaktion auf Vorfälle fünf (5) Schritte:
- Schwachstellenmeldung - Identifizierung einer Schwachstelle oder eines Vorfalls und Benachrichtigung einer vorprogrammierten Liste interessierter Parteien
- Reaktion auf Vorfälle - Entwicklung eines Standardsatzes von Aufgaben und Fristen, um die Auswirkungen eines Vorfalls zu bewerten und einen Zeitplan für die Reaktion und Behebung zu entwickeln
- Ermittlung der Auswirkungen auf Dritte - Untersuchung der Quelle des Vorfalls bei Lieferanten, Partnern, Verkäufern oder anderen Dritten
- Regelmäßige Berichterstattung an die Geschäftsleitung - standardisierte Berichterstattung, die Vorher-Nachher-Werte und Fortschritte in Richtung des gewünschten Endzustands mit messbaren Kennzahlen aufzeigt
- Risikobewältigung bis zum Abschluss - Rückkehr zu einem akzeptablen Zustand (oder neuen Normalzustand)
Der Reifegrad von Notfallplänen kann in eine der folgenden drei Stufen eingeteilt werden:
Stufe 1 - Manuell
In einem ausgereiften Notfallplan der Stufe 1:
- E-Mails werden an Dritte gesendet, wenn Vorfälle entdeckt werden
- Die Drittpartei antwortet per E-Mail und gibt die Auswirkungen des Risikos und den Zeitplan für die Abhilfe an.
- Die Informationen werden manuell mit Hilfe von Tabellenkalkulationen erfasst.
- Berichte werden manuell erstellt, um die Sichtbarkeit für Führungskräfte zu gewährleisten.
Bei so viel manueller Arbeit werden die Lücken in einem solchen Prozess schnell deutlich. Wir wissen, dass manuelle Arbeit zu Fehlern führt, und mit Fehlern sind Risiken verbunden - das Risiko, wichtige Elemente zu übersehen, die zur Diagnose und Lösung eines Vorfalls beitragen können.
Stufe 2 - Automatisierung mit menschlicher Interaktion
In einem ausgereiften Notfallplan der Stufe 2:
- Risikobasierte Klassifizierung ist in ein Drittanbieter-Repository eingebettet
- Portalgestützte Benachrichtigung über einen Vorfall und Anforderung einer Risikoreaktion an die entsprechenden Dritten
- Portalbasierte Risikoantworten werden direkt von Dritten aktualisiert
- Portalgestützte Nachverfolgung und Berichterstattung werden für die Aktualisierung von Führungskräften verwendet
Ein ausgereifter Notfallplan der Stufe 2 beginnt mit der Bewältigung der manuellen Arbeit, die in einem Plan der Stufe 1 enthalten ist, durch Zentralisierung in einem bestimmten System, das durch einige Prozesse begrenzt ist.
Ebene 3 - Datengesteuertes Modell
Ein ausgereifter Krisenreaktionsplan der Stufe 3 weist die folgenden Merkmale auf
- Zum Zeitpunkt eines Vorfalls generiert ein Überwachungstool proaktiv eine Risikomeldung an das Unternehmen, die sowohl die Auswirkungen als auch die Bewertung enthält.
- Dritte haben Zugriff auf das System, so dass eine universelle Sichtbarkeit der Sensibilisierung und Risikominderung mit Echtzeit-Updates gegeben ist.
- Alle Beteiligten werden automatisch über einen definierten Workflow-Prozess benachrichtigt, sobald eine Statusänderung eintritt (auch auf ihren mobilen Geräten)
- Die Berichterstattung für Führungskräfte ist automatisiert
Wie eine Risikomanagementlösung für Dritte helfen kann
Prevalent kann Unternehmen dabei helfen, die Effektivität des Incident-Response-Programms von Drittanbietern durch Bewertungen zu messen, die darauf abzielen, deren Reifegrad aufzuzeigen, sowie die internen kompensierenden Kontrollen zu überprüfen - durch Standardbewertungen - um zu verhindern, dass Incidents schnell außer Kontrolle geraten. Dieses Maß an Transparenz wird von Ihnen und Ihren Drittanbietern gemeinsam genutzt, um vollständige Transparenz zu gewährleisten. Ergänzend zu diesen Bewertungen
ist ein Cyber- und Business-Monitoring-Service, der Technologie, Datenanalyse und Analysteneinblicke kombiniert, um Geschäftsrisiken wie Nachrichtenereignisse und die Reaktion der Öffentlichkeit auf Vorfälle zu bewerten.
Darüber hinaus verfügt die Prevalent-Plattform über eine branchenweit einzigartige Relationship-Mapping-Funktion, die Beziehungen zwischen Ihrem Unternehmen und Dritten identifiziert, um Abhängigkeiten aufzudecken und Informationspfade zu visualisieren, so dass Sie die Ausfallsicherheits- und Resilienzpläne Ihres Unternehmens überprüfen und dadurch die Auswirkungen von Konzentrationsrisiken begrenzen können.
Zusammengenommen bieten diese Lösungen eine solide Grundlage für das Verständnis des Umfangs Ihres Konzentrationsrisikos und der Reaktionspläne von Ihnen und Ihren Anbietern auf Vorfälle, so dass Sie Ihre Widerstandsfähigkeit und Flexibilität gewährleisten können.
Sind Sie bereit, den nächsten Schritt zu tun?
Wenden Sie sich noch heute an Prevalent und fordern Sie eine kostenlose, einstündige Reifegradbewertung an, in der wir die Bereiche ermitteln, in denen Ihre derzeitigen Verfahren verbessert werden können, um das Risiko zu verringern.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
