Wenn Sie als Risikomanager in einem Unternehmen tätig sind, lesen Sie diesen Blog wahrscheinlich gerade am Flughafen, während Sie auf Ihren nächsten Flug warten. Schließlich ist gerade Saison für Konferenzen, Gipfeltreffen und Branchenforen zum Thema Drittanbieter. Wie Sie habe auch ich den letzten Monat aus dem Koffer gelebt, war als Teilnehmer und Referent an verschiedenen Veranstaltungsorten unterwegs, habe zugehört und gelernt. In allen Gesprächen kam immer wieder ein zentrales Thema zum Vorschein: das Thema Risikobewertung. Dabei herrschte die Auffassung, dass Open-Source-Berichte und Dashboards ein geeignetes Mittel sind, um eine genaue Bewertung abzugeben und so die Risikolandschaft eines Unternehmens bei der Handhabung oder Verarbeitung von Daten zu reduzieren. Aber Moment mal ...
Wahrnehmung ist nicht Realität
Ja, ich betone das Wort „Wahrnehmung“, denn eine Momentaufnahme des Risikos, sei es nun Cyber-Bedrohungsinformationen oder Business Intelligence, ist genau das – eine Momentaufnahme. Sicherlich wecken die Farb-, Zahlen- und Alpha-Kategorisierungen, die heutige Risikobewertungsunternehmen anbieten, mein Interesse, aber wenn sie nicht angemessen verwendet werden, führen sie mit Sicherheit zu einem falschen Gefühl der Sicherheit. Unternehmen, die diese Informationen angemessen nutzen, zolle ich großen Respekt. Diejenigen jedoch, die alles auf eine Karte setzen und sich bei der erforderlichen Sorgfaltspflicht stark auf die Bewertung verlassen, bitte ich dringend zur Vorsicht.
Verstehen Sie mich nicht falsch, Open-Source-Risikobewertung ist eine Maßnahme, um Unternehmen über erforderliche Maßnahmen zu informieren. Beispiele hierfür sind:
- Unterstützung bei der Priorisierung der Due Diligence von Dritten
- Festlegung der Ausschreibung oder Auswahl der Informationen
- Festlegung von Bereichen zur Verbesserung der Sicherheitspraxis
- Identifizierende Informationen, die den Beratungsstellen zugänglich sind
Wir sollten nicht vergessen, dass einige ausgereifte Programme von Drittanbietern Sie auch über Echtzeitereignisse informieren können, die ein sofortiges Incident-/Krisenmanagement erfordern. Es ist jedoch von entscheidender Bedeutung, wie Sie die Bewertungsinstrumente einsetzen und die Schwellenwerte festlegen, die für Ihre Risikobereitschaft und Ihre Programme akzeptabel sind. Für diejenigen, die zum ersten Mal Risikobewertungstools einsetzen möchten, kann ein evolutionärer Ansatz, wie Sie die Informationen aufnehmen und nutzen, um die Inhalte verantwortungsbewusst anzuwenden, die Risikominderung steuern und Ihr Drittanbieter-Managementprogramm von anderen abheben. Beispielsweise nutzen ausgereifte Sicherheitspraktiken die Bewertungsberichte aus Open-Source-Feeds, um eine Partnerschaft mit ihren Drittanbietern aufzubauen, die diesen hilft, ihre Sicherheitslage mit einem neu gewonnenen Bewusstsein zu verbessern. Gleichzeitig ist es bedenklich, wenn die Bewertungsberichte so positioniert werden, dass sie letztendlich zu einer Entscheidung führen, den Drittanbieter aufgrund eines falsch interpretierten Berichts auszuschließen.
Die Risikobewertung von Open Source ist nur ein Teil des Puzzles.
Die Risikobewertung ist vielschichtig. Die Open-Source-Risikobewertung ist nur ein Indikator, der mit den folgenden vier Risikoidentifikatoren kombiniert werden muss:
- Ausgefüllte Sicherheitsfragebögen (vertrauenswürdige Informationen)
- Vor-Ort-Bewertungsberichte (Validierungsinformationen)
- Akzeptierte Risikobeseitigungspläne (Informationen zur Akzeptanz)
- Ereignisse und Vorfälle in Echtzeit (Echtzeitinformationen)
Die Verwendung einer segmentierten Bewertungsmethode ist der bevorzugte Weg, um ein ganzheitliches Bild der Sicherheit von Drittanbietern zu erhalten. Ihre Beziehung zu Drittanbietern hängt von der Bewertung aller Risikokennzeichen ab. Denken Sie also daran, dass ein wesentlicher Teil der kontinuierlichen Risikobewertung durch Open-Source-Berichte bereitgestellt wird, aber vergessen Sie nicht die Risikokennzeichen, die ein vollständiges Bild Ihrer Risiken durch Drittanbieter widerspiegeln.
Erfahren Sie mehr über den umfassenden Ansatz von Prevalent zum Risikomanagement bei Drittanbietern.
Brenda Ferraro ist Senior Director bei Prevalent, Inc. Sie ist eine gefragte Expertin für Risiken durch Dritte, die von Aufsichtsbehörden, Informationssicherheits- und Analysezentren (ISACs) und Organisationen für standardisierte Rahmenwerke für Dritte anerkannt ist. Sie lenkt die Aufmerksamkeit auf Risiken durch Dritte, indem sie ihre Erfahrung in den Bereichen Metriken, Berichterstattung und Prozessbeherrschung einbringt, um Unternehmen zu einem einheitlichen Lösungsökosystem zu führen, das die Komplexität der Risikosteuerung durch Dritte durchbricht.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
