2021 Aktionsplan für das Risikomanagement gegenüber Dritten

Peter Schumacher: Hallo und herzlich willkommen zu unserem heutigen Webinar. Dies ist der Aktionsplan für das Risikomanagement von Drittanbietern für das Jahr 2021 mit Brenda Ferraro und Alistister Parr. Brenda ist unsere Vizepräsidentin für Risiken von Drittanbietern und Alistair ist unser Senior Vice President für globale Produkte und Lieferung. Mein Name ist Peter Schumacher. Ich werde heute das Webinar moderieren. Bevor wir offiziell beginnen, möchte ich noch ein paar organisatorische Dinge klären. Zunächst einmal möchte ich daran erinnern, dass alle Teilnehmerleitungen stummgeschaltet sind, um Hintergrundgeräusche zu reduzieren. Wir möchten nicht, dass Hunde bellen, Kinder ins Zimmer kommen, Nachbarn ihren Rasen mähen und ähnliches. Außerdem möchten wir dieses Webinar interaktiv gestalten. Wir laden Sie daher ein, Ihre Fragen über die Zoom-Konsole einzureichen. Bitte geben Sie Ihre Fragen während der gesamten Sitzung über den Q&A-Bereich in Zoom ein. Wenn es die Zeit erlaubt, werden wir am Ende der Stunde auf diese Fragen eingehen und hoffentlich einen guten Dialog in Gang bringen. Das heutige Webinar wird aufgezeichnet. Wir senden Ihnen die Aufzeichnung bis morgen früh an die E-Mail-Adresse, mit der Sie sich für das Webinar angemeldet haben. Ich weiß, dass Sie nicht teilgenommen haben, um mein Gesicht zu sehen oder meine Stimme zu hören. An dieser Stelle möchte ich das Wort an Brenda und Alistister übergeben. Alistister, Brenda, würden Sie bitte Ihre Kameras einschalten? Wir würden gerne Ihre lächelnden Gesichter sehen. Da sind Sie ja, und jetzt können Sie loslegen. Vielen Dank.

Alistair Parr: Vielen Dank, Peter. Hallo zusammen. Ich möchte mich kurz vorstellen, und Brenda wird dann natürlich ebenfalls etwas über sich erzählen. Mein Name ist Alison P. Ich bin Senior Vice President für Produkte und Lieferung hier bei Prement. Ich komme aus dem Beratungsbereich und bin seit einigen Jahren mit der Durchführung von Audits und dem Management von Risikoprogrammen für Dritte befasst. Ich freue mich sehr, Sie alle kennenzulernen. Brenda Ferraro: Ich glaube, dies ist unser erstes gemeinsames offizielles Webinar, nachdem wir nun schon seit fast einem Jahr zusammenarbeiten. Ich freue mich sehr darauf. Viele kennen mich natürlich aus dem Gesundheitswesen und dem Finanzsektor. Mein Hintergrund liegt wirklich in der Prozessbeherrschung. Ich nehme gerne Programme und identifiziere genau, wo Sie in Ihrer Reife stehen und wie ich Ihnen helfen kann, diese zu skalieren, und nutze dazu die gängige Plattform. Ich freue mich also auf diese Diskussion über das, was wir in diesem Jahr erlebt haben. Dieses Jahr war eine ziemlich schwierige Zeit, aber wir haben es geschafft, und wir werden sehen, was uns im nächsten Jahr, 2021, das schnell näher rückt, erwartet. Also, ähm, ich glaube, wir werden unsere Bildschirme ausschalten und uns auf unsere Folien und Inhalte konzentrieren, und dann können wir loslegen, Alistister.

Alistair Parr: Fantastisch. Vielen Dank, Brenda. Okay, wir beginnen also mit einer etwas detaillierteren Zusammenfassung des Jahres 2020 und heben die wichtigsten Trends und Beobachtungen hervor, die wir im Laufe des Jahres gemacht haben. Danach gehen wir zu den allgemeineren Prognosen für 2021 über und zu dem, was wir aufgrund der Trends, Herausforderungen und Probleme, die wir 2020 gesehen haben, erwarten. Und davon gab es sicherlich einige. Das Erste, was uns im Laufe des Jahres 2020 allgemein aufgefallen ist , ist , dass wir unabhängig von der Größe der Unternehmen überall die gleichen Herausforderungen beobachten. Und das liegt wirklich daran, dass man die richtigen Informationen finden und sammeln muss, bevor man Konsistenz in großem Maßstab anwenden kann. Jeder einzelne Anbieter, der von unseren Kunden verwaltet wird, ist für uns von Bedeutung, egal ob es sich um Hunderte, Tausende, Zehntausende oder Hunderttausende handelt, proportional zu den Ressourcen der Unternehmen, mit denen wir sprechen. Sie sind nicht in der Lage, diese Mengen zu bewältigen, und deshalb haben sie nach Technologien gesucht, die automatisierte Prozesse und Arbeitsabläufe ermöglichen, um diese zu rationalisieren und skalierbar zu machen. Grundsätzlich war es jedoch eine regelmäßige Herausforderung, im Laufe des Jahres genügend Informationen zu erhalten, um diese jeweiligen Maschinen zu versorgen. Wie hat sich also die Reife von Programmen von Drittanbietern im Allgemeinen entwickelt? Wir haben uns dabei auf das Carnegie-Modell zur Bewertung der Reife von Fähigkeiten gestützt und die Bewertungen von eins bis fünf in verschiedenen Unternehmen betrachtet. Dabei konzentrieren wir uns in der Regel auf fünf Schlüsselbereiche:

• Berichterstattung
• Inhalt
• Rollen und Verantwortlichkeiten
• Sanierung
• Governance

Und jedes davon hat seine eigenen Erfolge und Herausforderungen, die wir sehen. Aber um auf den zuvor hervorgehobenen Punkt zurückzukommen: Es gibt einen großen Trend und eine große Herausforderung, genügend aussagekräftige Informationen zu erhalten. Und zwar dadurch, dass es keine einheitlichen Inhalte gibt. Das liegt daran, dass es keine angemessene Abdeckung über das gesamte Anwesen hinweg gibt. Die Rollen und Verantwortlichkeiten sind unklar definiert oder die Mitarbeiter konzentrieren sich auf die falschen Aktivitäten, sodass sie keine Abhilfemaßnahmen vorantreiben oder der Unternehmensleitung Bericht erstatten. Wir werden also auf einige der regelmäßig auftretenden Probleme und Herausforderungen eingehen, die wir häufig beobachten, aber wir beginnen mit einem allgemeinen Thema, und Brenda, ich hatte gehofft, Sie könnten etwas zur operativen Resilienz sagen. Das war in diesem Jahr ein ziemlich wichtiges Thema.

Brenda Ferraro: Ja, angesichts all der Herausforderungen, die wir durch die Pandemie oder COVID zu bewältigen hatten, haben wir einige Diskrepanzen und Lücken in unseren Programmen zur Stärkung der Widerstandsfähigkeit festgestellt. Und wir stellen jetzt fest, dass es nicht nur darum geht, zunächst eine Überprüfung durch Dritte und eine Due Diligence der Personen durchzuführen, mit denen man zusammenarbeitet. Denn wie wir wissen, kann es sein, dass andere Unternehmen, mit denen wir zusammenarbeiten, die wir beauftragen oder mit denen wir Daten austauschen, dasselbe tun. In der Vergangenheit waren nth-Party- und Fourth-Party-Anbieter etwas, vor dem wir uns strikt verschlossen haben und gesagt haben: „Bitte zwingt uns nicht, diesen Weg zu gehen.“ Aber jetzt sind wir quasi gezwungen, diesen Weg zu gehen. Wenn wir uns den Einzelhandel und andere Branchen ansehen, nicht nur aus cybertechnischer Perspektive, sondern auch im Hinblick darauf, wie wir unsere Produkte beziehen, stellt sich die Frage: Sind wir in der Lage, unsere Arbeit von einem Unternehmen auf ein anderes zu verlagern? Haben wir Konzentrationsrisiken, wenn wir nur ein Unternehmen für eine bestimmte Dienstleistung oder ein bestimmtes Produkt nutzen oder die Datenunterstützung durchführen, oder müssen wir zusätzliche Unternehmen hinzuziehen, wobei wir vielleicht 25 Unternehmen haben, die dasselbe tun, und einige von ihnen vielleicht sehr stark in ihrer Kontrollhaltung sind, aber vielleicht auch schwach, und deshalb wollen wir anfangen, die schwachen zu nutzen oder ihnen zu helfen, stärker zu werden, um unsere Sicherheitshaltung so zu halten, wie wir sie brauchen. Im Laufe des Jahres 2020 habe ich beobachtet, dass viele Unternehmen aller Branchen begonnen haben, über Lieferkettenmanagement und Outsourcing-Kettenmanagement in Großbritannien und den USA zu sprechen. Wir werden also bald erleben, dass viele Unternehmen über mehr Kontrollen und mehr Sorgfaltspflichten sprechen, also über Dinge, die nicht nur aus cybertechnischer Sicht wichtig sind, sondern auch außerhalb des Cyber- und Datenbereichs.

Alistair Parr: Sehr interessant. In diesem Zusammenhang haben wir im Laufe des Jahres 2020 eine Analyse unter vielen wichtigen Kunden und Einzelpersonen durchgeführt, um herauszufinden, wo die gemeinsamen Trends und Herausforderungen liegen. Wie Brenda zu Recht dargelegt hat, war die operative Widerstandsfähigkeit ein wiederkehrendes Thema im Jahr 2020. Aber Brenda, ich bin neugierig, was Sie über die Abdeckung denken und insbesondere darüber, inwiefern die Begrenzung auf Dritte im Jahr 2020 ein potenzielles Hindernis darstellte. Brenda Ferraro: Ja, wie wir gerade in der vorherigen Folie besprochen haben, war Cybersicherheit für die meisten Unternehmen ein wichtiger Schwerpunkt. Und Sie werden hier feststellen, dass wir nun auch Finanz-, Regulierungs- und Reputationsrisiken einbeziehen, um zu verstehen, wie sich das Risiko auf die Anbieter auswirkt, die sich in unserem ersten Perimeter befinden, aber auch in unserem vierten, fünften und sechsten Perimeter, die wir als n-te Parteien bezeichnen. Wenn man das tut, erhält man einen Überblick und ein Bild der Risikolandschaft bis zum n-ten Grad oder bis zum äußeren Perimeter, wo sie endet. Früher sagten wir immer, man solle den Daten von A bis Z folgen oder dem Produkt von A bis Z folgen, und wir schafften es vielleicht bis zum Element OP, aber wir kamen nie bis Z. Was wir jetzt also feststellen, ist, dass wir anfangen müssen, darüber nachzudenken, wer nicht nur extern zusammenarbeitet, sondern auch, warum wir intern mit diesen Unternehmen Geschäfte machen, und wenn etwas passiert, was bedeutet das für uns, wenn wirvon diesen Lieferanten, Outsourcern und Anbietern erwarten, was bedeutet das für uns, wenn etwas schiefgeht oder bestimmte Abhängigkeiten nicht erfüllt werden, um sicherzustellen, dass wir aus Sicht der Zip-Resilienz am Laufen bleiben und uns über Wasser halten können. Hast du noch etwas zu diesem Thema hinzuzufügen, Alistister?

Alistair Parr: Ja. Nein, ich denke, es ist sehr zentral, dass die meisten Organisationen, mit denen ich gesprochen habe, nicht über die Kapazitäten verfügen, um über den Status als Drittpartei hinauszukommen, da dies für sie schon eine große Herausforderung darstellt. Aber ich stimme Ihnen vollkommen zu. Wir haben gegen Ende des Jahres einen gewissen Trend beobachtet, dass die Leute zumindest ihre Tier-1-Risiken im Griff hatten und begannen, sich auf die Risiken von Fourth-Party-Anbietern und die operative Widerstandsfähigkeit zu konzentrieren. Das hat dazu beigetragen, dass sie im Laufe des Jahres 2020 keine andere Wahl hatten, als sozusagen unter die Oberfläche zu tauchen und zu sehen, was dort zu finden ist. Es war also ein sehr interessanter Trend und eine interessante Trendwende.

Brenda Ferraro: Ja. Und ich glaube auch, dass es für alle schwierig ist, zu bestimmen, wer meine vierten oder n-ten Parteien sind. Wie soll ich das überhaupt wissen, ohne zu fragen oder einen Bildschirm zu sehen, der mir alle Verbindungen anzeigt? Darüber werden wir also 2021 sprechen. Vielen Dank. Brenda Ferraro: Inhalte sind also etwas Alistair Parr: Oh, entschuldigen Sie. Fahren Sie fort, Alistair. Brenda Ferraro: Entschuldigung, nach Ihnen, Brenda, bitte. Brenda Ferraro: Nein, ich wollte nur sagen, dass Sie aus Sicht der Inhalte erwähnt haben, dass es viele Unternehmen gibt, die sich fragen, was meine wichtigsten Kontrollen sind und wie ich meine Risikovorhersagen für diese wichtigen Kontrollen in Beziehung setzen kann und welche Art von Profiling-Due-Diligence-Prüfung mich in die Lage versetzt, die für mich wichtigsten Risiken zu identifizieren. Ich nenne das „bedeutungsvolles Risiko”. Es gibt die Automatisierung, über die alle sprechen, aber wir müssen auch bedenken, dass wir bei der Betrachtung dieser verschiedenen Arten von Profiling, der inhärenten Restrisiken und der Frage, wie das aus der Perspektive eines zentralisierten Risikoregisters aussieht, unser Programm so betrachten müssen, dass wir die Talente identifizieren, die Sie zur Unterstützung des Lebenszyklus benötigen, sowie die Tools, die Sie benötigen, um Ihnen die Informationen und Techniken zu liefern, die Sie benötigen. und die Bemühungen, etwas zu beginnen, zu beenden und fortzusetzen. Das ist also dasselbe wie Menschen, Prozesse und Technologie. Aber es gibt diesen gängigen Spruch, dass man nicht messen oder verwalten kann, was man nicht misst. Und das Messen ist im Grunde genommen der Schlüssel. Und hier zeigen wir, wo Wahrscheinlichkeitsbewertungen und Gesamtwirkungen helfen, um sicherzustellen, dass wir einen kohärenten und umfassenden Blick auf die Zentralisierung dieser Informationen werfen. Unternehmen, die nur eine Tabelle verwenden und diese als Due Diligence nutzen, übersehen das Gesamtbild der Bedrohungsintelligenz. Sie übersehen das Gesamtbild der Validierungsberichte. Und diejenigen, die nur Bewertungssysteme verwenden, übersehen, was der Anbieter, Lieferant oder Outsourcer angibt, im Vergleich zu dem, was wir von außen sehen. Entschuldigen Sie, dass ich Ihnen ins Wort gefallen bin, Alistair. Was haben Sie zu diesem Thema zu sagen?

Alistair Parr: Nein, ich denke, das fasst es sehr gut zusammen. Was mir auffällt, ist, dass wir, wenn wir über zentralisierte Risikoregister sprechen, sehr oft sehen, dass sich Unternehmen speziell auf Cybersicherheit oder Informationssicherheit konzentrieren, und wir beobachten einen Trend zur Konsolidierung der verschiedenen Arten von Risiken, die sie verfolgen möchten, sei es operative, finanzielle, Reputations- und allgemeine Informationssicherheit usw., in konsolidierten Ansichten. Das muss nicht unbedingt dasselbe Risikoregister bedeuten, aber wir beobachten, dass die Leute versuchen, die Metriken zu standardisieren, die sie zur Berechnung und Verfolgung verwenden, und das ist sicherlich ein interessanter Trend.

Brenda Ferraro: Einverstanden. Alistair Parr: Vielen Dank. Was also die Rollen und Verantwortlichkeiten angeht, habe ich bereits kurz erwähnt, dass es meines Wissens noch kein ITSM-Team gibt, das über ausreichende Ressourcen und Personal verfügt und für die Steuerung von Drittanbietern und die Governance von Drittanbietern zuständig ist. Aber wie Sie einigen der Daten entnehmen können, die Ihnen jetzt vorliegen, geht es nicht nur darum, über die richtigen Ressourcen zu verfügen. Es geht darum, die richtigen Ressourcen für die richtigen Aufgaben einzusetzen. Ein Trend, den wir im Laufe des Jahres 2020 allmählich beobachten konnten, ist, dass Unternehmen Automatisierungsstrategien und -techniken einsetzen und in einigen Fällen sogar Outsourcing betreiben, damit sie qualifizierte Mitarbeiter und Ressourcen auf die richtigen Aktivitäten konzentrieren können. Wenn Sie also einen Spezialisten für Informationssicherheit, einen Spezialisten für Datenschutz usw. haben, sollten diese sich nicht so sehr mit den Feinheiten der Bewertung befassen, sondern sich auf die wichtigsten Schwachstellen und Herausforderungen konzentrieren, die sie beheben sollten, sowie auf die Validierungsübungen. Stimmt das mit Ihren Beobachtungen überein, Brenda?

Brenda Ferraro: Ich stelle fest, dass sich die Abteilung engagiert. Wenn man sich die Rechtsabteilung, die Risiko- und Compliance-Abteilung und die Beschaffungsabteilung ansieht, dann erkennen alle, dass wir die Lieferanten und Outsourcing-Anbieter sehr stark unter Druck gesetzt haben, indem wir ihnen Fragen zu ihren Aktivitäten im Bereich Cybersicherheit und nun auch zu anderen Bereichen gestellt haben. Das ist sehr schwierig für sie, weil sie so viel beantworten müssen und einige dieser Fragen sich wiederholen. Ich sehe also in einer Standardisierungsprüfung, dass diese Fragebögen aus einer Innenperspektive dazu beitragen, die Rechtsabteilungen, die Risikoabteilungen und die Beschaffungsabteilungen darüber zu informieren, was im Laufe der Zeit geschieht. Es geht nicht nur darum, herauszufinden, wie es Ihnen gerade geht. Wir legen Ihre Informationen in ein Regal und holen sie in einem Jahr wieder hervor. Wir überprüfen Sie erneut und geben die Informationen dann möglicherweise an andere Abteilungen weiter. Es kommt jetzt zu einer Situation, in der die Beschaffungsabteilungen und die Beschaffungsbüros fragen: „Was haben Sie herausgefunden, das mir helfen und mich ergänzen wird, um mir ein Bewusstsein dafür zu verschaffen, was mit einem bestimmten Anbieter los ist, anstatt nur sicherzustellen, dass wir ihn an Bord holen können?“ Richtig. Wir alle schauen uns auch an, was die Leute sagen, was sie in der Zwischenzeit tun, und wir fragen sie auch, wie es ihnen geht, wenn wir sie aus dem Unternehmen herausholen.

Alistair Parr: Sehr interessant. Vielen Dank. Alistair Parr: Brenda, was haben Sie aus Ihrer Sicht im Jahr 2020 typischerweise beobachtet? Brenda Ferraro: Das ist mein Favorit. Das ist wirklich sehr, sehr wichtig. Sie wissen, dass es bei den Personen, bei denen wir Reifegradbewertungen durchgeführt haben, eine 86-prozentige Diskrepanz zu den Sanierungsrichtlinien gibt. Und diese Befragten sagen wirklich, dass ich bei der Sammlung von Informationen hervorragende Arbeit leiste. Ich leiste hervorragende Arbeit bei der Identifizierung von Risiken, aber sobald es darum geht, diese zu beheben und die Abhilfemaßnahmen bis zum Abschluss zu verfolgen, komme ich ins Straucheln. Der Grund dafür ist, dass es Situationen geben kann, in denen Sie keine Standards für Ihre Risikobeseitigung verwenden. Es könnte sein, dass Sie das Risiko nicht auf verschiedene Tiering-Ansätze angewendet haben. Und es besteht ein großer Bedarf und eine große Herausforderung für Unternehmen, diese Abhilfemaßnahmen in vollem Umfang umzusetzen. CIESOs sagen heute: „Ich bin nicht mehr nur eine Ressource, die für die Risikominderung zuständig ist. Meine Hauptpriorität als CISO ist jetzt das Risikomanagement. Diese Risiken kommen auf uns zu. Wir identifizieren, was behoben werden muss, und ich muss von Anfang bis Ende kontrollieren, was bei diesen Abhilfemaßnahmen geschieht. Wenn also jemand nicht reagiert, was mache ich dann mit diesen Unternehmen, die gesagt haben, sie hätten einen Plan, aber die Abhilfemaßnahmen nicht abgeschlossen haben, oder vielleicht wurden die Abhilfemaßnahmen abgeschlossen, und wir müssen in der Lage sein, zu überprüfen, ob diese Fertigstellung Ihren Anforderungen und Standards entspricht. Außerdem gibt es keine Risikobewertung, die für alle eingehenden Antworten einheitlich angewendet wird. Wir stellen also fest, dass 59 % unserer Befragten angaben, dass sie Bedrohungsinformationen überwachen, die ihnen helfen sollten, das, was sie von den Anbietern und Brandherden hören, anzuwenden, aber es passt nicht sehr gut zusammen, um eine normalisierte oder harmonisierte Risikobewertung zu zeigen. Das sind also die Dinge, von denen ich sehr hoffe, dass sie 2020 und 2021 in Angriff genommen werden.

Alistair Parr: Interessant. Ja. Ich möchte mich Brendas Aussage anschließen. Aus Sicht der Standardisierung von Abhilfemaßnahmen haben wir festgestellt, dass viele Unternehmen Risiken durch Dritte lediglich als Abhakpunkt betrachten. Dies ändert sich allmählich, da die Menschen die Bedeutung erkennen und, wie Brenda erwähnt hat, die CESOS sich zunehmend der Tatsache bewusst werden, dass sie diese Herausforderungen identifizieren und etwas dagegen unternehmen müssen, anstatt nur die Tatsache zu beobachten, dassdieses damit verbundene Risiko in ihrem gesamten Drittanbieterbereich besteht, und wir sehen, dass immer mehr Menschen Mechanismen und Wege finden, um diese Herausforderungen in ihrer Lieferkette anzugehen, indem sie dies in Form von Verträgen durchsetzen und mit der Validierung und dem effektiven Kontrollprozess beginnen. Wenn wir also zusammenfassen wollten, wie das Jahr 2020 war, dann war es ein bisschen wie Katzen zu quälen. Wenn man sich ausschließlich auf das Risiko durch Dritte konzentriert, geht es darum , ein effektives Programm zu verwalten, das skalierbar ist. Wie zu erwarten, gibt es in diesem Bereich eine Vielzahl von Kooperationen. Es geht nicht nur darum, mit internen Ressourcen umzugehen, sondern diese Zusammenarbeit erfordert Fachwissen, Kenntnisse in den jeweiligen Bereichen und, wie zu erwarten, auch eine gehörige Portion Glück. Ja, ich liebe dieses Bild, weil es wirklich wie das Quälen von Katzen ist.

Brenda Ferraro: Das scheint mir auch so. Alistair Parr: Das fasst also unsere Sichtweise auf das zusammen, was wir bisher im Jahr 2020 gesehen haben. Einige der wichtigsten Herausforderungen und Themen für die Zukunft: Wir werden ein wenig über die wichtigsten Themen sprechen, die wir im Laufe des Jahres 2021 erwarten. Einige davon werden die Weiterentwicklung von Lösungen sein, die wir im Jahr 2020 gesehen haben, sowie völlig neue Herausforderungen und Ansätze für den Umgang mit Risiken durch Dritte. Okay, kommen wir zur ersten Folie. Also, die Erweiterung des Horizonts von Drittanbietern intern und extern. Damit meinen wir, dass wir dies im Laufe des Jahres 2020 beobachtet haben, teilweise als Reaktion auf die operative Widerstandsfähigkeit, aber es gab auch die Notwendigkeit, zu verstehen, wie Drittanbieter konkret mit dem Unternehmen interagieren. In der Vergangenheit waren viel zu viele Programme rein nach außen gerichtet. Sie erhalten eine rohe Liste von Dritten, mit denen sie regelmäßig zu tun haben, und diese werden ohne jegliche Zuordnung zu den jeweiligen Geschäftsbereichen oder dem damit verbundenen Geschäftskontext behandelt. Was wir nun beobachten, ist eine Zuordnung von Dritten über diese grundlegende Liste hinaus, die möglicherweise von der Beschaffungs-, Rechts- oder Finanzabteilung bereitgestellt wird, und die tatsächlich beginnt, mit dem Unternehmen zu kommunizieren. Warum nutzen Sie diesen Dritten? Welchen Wert hat er für Sie? Was leistet er für Sie usw.? All diese Zusammenhänge sind äußerst wichtig. Genauso wie es wichtig ist, sich mit der M-Partei in die entgegengesetzte Richtung zu befassen, ist es äußerst wichtig, das tatsächliche Risikoniveau zu verstehen, das mit dieser Organisation, mit diesem Dritten selbst verbunden ist. Und wir beobachten, dass man dazu beginnt, Dinge wie Beziehungsmanager innerhalb des Unternehmens zu berücksichtigen. Wenn diese noch nicht etabliert sind, erwarten wir einen Trend, dass in Organisationen mehr Verantwortliche für Beziehungen definiert werden. Es gibt also jemanden, der eine bestimmte Verantwortung für die Verwaltung und Koordination mit diesem Drittanbieter hat, und wir erwarten mehrere interessierte Parteien. Damit meinen wir, dass Sie häufig verschiedene Bereiche des Unternehmens finden werden, die in irgendeiner Form ein Interesse daran haben. Wenn wir also das Konzentrationsrisiko bestimmter Dritter betrachten – darauf werden wir später noch etwas näher eingehen – oder einfach nur die Tatsache, dass wir Schwierigkeiten haben werden, Einnahmen zu erzielen, weil ein Dritter ausgefallen ist oder weil sie verschiedene Teile der Organisation unterstützen, dann ist das etwas, das eine zunehmende Fokussierung und Validierung gegenüber vorläufigen Einstufungen und Profilerstellungen erfordert. Ein sehr häufiger Trend, den wir beobachtet haben, ist, dass der ursprüngliche Datensatz – und ich glaube, Brenda hat das vorhin schon kurz angesprochen – der ursprüngliche Datensatz, um zu verstehen, was der Dritte ist, was er tut, und um eine erste Profilierung darauf anzuwenden, historisch gesehen nicht besonders gut war. Die Datensätze, die alten Datensätze, waren unzureichend, und wir beginnen zu erkennen und erwarten für 2021 einen besseren Beschaffungsprozess. Es geht darum, die Daten, die für eine effektive Durchführung dieser Programme erforderlich sind, im Voraus zu teilen. Das führt natürlich zum Endp-Party-Management, und natürlich werden Brenda und ich gleich noch etwas mehr darüber sprechen. Und dann geht es um umfassende Profile. Es geht also darum, die verschiedenen Bereiche des Unternehmens, die mit einem Dritten zu tun haben, einzubeziehen und zusammenzuführen. Also Finanzen, Recht, Beschaffung, Infosc, IT-Resilienz, Datenschutz, wer auch immer das sein mag. Und damit zu beginnen, diese letztendlich 360-Grad-Profilansichten darüber aufzubauen, was mit diesem Dritten geschieht. Und das berührt natürlich unseren letzten Punkt, nämlich den breiteren Lebenszyklus eines Dritten. Also vom Onboarding bis zum Offboarding, besseres Management und Definition, wie das gehandhabt wird. Wir werden auf einige dieser Themen eingehen, aber Brenda, gibt es noch etwas, das Sie hinzufügen möchten, oder was haben Sie in der Praxis beobachtet und was erwarten Sie für 2021?

Brenda Ferraro: Ja, natürlich. Die interne und externe Situation, in der ein Universum identifiziert und ein Kontaktpunkt gefunden werden muss, war schon immer einer der Knackpunkte, die Herausforderungen verursacht haben, und ich denke, dass es 2021neue Ansätze geben wird, die die Menschen als Technik anwenden werden, indem sie sich direkt an den Anbieter wenden und ihm diese vorläufigen Fragen zur Tarifierung und Profilerstellung stellen, um diese Informationen zu korrigieren oder mit den Informationen in Ihren Unterlagen abzugleichen. Es ist in etwa so, als würde jemand Sie bitten, einfach zu sagen: „Hier ist die Dienstleistung, die ich anbiete. Hier ist, was ich für Sie tue. Hier bin ich geschäftlich tätig.“ Und dann wird das mit den Thread-Informationen, die Sie haben, abgeglichen und gespiegelt. Wenn Sie also wirklich schnell anfangen müssen, sehe ich auch, dass Thread-Informationen als Priorisierungstechnik verwendet werden. Wenn Sie also wirklich schnell Informationen benötigen, erhalten Sie ein Bild von einem Teil des Lebenszyklus Ihres Drittanbieters, und Sie können das ganz am Anfang und zu Beginn nutzen. Wir beginnen also, neue unkonventionelle Wege zu finden, um zu bestimmen, wen wir bei den Anbietern kontaktieren sollen, wenn wir diese Informationen nicht haben. An wen können wir uns intern wenden, wenn wir herausfinden müssen, was wir brauchen, um loslegen zu können? Denn man muss immer einen Volltreffer landen, um alle Basen zu erreichen. Und wenn man schon beim ersten Punkt keinen Volltreffer landet, gerät man in Situationen, in denen man irgendwie feststeckt. Deshalb suchen wir nach Möglichkeiten, diese Bereiche zu beseitigen, in denen Unternehmen und Programme feststecken.

Alistair Parr: Vielen Dank. Es handelt sich also um eine sehr komplexe Angelegenheit. Allein diese eine Folie für 2021 und diese Programme bieten zahlreiche Möglichkeiten für Weiterentwicklungen. Aber wir sind uns auch der Tatsache bewusst, dass diese Komplexität dazu führen kann, dass die Programme zu aufwendig und daher sehr schwer zu implementieren und zu verwalten sind. Das ist ein immer wiederkehrendes Thema, das wir mit den angesehenen CISOs, CIOS usw., mit denen wir zusammenarbeiten, besprechen: Diese Programme von Drittanbietern sollten nicht übermäßig komplex gestaltet werden. Die wichtigsten Themen, die wir im weiteren Verlauf der Sitzung behandeln werden, konzentrieren sich jedoch wirklich auf die Rationalisierung der Effizienz und die Erzielung des bestmöglichen Preis-Leistungs-Verhältnisses für das Drittanbieterprogramm in seiner jetzigen Form.

Brenda Ferraro: Ja. Und ich finde dieses Bild großartig. Man muss nicht darauf zurückkommen, aber die Entwicklung und der Fahrplan für den Aufbau Ihres Programms sind entscheidend. Nehmen Sie sich nicht mehr vor, als Sie bewältigen können. Um auf das Bild mit dem Elefanten und dem Vogel zurückzukommen: Es gibt einen Weg, der Sie ans Ziel bringt, aber es ist eine Reise. Das ist nichts, was man zu sehr durcheinanderbringen sollte. Alistair Parr: Brenda, ich bin sehr neugierig. Was haben Sie aus Ihrer Sicht als Geschäftsanalystin und Profiling-Expertin beobachtet? Gibt es etwas, das Sie für 2021 als besonders effektiv erwarten?

Brenda Ferraro: Ja, ich freue mich wirklich auf 2021, wo wir beginnen, uns mit Profiling zu befassen, wie Sie zuvor erwähnt haben, Alistister, wo wir uns genau ansehen,, welche Art von Unternehmen wir mit der Due Diligence versorgen werden und wie sich das kontextuell auf mein spezielles Unternehmen auswirkt. Auf diese Weise betreiben Sie ein sinnvolles Risikomanagement, bei dem Sie sich die wichtigen Informationen ansehen, aber bevor Sie überhaupt dazu kommen, müssen Sie wissen, wenn Sie mit diesen speziellen Unternehmen arbeiten, wo sie ihre Dienstleistungen erbringen. Ähm, einschließlich Thread Intelligence, die Ihnen sanktionierte Bereiche anzeigt, die Möglichkeit, sich anzusehen, wie der Support-Mechanismus für diese Kunden aussieht, und dann ein definiertes, äh, Linien-Diagramm oder Link-Protokoll oder Spinnen-Diagramm zu haben, das die internen Überlegungen zeigt, die Sie bei Ihrer Due Diligence berücksichtigen müssen. Einige Abteilungen Ihres Unternehmens sagen vielleicht: „Ich weiß, dass ich mich für diesen bestimmten Anbieter entscheiden muss und dass er Risiken birgt, aber meine Risikobereitschaft erlaubt es uns, weiterhin mit ihm zusammenzuarbeiten, während er seine Abhilfemaßnahmen durchführt, aber wir werden ihn strenger und genauer kontrollieren. Ähm, er hat möglicherweise einige Ressourcenengpässe. Wir werden also prüfen, wie wir diese Engpässe angehen können, unabhängig davon, ob es sich um interne oder externe Engpässe handelt. Ich denke also, dass die zunehmende Bedeutung der Onboarding-Phase ganz am Anfang dabei helfen wird, die erforderliche Sorgfalt walten zu lassen. Denken Sie immer daran, dass sich Verträge und Vereinbarungen ändern können, und richten Sie einen Prozess ein, der solche Änderungen berücksichtigt, damit Sie entweder die Überprüfung intensivieren oder sicherstellen können, dass Ihre Überprüfung genau das abdeckt, was Sie für diese neue Vereinbarung oder Änderung benötigen.

Alistair Parr: Und das Einzige, was ich dem noch hinzufügen möchte, basierend auf meinen Beobachtungen, ist, dass es, wie Sie wahrscheinlich auf der Grafik vor Ihnen sehen können, einige gemeinsame Themen gibt, die wir bei dieser Vorabprüfung feststellen. In der Vergangenheit haben wir gesehen, dass sich die Leute rein auf den Vertragswert stützen und dann nachträglich einen gewissen Abschlag vornehmen. Unabhängig davon, ob sie dafür Tools zur Überwachung von Bedrohungen einsetzen oder nicht, besteht grundsätzlich die Notwendigkeit, einen Blick ins Innere des Unternehmens zu werfen. Gibt es also eine regulatorische Verpflichtung, die sich auf das bezieht, was sie über den Vertragswert hinaus tun? Welche Teile des Unternehmens unterstützen sie? Sind es mehrere? Gibt es damit ein Konzentrationsrisiko? Was bieten sie tatsächlich? Wo sind sie geografisch angesiedelt? Und dann ist das natürlich eine fantastische Situation. Aber wenn Sie am Ende 70 % Ihres Unternehmensvermögens als kritisch oder Tier 1 einstufen, dann ist das zwar vielleicht der Fall, aber in Wirklichkeit verfügen Sie möglicherweise gar nicht über die internen Kapazitäten, um damit umzugehen. Die Anpassung und Abstimmung auf der Grundlage dessen, was Sie tatsächlich konsumieren und bewältigen können, um ein effektives Programm zu haben, ist sicherlich immer häufiger geworden und etwas, das wir auch für 2021 erwarten, nämlich eine proportionale Planung des Lieferantenbestands im Vergleich zu den ursprünglichen Profilen und dem, was sie tatsächlich versuchen und bewältigen können. Ich sage jetzt nicht, dass Sie Ihre Stufen an Ihre Kapazitäten anpassen sollen, denn das hängt natürlich vom Geschäft ab und wird vom Geschäft entschieden, aber Sie sollten sich zumindest bewusst sein und einen Grenzwert und einen klar definierten Grenzwert dafür haben, was tatsächlich erreichbar ist, wenn Profiling und Stufung angewendet werden. Okay. Als Nächstes: Gibt es bestimmte Trends, die Sie bei den Beteiligten innerhalb des Unternehmens von Brenda erwarten?

Brenda Ferraro: Beschaffung, Beschaffung, Beschaffung. Im Bereich Beschaffung wird sich viel tun, denn wenn wir die Dinge über die Beschaffung richtig aufsetzen, dann wird dies die nachgelagerten identifizierten Elemente ergänzen. Wir werden Situationen nutzen, in denen Daten ermittelt und Informationen intern und extern, von innen nach außen und von außen nach innen, aus Fragebögen und aus Thread-Intelligence gesammelt werden, die für die Betrachtung bestimmter Risikoregister in verschiedenen Organisationen relevant sind. Wir haben bereits zuvor darüber gesprochen, dass immer mehr Abteilungen sagen: „Hey, Abteilung für das Risikomanagement von Drittanbietern, lasst mich wissen, was ihr sammelt, denn ich kann das nutzen, um auf regulatorische Anforderungen zu reagieren oder Entscheidungen über Risiken für das Unternehmen zu treffen. Die Rechtsabteilung wird also in einem umfassenden, einheitlichen Tool sehen wollen, was gesammelt wurde, und aus ihrer Perspektive genau das sehen wollen, was sie sehen muss. Dann gibt es noch die Risiken der Informationssicherheit und die technischen Risiken, für die Anforderungen zur Bewertung des laufenden Managements bestehen. Sie werden also Warnmeldungen einrichten wollen, um zu erkennen, dass diese Dinge nicht ganz in Ordnung sind, und wir müssen sicherstellen, dass wir sie genau im Auge behalten. Was den Betrieb angeht, sprechen wir natürlich über Resilienz als Ganzes und stellen sicher, dass diese Effizienzsteigerungen im Jahr 2021 ein klares Bild der Lieferkettenlandschaft vermitteln. Und dann natürlich die Prüfung. Wenn Sie sich also die drei Verteidigungslinien ansehen, möchten Sie in der Lage sein, bei einem Vorfall diese Informationen zu nutzen und mit Ihrem umfassenden Tool sehr schnell zu erkennen, wo die Lücke entstanden ist, wo die Ursache des Problems liegt und welche Auswirkungen dies auf vor- und nachgelagerte Bereiche hat. Und das Audit möchte alles sehen können, was Sie tun, ohne Ihr gesamtes Programm kennenlernen zu müssen. Stellen Sie also sicher, dass Sie im Zeitraum 2021 ein umfassendes Produkt verwenden, mit dem Sie sagen können: „Okay, Auditoren, kommen Sie herein und sehen Sie sich an, wie wir das Risikomanagement während des gesamten Lebenszyklus der Zusammenarbeit mit dem Lieferanten steuern und umsetzen.“ Was ist mit Ihnen, Alistister? Was sehen Sie?

Alistair Parr: Ich würde mich dieser Einleitung, die Sie gemacht haben, auf jeden Fall anschließen, nämlich Beschaffung, Beschaffung, Beschaffung. Und es war gewissermaßen beabsichtigt, dass die Beschaffung im Vordergrund steht. Ich würde mich dem auf jeden Fall anschließen und ich gehe davon aus, dass dies 2021 sehr stark zum Tragen kommen wird, da es im Bereich der Beschaffung eine Fülle von Daten gibt und sieim Wesentlichen die erste Anlaufstelle bei der Zusammenarbeit mit Dritten sind und sie haben ein gewisses Maß an Gewicht und Macht, wenn es um den Verhandlungsprozess geht und darum, Dritte dazu zu bewegen, Zeit in das umfassendere Programm zu investieren, um die notwendigen Daten zu erfassen, bevor es zu einem BAU-Vertrag kommt und der Anbieter oder Dritte das Geld hat und dann die Dinge etwas laxer werden können. Ich sage nicht, dass das immer der Fall ist, aber es kann manchmal so sein. Die Nutzung dieses Beschaffungsinstruments ist also sicherlich etwas, das wir 2021 verstärkt sehen werden. Nun haben alle anderen Bereiche des Unternehmens, die ein Interesse an den von uns gesammelten Daten von Dritten haben, sei es das Rechtsrisiko-Management oder die Revision, natürlich unterschiedliche Sichtweisen und Vorstellungen davon, was sie sehen möchten. Das führt uns zu dem, was wir als Norm erwarten, nämlich ein umfassendes oder 360-Grad-Profil. Der Grund, warum dies immer mehr an Bedeutung gewinnt und heute mehr denn je vorherrscht, ist die Tatsache, dass die Technologien nun vorhanden sind und so aufeinander abgestimmt sind, dass sie in einer einzigen Ansicht oder in einer konsolidierteren Ansicht genutzt werden können, unabhängig davon, wie dies geschieht. Anstatt also, dass jeder dieser Geschäftsbereiche einen fragmentierten Ansatz verfolgt und möglicherweise dieselben Daten auf leicht unterschiedliche Weise in Silos aggregiert, sehen wir, dass das zentrale Profil durch verschiedene Feeds und Tools erstellt und gefüllt wird. Wir sehen, dass das zentrale Profil durch verschiedene Feeds und Tools erstellt und gefüllt wird. Um nur einige der Dinge zu nennen, von denen wir erwarten, dass sie bis 2021 fast zur Norm werden, gibt es grundsätzlich Bewertungen, und innerhalb der Bewertungen gibt es verschiedene Arten von Bewertungen:

• Datenschutzbasierte Bewertungen
• Informationssicherheit
• Operative Widerstandsfähigkeit
• Compliance-orientierte Bewertungen
• Bewertungen zur Erstellung von Unternehmensprofilen
• Korruptionsbekämpfung
• Bewertungen moderner Sklaverei

Es gibt eine ganze Reihe unterschiedlicher Inhalte, die wir aus Cybersicherheitsperspektive nicht mehr nur als Sicherheitszusatz betrachten, sondern als regulären Bestandteil. Wie Brendan bereits erwähnt hat, geht es darum, diese erste Wahrnehmung, diese erste Cyberperspektive zu erfassen. Auch wenn es sich dabei nur um die Außenperspektive von Dritten handelt, vermittelt sie Ihnen dennoch ein gewisses Verständnis dafür, wie deren Risikobereitschaft aussieht und wie sie ihre Umgebung möglicherweise verwalten. Die Geschäftsdaten betrachten wir im Wesentlichen als Geschäftsereignisse, historische Geschäftsereignisse im Zusammenhang mit dem Unternehmen, die von Bedeutung sein können. Dazu gehören Änderungen im Betrieb, Änderungen in den Gebieten, Veröffentlichungen in Bezug auf die Herstellung von Produkten, neue Dienstleistungsangebote usw. All dies sind relevante Informationen, die Ihnen ein Verständnis für den Zeitgeist des Unternehmens und dessen tatsächliche Aktivitäten vermitteln. Wir gehen davon aus, dass Finanzdaten immer mehr an Bedeutung gewinnen werden. Natürlich werden sie heute bereits in einigen Bereichen des Unternehmens genutzt, aber die Finanzdaten sollten in das Lieferantenprofil integriert werden. Dazu gehören die finanzielle Stabilität des Unternehmens und die Wahrscheinlichkeit, dass es in den nächsten 12 Monaten insolvent wird. Ereignisse sind alle proaktiven Ereignisse, die über diesen Punkt hinausgehen. Das bedeutet, dass Datenverstöße, Dienstausfälle, M&A-Informationen und alles, was relevant ist, proaktiv an dieses Profil zurückgemeldet werden. Die Verfolgung von Zertifizierungen, wo immer dies relevant ist, wo immer wir Zertifizierungen erhalten können, und deren Nachweis, anstatt die gleichen Bewertungen in leicht abgewandelter Form zu wiederholen. Und dann natürlich, wie Brenda erwähnt hat, die Endpartei. Also, wen nutzt dieser Anbieter? Was sind die damit verbundenen vierten, fünften, sechsten, siebten Parteien, die für die von ihnen angebotenen Dienstleistungen von Bedeutung sind? Zusammenfassend gesagt, erwarte ich für 2021 diese zusammengefasste Ansicht, dieses einzige Profil, das verschiedene Elemente und jede jeweilige berechtigte Partei aus der vorherigen Folie enthält, die zeitaufwändige Elemente oder Komponenten dieses Anbieterprofils bearbeiten wird. Aber anstatt diese Silos isoliert zu betrachten, werden wir eine stärkere Zusammenarbeit zwischen den Unternehmen sehen , um dies im Voraus zu erfassen, was es für den Anbieter rationalisierter und zugänglicher macht und eine bessere Analyse dieses Datensatzes ermöglicht. Brenda, ich bin neugierig, ob das etwas ist, was Sie im Laufe des Jahres 2021 ebenfalls erwarten.

Brenda Ferraro: Ich bin gespannt darauf, dies im Jahr 2021 zu sehen. Es gibt so viele Unternehmen, die unterschiedliche Tools verwenden, die nicht miteinander kommunizieren. Was Sie hier widerspiegeln, ist diese umfassende Profilierung und die Fähigkeit, alles aus einer Perspektive zu betrachten. Auf diese Weise können Sie bei der Betrachtung wirklich eine analytische Überprüfung dessen vornehmen, was als Nächstes kommt. Ohne diese Übersicht hat man nur Bruchstücke und Teile und kann nur Teile des Puzzles zusammensetzen. Aber wenn man das gesamte Puzzle zusammengesetzt hat und alles auf einem Bildschirm sehen kann, ist das für diejenigen, die diese Art von Arbeit erledigen müssen, sehr hilfreich. Denn wenn man sich die Folie mit dem kunstvollen Gebäude noch einmal ansieht, ist es wirklich kunstvoll. Das gesamte Programm ist wirklich brillant und spektakulär, aber man muss alle diese Teile und Fragmente zur Verfügung haben, damit es zu einem leuchtenden Stern wird.

Alistair Parr: Vielen Dank. Sehr interessant. Darf ich fragen, wie Sie den gesamten Lebenszyklus sehen? Also von der Beschaffung bis zum Ausscheiden aus dem Unternehmen im Jahr 2021. Brenda Ferraro: Wenn Sie sich diese Folie ansehen, können Sie zwei verschiedene Farben erkennen. Die ersten beiden Chevrons sind hellblau und die letzten drei sind dunkelblau mit grau darunter. Wenn Sie sich auf die letzten drei konzentrieren, also Lieferantenbestand und -aufnahme, deren Priorisierung und dann Ihre Bewertung und Überwachung im Hinblick auf die Due Diligence, dann ist das genau das, worauf sich viele Unternehmen konzentriert haben und was wir bis 2020 als Trend beobachtet haben. Was wir im Jahr 2021 sehen werden, ist die Erweiterung um die Möglichkeit, die Beschaffung, die Ausschreibungen und die Vertragsabschnitte des Lebenszyklus durchzuführen. Wir verfeinern also den Prozess, indem wir ergänzende Informationen einbringen und uns für den Erfolg im weiteren Verlauf des Lebenszyklus rüsten. Das wird den Unternehmen entgegenkommen und sicherstellen, dass die Anforderungen den Komplexitäten der Dritten in großem Maßstab gerecht werden. Es ist also nicht so, dass sich alles komplett ändern wird. Wir stellen lediglich sicher, dass wir uns auf einige Bereiche konzentrieren, in denen die erweiterten Funktionen des Risikomanagements für Dritte im Beschaffungslebenszyklus bisher nicht unbedingt zum Einsatz kamen. Außerdem werden Sie natürlich feststellen, dass sich die Überwachung auf alle Phasen des Lebenszyklus auswirkt. Erstens könnten Sie Ihre Thread Intelligence nutzen, um Ihre Lieferanten für Ihre RFPs oder RFXs auszuwählen. Und Sie werden diese Überwachungselemente und Ihre harmonisierten und normalisierten Risikoinformationen nutzen, um Verträge anzupassen. Vielleicht bringt jemand nicht die erwartete Leistung, oder natürlich haben wir bereits darüber gesprochen, dass sie begonnen haben, andere Geschäfte mit dem Unternehmen zu machen, und wir müssen sicherstellen, dass wir die erforderliche Sorgfalt walten lassen. Nun zu Ihrem Lieferantenbestand und dazu, dass Sie die Informationen erhalten, wenn Sie sie benötigen. Wir haben 2020 Herausforderungen erlebt, bei denen jemand hinzugefügt wurde, wir aber nichts davon wussten und keine Sorgfaltspflicht walten ließen, weil wir keinen Einblick hatten. Diese Datenbank von Drittanbietern oder N-Parteien wird von entscheidender Bedeutung sein, damit Sie nicht nur verstehen, wer in Ihrem Bestand ist, sondern auch, was diese Personen für Sie tun und wie sie mit Ihren internen Geschäftseinheiten bis hin zu Ihren Endpartnern verbunden sind. Und dann die Priorisierung... Ich bin sicher, einige von Ihnen haben sich genauso gefühlt wie ich in der Vergangenheit, als ich ein Risikoprogramm für Dritte aufbaute und diese Beschaffungsabteilungen so freundlich waren, mir zu unterschiedlichen Zeitpunkten verschiedene Listen zu geben, aus denen hervorging, wer unsere Dritt- und Viertparteien sind, und da ich Tausende und Abertausende davon auf einmal vor mir hatte, musste ich sicherstellen, dass ich einen evolutionären Ansatz verfolgte, um zu ermitteln, was am wichtigsten, am zweitwichtigsten und am drittwichtigsten war. Daher ist es auch entscheidend, diese Lieferanten zu einstufen und eine Bewertungsplanung durchzuführen. Wenn man sieht, wie all diese Dinge zusammenwirken, sich ergänzen und in gewisser Weise von Inputs und Outputs abhängig sind, ergibt sich ein eher geschlossener Ansatz, und mir gefällt, wie das unsere Sichtweise für 2021 und die Zukunft sein wird. Was sehen Sie, Alistister?

Alistair Parr: Sehr interessant. Ich sehe da große Ähnlichkeiten, und was ich an dieser Folie ebenfalls interessant finde, sind die anfänglichen Beschaffungsaktivitäten im Bereich des blauen Chevrons. Also die Überwachung der KPIs, die Ermittlung der besten Quellen und die kontinuierliche Überwachung der Leistung. Das ist etwas, das mir bis vor kurzem im Zusammenhang mit dem Programm zum Management von Drittanbietern ziemlich fremd war. Es wird nicht von denselben Teams gesteuert, die Bewertungen durchführen und die Beziehungen zu Drittanbietern pflegen. Aber es wird immer häufiger. Was ich interessant finde und was sich meiner Meinung nach auch 2021 fortsetzen wird, sind diese Leistungskennzahlen, diese KPI-Anforderungen, die in den gesamten Lebenszyklus einfließen. Sie sind nicht nur punktuell oder dienen der Vertragsverlängerung usw. Ich beobachte, dass Unternehmen Klauseln, Vertragsklauseln und Erwartungen als Teil ihrer Bewertungsabläufe selbst verfolgen und Diskrepanzen aufdecken. Ein Paradebeispiel dafür ist, wenn im Voraus ein Sicherheitszusatz als Teil der RFP-Vertragsphase bereitgestellt wird und dieser dann nicht nur zum Zeitpunkt der ersten Bewertung, sondern auch nach 3 Monaten, 6 Monaten usw. validiert wird, um damit a) Risiken anzugehen und b) natürlich Verträge am Ende der Laufzeit neu zu verhandeln. Es ist also definitiv wertvoll, durch Vertragsverhandlungen in Form von Sicherheitsmängeln oder Mängeln bei der Leistungserbringung eine Kapitalrendite in Form von Kosteneinsparungen zu erzielen, da man so eine definitive Kapitalrendite für die Aktivitäten nachweisen kann, was meiner Meinung nach seit einigen Jahren in der Branche fehlt, und so sehr sich die Menschen auch um faire Modelle bemühen, um finanzielle Risiken und die mit diesen Risiken verbundenen Kosten in Verbindung zu bringen, die sie identifizieren. Das Problem, welche Rendite wir tatsächlich für dieses umfassendere Drittanbieter-Managementprogramm erzielen, wird dadurch immer noch nicht gelöst. Wir sollten zumindest Barersparnisse erzielen, und wir sehen, dass Unternehmen damit beginnen, dies zu tun.

Brenda Ferraro: Einverstanden. Alistair Parr: Brenda, ich bin neugierig, was Sie über Endparty-Mapping denken. Das ist sicherlich ein heißes Thema für 2021, aber was sehen Sie als allgemein gültig an? Gibt es etwas, das 2021 proportional wichtiger werden wird? Brenda Ferraro: Ja, alle beginnen, sich intensiv damit zu beschäftigen. Sie begnügen sich nicht mehr mit der ersten Perimeter-Ebene. Sie gehen über die Perimeter hinaus, um herauszufinden, wo meine Risiken liegen. Wie kann ich schnell auf Vorfälle reagieren? Und was das Resiliency Management angeht: Wie kann ich genau wissen, was ich anpassen oder ändern muss, wenn die Dinge nicht wie geplant laufen? Oder wenn sie wirklich gut laufen, wie können wir sie in weitere Dienste einbinden? Wenn man sich also ansieht, was dieser Workflow aus Identifizieren, Bewerten, Kontextualisieren, Zuordnen und Aufrechterhalten wirklich bewirkt , dann stellt er sicher, dass Sie kontextuell wissen, mit welchen Dritten, Vierten und Endparteien Sie zusammenarbeiten. Diese werden intern und extern zugeordnet, um eine Datenbank, eine Verwaltungsdatenbank für Ihre Lieferanten oder für Ihre Outsourcer und Anbieter zu erstellen. Und dann stellen Sie sicher, dass Sie durch die Pflege dieser Datenbank alles überprüfen, was aus einer positiven oder negativen Perspektive passieren könnte. Wenn man sich so tief damit befasst, sieht es zunächst einmal beängstigend aus. Es ist fast so, als wolle man das Meer kochen, aber es gibt Techniken und Methoden, die Ihnen im Jahr 2021 dabei helfen werden. Sie können beispielsweise einen Threat-Intelligence-Bericht erhalten, der Ihnen zeigt, welche Unternehmen sie haben oder mit welchen sie zusammenarbeiten. Wenn dann ein Vorfall auftritt, können Sie schnell sagen: „Okay, hier ist der Dritte, bei dem der Vorfall auftritt. Wo wird sich das extern und intern auswirken, damit ich Anpassungen an meinem Arbeitsablauf, meinen Geschäftsprozessen vornehmen oder gegebenenfalls Business-Continuity-Pläne und Disaster-Recovery-Pläne in Kraft setzen kann?“ Ich kann Ihnen ganz kurz eine Geschichte erzählen. Ähm, in der Vergangenheit hatte ich eine Situation, in der wir einen Vorfall hatten, der von einem Drittanbieter verursacht wurde, und dieser Drittanbieter hatte auch einen vierten Anbieter involviert, und ohne dass wir wirklich verstanden haben, welche Sorgfaltspflicht der Drittanbieter gegenüber dem vierten Anbieter hatte, waren wir im Grunde genommen einem Risiko ausgesetzt, das ein unbekanntes Risiko war. Und wir wollen wissen, welche Risiken wir haben. Wir wollen keine Unbekannten haben, es sei denn, es handelt sich um Umweltfaktoren oder etwas, das unerwartet passiert. Daher ist es wichtig, diese Risiken zu managen. Und deshalb würde ich Ihnen definitiv sagen, dass dies, wenn es nicht etwas ist, das Sie derzeit für 2021 im Blick haben, definitiv etwas ist, mit dem Sie sich im Laufe des Jahres 2021 beschäftigen sollten, denn Sie werden diesen Überblick haben wollen, wenn Ihr CISO und/oder Ihre Führungskräfte anfangen zu fragen, wie sich dies auf Sie auswirken wird.

Alistair Parr: Ich stimme dieser Marke voll und ganz zu. Vielen Dank. Und etwas, das damit zusammenhängt und das ich in Großbritannien definitiv beobachte, ist, dass es Leitlinien, Rahmenbedingungen und Vorschriften gibt, die beginnen, die Betrachtung der vierten Partei oder der M-Partei zu unterstützen. Also, äh, oder von Organisationen erstellt und wie die P, äh, unterstützen es in dem Sinne, dass man versteht, welche Auswirkungen das nachgelagert hat und wie sich das auf einen selbst auswirkt. Wir sehen also, dass nicht nur die Regulierungsbehörden beginnen, sich auf die Endpartei zu konzentrieren, sondern dass es, wie Sie bereits angedeutet haben, über die Sicherheitsbedenken hinaus auch Vorteile und Nutzen für die Nth-Partei gibt, die wir allmählich erkennen. Sie haben ein gutes Beispiel genannt, nämlich wenn es zu einer Datenpanne oder einem Dienstausfall kommt. Es ist wichtig, die damit verbundenen Auswirkungen auf Ihre gesamte Drittparteienkette zu verstehen. Ich glaube, dieses Bild veranschaulicht das sehr gut. Wenn wir einen dieser Punkte hier in diesem Netzwerk isoliert betrachten, ergibt sich ein ganz anderes Bild als wenn wir auch die Zusammenhänge um diesen Punkt herum betrachten. Deshalb gehen wir davon aus, dass immer mehr Menschen im Jahr 2021 damit beginnen werden, zu definieren, wo sie über Bandbreitenressourcen verfügen. Und das bedeutet im Grunde genommen, dass das, was unter dem guten Schiff „Anbieter” lauert, nicht mehr so tolerierbar ist. Und damit meinen wir, dass die Vielzahl von Anbietern und Unternehmen, die alle Ihre Drittanbieter unterstützen, im Jahr 2020 teilweise aufgrund der operativen Widerstandsfähigkeit und einer geringeren Risikotoleranz an Bedeutung gewonnen haben, und wir gehen davon aus, dass sich dieser Trend auch im Jahr 2021 fortsetzen wird. Bisher haben wir uns stark auf die Weiterentwicklung von Programmen konzentriert. Wohin wird ein Programm führen, das auf einem bereits definierten Programm basiert? Aber es gibt noch etwas anderes, das wir ansprechen wollten, nämlich ein im Wesentlichen neues oder basisdemokratisches Programm, das aus einer Wahrnehmung nahe dem oberen Ende von 2021 hervorgegangen ist, und es gibt eine Reihe von Dingen, die wir als Teil der Überlegungen zur Einrichtung dieses Programms sehen, die sich über die Denkweise von 2020 hinaus entwickelt haben. Einige davon sind bereits im Vordergrund, aber die wenigen, die ich hervorheben möchte und die meiner Meinung nach 2021 an Bedeutung gewinnen werden, sind die Definition der wichtigsten Kennzahlen. Es geht also darum, im Voraus festzulegen, wie Erfolg tatsächlich aussieht. Ein Fehler, den wir in den letzten Jahrzehnten immer wieder gesehen haben, war, dass man wirklich zu viel versucht hat und sich damit letztendlich selbst zum Scheitern verurteilt hat. Wir beobachten daher, dass Programme von Drittanbietern gegen Ende des Jahres und im nächsten Jahr intelligenter vorgehen, was die Erfolgskennzahlen angeht, und daher überlegen, was das Programm leisten muss und wo es stehen muss, um diese Kennzahlen in einem Zeitraum von sechs bis zwölf Monaten zu erreichen. Anstatt jedoch Ressourcen auf der Grundlage des Ausmaßes des Problems zuzuweisen, können sie im Voraus eine Entscheidung treffen und einfach sagen: „Auf der Grundlage des Budgets, der Kapazitäten und des gesamten Umfangs unserer Organisation von einer Endpartei erwarten wir dies für unsere Tier-1-Partner. Wir erwarten dieses Maß an Validierung und Korrekturmaßnahmen für unsere Tier-2-Partner usw. und wissen, welche Kennzahlen wir berichten müssen, um den Erfolg daran zu messen.“ Ein weiteres wichtiges Thema, das wir im Rahmen eines neuen Programms sehen, ist der Faktor Mensch. Nun, dies hat sich schon seit einiger Zeit entwickelt, aber der Faktor Mensch bedeutet hier vor allem, wie wir diese umfassenden Profile von Dritten und Unternehmen nach der Beschaffung aufbauen können, wenn es keine oder nur sehr lockere gesetzliche oder vertragliche Verpflichtungen gibt, die sie zu bestimmten Handlungen verpflichten, und sie nur den minimalen Zeitaufwand betreiben, der erforderlich ist, um Sie zu versorgen. Das gilt intern für das Unternehmen ebenso wie für Dritte. Wir haben beobachtet, dass das Marketing sich zunehmend einbringt und einige dieser Aktivitäten unterstützt, um mit seinem Fachwissen und seiner Beratung dazu beizutragen, dass Mitarbeiter und andere Personen einbezogen werden, um Antworten zu erhalten und Informationen zu sammeln. Das kann bedeuten, dass bei der internen Kommunikation innerhalb des Unternehmens Autoritätspersonen zu Wort kommen. Sogar bis hin zur Verwendung sehr spezifischer Zeitrahmen für die Herausgabe von Bewertungen. Also die Herausgabe zu bestimmten Terminen, wobei Antworten innerhalb festgelegter Zeitrahmen erwartet werden usw. Es gibt menschliches Verhalten, das sich für den Prozess der Informationsbeschaffung von Dritten und Anbietern eignet, und wir sehen, dass dies als Instrument zum Aufbau dieser Profile immer effektiver wird. Brenda, gibt es noch etwas anderes, das Sie aus einem neuen Programm hervorheben möchten, von dem Sie glauben, dass es sich 2021 als vorteilhaft erweisen wird? Brenda Ferraro: Ich finde, Sie haben das sehr gut ausgedrückt. Ich habe dem wirklich nichts Wesentliches hinzuzufügen. Mir gefällt alles, was Sie erwähnt haben, und was es zeigt.

Alistair Parr: Vielen Dank. Was denken Sie in diesem Fall über das laufende Management? Wenn diese einmal etabliert sind, wie sehen Sie dann die Entwicklung hin zu einer Art „Business as usual“ und kontinuierlicher Verbesserung? Brenda Ferraro: Ja, ich habe definitiv meine Meinung geändert, und wenn ich Unternehmen berate, sage ich ihnen, dass sie sich von den einmaligen Bewertungen im Jahr 21 verabschieden und sich wirklich auf die kontinuierliche Bewertung konzentrieren müssen. Ich sage „kontinuierliche Bewertung”, weil wir immer von Überwachung und dem Ausfüllen von Fragebögen gehört haben, und einige Unternehmen haben diese je nach ihrer Stufe in einem Ein-, Zwei- oder Dreijahreszyklus, aber jetzt gibt es diese längeren Zeiträume für niedrige und mittlere Risiken, und das kann ich verstehen. Wenn Sie also bei einem bestimmten Anbieter kein Risiko feststellen und dieser keine Abhilfemaßnahmen ergreift und Sie nur eine Stichprobenkontrolle durchführen, dann ist das in Ordnung. Okay. Aber bei den Unternehmen, deren Risiken Sie bis zum Abschluss verfolgen und die über wirksame Abhilfemaßnahmen verfügen, sollten Sie diese Risiken nach ihrer Umsetzung überprüfen und validieren, da dies nicht nur ihre Risikosituation, sondern auch Ihre eigene in einem günstigen Licht erscheinen lässt, wenn sie eine geeignete Abhilfemaßnahme umgesetzt haben. Ich würde mich also darauf konzentrieren, sicherzustellen, dass Sie das tun, was Sie heute tun, aber einen Ansatz zu entwickeln, um Ihre risikoreichen Dritten kontinuierlich zu bewerten, und wenn sich etwas an Ihrer Bedrohungslage ändert oder ein Vorfall auftritt, dann natürlich diese neu zu bewerten. Versuchen Sie aber, sich von dem einen fernzuhalten und Plattformen zu nutzen, die es Ihnen in großem Maßstab sehr leicht machen. Sie müssen nicht einmal sagen: „Okay, ich schaue mir nur die hohen oder kritischen Risiken an und lasse die mittleren und niedrigen Risiken außer Acht.“ Manchmal sorgt die Automatisierung dafür, dass Sie sich alle Ebenen ansehen können, und dank der Automatisierung in der Konfiguration, die Sie in Ihrer Plattform implementiert haben, können Sie dies ganz einfach tun. Sehen Sie das auch so, Alistair?

Alistair Parr: Das bin ich in der Tat. Ja. Dieser Aspekt der kontinuierlichen Überwachung und kontinuierlichen Verbesserung hat sich nur langsam in das Risikomanagement von Drittanbietern eingeflossen, vor allem aufgrund der Kapazitäten, würde ich sagen, und auch aufgrund des Wunsches, Kontinuität und Konsistenz von Jahr zu Jahr aufrechtzuerhalten. Aber ich stimme Ihnen zu, dass die Leute intuitivere Wege finden, um die bestehenden Standards, Rahmenbedingungen und Anforderungen beizubehalten, aber dann ihr Programm weiterzuentwickeln und natürlich sicherzustellen, dass sie kontinuierliche Einblicke in diese Drittanbieter haben. Nun, Brenda, ich bin sehr gespannt auf Ihre Meinung zu Netzwerken, da es eine Reihe verschiedener Netzwerke gibt, die bei richtiger Nutzung offensichtlich einen erheblichen Mehrwert bieten. Wie wird sich das Ihrer Meinung nach im nächsten Jahr entwickeln?

Brenda Ferraro: Ich stelle also fest, dass wir uns nicht nur auf eine Seite konzentrieren, also ein Unternehmen, das das jeweilige Netzwerk vorantreibt, wenn es um Standardisierung geht. Zum Beispiel, wenn es ein Netzwerk von Anbietern im Gesundheitswesen oder ein Netzwerk von Anbietern im Rechtsbereich gibt. Wir konzentrieren uns wirklich auf jede Größe. Und dieses umfassende Profil wird den kleineren Unternehmen die Möglichkeit geben, zu sehen, was sie sehen müssen, und ihnen die Möglichkeit geben, sich zu entlasten und von dem zu profitieren, was andere Unternehmen innerhalb dieses Netzwerks tun. So können sie beginnen, Risiken zu beheben. Sie haben die Möglichkeit, dies als Gemeinschaft zu tun, oder sie haben die Möglichkeit, Informationen zu sehen, die für ihr Unternehmen geeignet sind. Es gibt vielleicht einige Unternehmen, die nur 25 Unternehmen, also Anbieter, pro Jahr bewerten. Es gibt vielleicht andere Unternehmen, die 10.000 bewerten. Die Möglichkeit, diese Informationen auszutauschen, wird im Jahr 2021 für alle sehr umfangreich und vertraut sein. Das Lieferantenrisiko beginnt jetzt, wenn jemand ein Risiko abgeschlossen oder etwas behoben hat. Wir werden sehen, dass dies an die Unternehmen weitergegeben wird, sodass sie nicht jedes Unternehmen einzeln informieren müssen, dass ich diese bestimmte Abhilfemaßnahme abgeschlossen habe. Überprüfen Sie es. Es wird so sein, dass ich es abgeschlossen habe. Ich habe es in mein Lieferantenportal gestellt, und dann werden die Kunden das auf magische Weise in ihrem System sehen und die nächsten Schritte und Maßnahmen ergreifen können, um es entweder zu überprüfen oder zu akzeptieren. Und dann ist da noch eine weitere Sache, die wir in den Netzwerken sehen und die sehr hilfreich sein wird: die Instant-Response-Feeds. Wenn also Maßnahmen erforderlich sind, die branchenübergreifend oder in einer bestimmten Branche oder sogar in mehreren Branchen durchgeführt werden müssen. Sie werden sehen, dass die Menschen diese Web-Diagramme und die Informationen auf einer höheren Ebene nutzen können, wo sie sie teilen und vergleichen können, und das wird dazu führen, dass wir unsere Position weltweit stärken können, anstatt nur individuell für jedes Unternehmen und/oder jeden Anbieter. Was ist mit Ihnen, Alistair?

Alistair Parr: Ja, ich stimme Ihnen in allen Punkten zu und gehe davon aus, dass Netzwerke im Jahr 2021 stärker auf Anbieter ausgerichtet sein werden. Das bedeutet, dass der Fokus auf die Anbieter verlagert wird und ihnen einfache und skalierbare Möglichkeiten geboten werden, Informationen mit einem größeren Kundenkreis zu teilen. Nach dem, was ich von Kunden und natürlich auch von Anbietern höre, gewinnt ein „One-to-Many”-Ansatz zunehmend an Bedeutung. Hinzu kommen Dienstleistungsbereiche, in denen die Netzwerkdaten sehr spezifisch für einen bestimmten Dienstleistungsbereich sind, der als Anbieter insgesamt interpretiert wird. Dies gilt auch für verschiedene Überwachungsnetzwerke, die es gibt, usw. Das ergibt kein wirklich aussagekräftiges Bild, und nach unserer Erfahrung ist die einzige Möglichkeit, dies zu erreichen, eine Bewertung. Daher wird es besonders wichtig sein, die Anbieter dabei zu unterstützen, Einblicke in dienstleistungsbezogene Informationen und Bewertungskollisionen zu gewinnen. Um es kurz zusammenzufassen: Wir gehen davon aus, dass 2021 mehr Unternehmen ihr Chaos strukturieren werden, was natürlich Musik in den Ohren aller ist. Leider ist dies kein Bild, das Brenda und ich kürzlich dank des Lockdowns nachgestellt haben, aber es ist sicherlich das, was wir manchmal empfinden, wenn wir sehen, dass die Programme von Drittanbietern, über die wir sprechen, Früchte tragen und in großem Maßstab umgesetzt werden können.

Brenda Ferraro: Das ist definitiv mein Haar. Brenda Ferraro: Ist mein Lächeln . Alistair Parr: Wir haben jetzt noch ein paar Minuten Zeit für eine Frage-und-Antwort-Runde. Wir haben versucht, Antworten auf Fragen einzuflechten, während wir die Sitzung durchgeführt haben. Aber wenn Sie noch Fragen haben, können Sie diese gerne jetzt im Chatfenster stellen. Während wir das tun, möchten wir Ihnen nun einige Umfragen vorstellen. Bitte stimmen Sie ab und geben Sie uns einen Einblick in Ihre Situation. Während wir das tun, werden wir einige dieser Fragen beantworten. Die erste Frage, die ich hier herausgreifen möchte, ist eine von mehreren. Brenda, wenn ich Sie fragen darf: Wenn das Management keinen definierten Risikobewertungsplan hat, wie kann die interne Revision dann beraten, ohne direkt an der Erstellung des Plans beteiligt zu sein?

Brenda Ferraro: Ja, das ist meine Lieblingsfrage des Tages. Ich würde tatsächlich einen beratenden Ansatz wählen, um eine Reifegradbewertung darüber durchzuführen , wie Sie Ihre Sorgfaltspflicht erfüllen und welche Sorgfaltspflicht Sie auf Ihr Programm anwenden. Einige Unternehmen führen im Beschaffungszyklus Fragebögen zur Bestätigung durch. Also würde ich zunächst sagen, wenden Sie sich an Prevalent, wenn Sie möchten. Wir könnten eine Reifegradbewertung Ihrer Beschaffungsabteilung durchführen oder Ihnen dabei helfen, die Diskrepanzen und Lücken zu identifizieren. Diese können Sie dann als Lackmustest für eine interne Prüfung durch eine externe Partei verwenden, die Ihnen den Return on Investment und andere Aspekte aufzeigt, die für die Einführung eines Programms relevant sind.

Alistair Parr: Danke, Brandon. Eine weitere Frage, die wir hier haben, bezieht sich auf die N-te Partei. Ähm, und die Frage lautet, um es hier zu paraphrasieren, ähm, welche Unterstützung und welchen Fokus sehen Sie seitens der Regulierungsbehörden oder der Wirtschaft im Allgemeinen, wenn überhaupt? Brenda Ferraro: Nun, wie Alistister bereits erwähnt hat, gibt es einige regulatorische Anforderungen, die jetzt, nachdem wir ein ziemlich ereignisreiches Jahr hinter uns haben, zum Tragen kommen. Alle Regulierungsbehörden beginnen zu prüfen, wie weit, wie tief und wie breit man schauen muss. Ich würde grundsätzlich sagen, dass es, wenn Sie nach Beispielen suchen, einige Komponenten innerhalb von NIST und ISO gibt, die sich allgemein mit der vierten Partei und der Endpartei befassen, aber ich glaube, dass diese regulatorischen Anforderungen im Laufe des Jahres 2021 klarer werden.

Alistair Parr: Vielen Dank. Ich entschuldige mich bei allen, die Fragen gestellt haben, zu denen wir noch nicht gekommen sind, aber hoffentlich wurden die meisten davon im Laufe des Gesprächs beantwortet. Nun ist es schon fast Zeit für die nächste Stunde. Zunächst einmal möchte ich Brenda ganz herzlich dafür danken, dass sie heute bei mir zu Gast war. Es war sehr aufschlussreich, und ich habe Ihre Beiträge und Erkenntnisse sehr geschätzt. Brenda Ferraro: Vielen Dank. Es hat mir auch viel Freude bereitet. Jederzeit gerne, Alistair. Ich mache das jeden Tag, wenn Sie möchten.

Alistair Parr: Ich denke, das werden wir wahrscheinlich auch tun. Aber zunächst einmal vielen Dank an alle Teilnehmer, dass Sie heute dabei waren. Wenn Sie Fragen haben, können Sie sich jederzeit gerne an uns wenden. Wir beraten Sie gerne und unterstützen Sie, wie Brenda bereits erwähnt hat, mit einer Reifegradbewertung usw. Damit sind wir für heute am Ende angelangt. Nochmals vielen Dank an alle. Ich wünsche Ihnen noch einen schönen Tag.