Aufbau eines Anbieterinventars: Die Grundlage für die Reaktion auf Vorfälle bei Drittanbietern

Ashley: Hallo zusammen. Ashley: Einen schönen Mittwoch. Ashley: Wir freuen uns sehr, dass ihr alle hier seid. Ashley: Ich hoffe, Sie haben bisher einen schönen Tag. Ashley: Ich werde allen eine Minute Zeit geben, sich einzuleben und einzuwählen. Ashley: Und in der Zwischenzeit werde ich unsere erste Umfrage starten. Ashley: Wir sind einfach nur neugierig, was Sie zu dem heutigen Webinar führt. Ashley: Geht es um Bildung? Ashley: Stehen Sie noch am Anfang Ihrer TPRM-Reise? Ashley: Sind Sie ein aktueller Kunde? Ashley: Lieben Sie Bob und Scott einfach? Ashley: Wie auch immer, lassen Sie es uns wissen. Ashley: Und ich darf nicht vergessen, mich kurz vorzustellen. Ashley: Mein Name ist Ashley. Ashley: Ich arbeite in der Geschäftsentwicklung hier bei Prevalent. Ashley: Und wir haben ein paar ganz besondere, bereits erwähnte Gäste. Ashley: Der CEO von Cyber Marathon Solutions, Bob Wilkinson. Ashley: Wie geht's, Bob?

Bob: Es läuft großartig, Ashley.

Ashley: Und unser eigener Vizepräsident für Produktmarketing, Scott Lang. Ashley: Wie geht's, Scott?

Scott: Hey, Ashley. Scott: Du machst das toll heute.

Ashley: Ausgezeichnet. Ashley: Äh, nur eine Kleinigkeit zum Thema Hausarbeit. Ashley: Dieses Webinar wird aufgezeichnet und wir werden eine Kopie zusammen mit den Präsentationsfolien kurz nach dem Webinar verschicken. Ashley: Sie sind derzeit alle stummgeschaltet, aber wir freuen uns über jede Beteiligung. Ashley: Stellen Sie also bitte Ihre Fragen in unserem Frage-und-Antwort-Kasten, und wir werden sie am Ende des Webinars beantworten. Ashley: Heute wird Bob also seine Erkenntnisse über den effizienten Aufbau eines Lieferanteninventars mit Ihnen teilen. Ashley: Und damit, Bob, übergebe ich das Wort an Sie.

Bob: Okay. Bob: Vielen Dank, Ashley. Bob: Äh, willkommen an alle. Bob: Wir werden über das Lieferanteninventar sprechen und die Rolle, die es spielt, wenn wir auf Zwischenfälle mit Dritten stoßen. Bob: Wie jemand einmal sagte: "Es gibt Unternehmen, die wissen, dass sie gehackt wurden, und dann gibt es Unternehmen, die es einfach noch nicht herausgefunden haben." Bob: Es ist also eine echte Herausforderung, auf die wir vorbereitet sein müssen. Bob: Eines der wichtigsten Dinge, die uns helfen, uns auf einen Vorfall vorzubereiten, ist, dass wir unseren Lieferantenbestand gut im Griff haben. Bob: Und das gilt nicht nur für die Drittanbieter, sondern auch für alle Unterauftragnehmer, die vierten und fünften Anbieter. Bob: Es erstreckt sich auch auf die Software von Drittanbietern, die unsere Unternehmen möglicherweise verwenden. Bob: Es gibt eine Reihe von Möglichkeiten, wie man das aufschlüsseln kann. Bob: Wo befinden sich denn unsere Daten? Bob: Sind sie onshore? Bob: Sind sie offshore? Bob: Und verstehen wir all diese Dinge wirklich? Bob: Heute werden wir zunächst über einige aktuelle Vorfälle sprechen und den Trend aufzeigen, dass das, was früher als schwarzer Schwan bezeichnet wurde, weil es so selten vorkam, heute nur allzu häufig vorkommt, und wie sehr dies die Unternehmen unter Druck setzt. Bob: Danach geben wir einen Überblick über das Incident Management und sprechen dann über das Incident Management für erweiterte Lieferketten. Bob: Danach sprechen wir über Techniken zur Erstellung eines umfassenden Lieferketteninventars und über einige der Risiken, die bei der Erstellung dieses Inventars bestehen, sowie über einige Dinge, die man dabei beachten sollte. Bob: Danach werden wir über Ereignisauslöser sprechen, die zu Zwischenfällen führen können und die Sie kennen und in Ihr Programm einbeziehen sollten. Bob: Wer sind die wichtigsten Drittparteien, die uns helfen können, unser Inventar effektiver zu erstellen, und wer sollte bei der Erstellung des Inventars nicht vernachlässigt werden? Bob: Danach werde ich den Wert der Kategorisierung unserer Drittparteien in so genannte Risikobereiche erörtern und erläutern, wie dies ein wertvoller Aspekt ist, um das Risiko für das Unternehmen zu begrenzen und sich auf die wirklich wichtigen Kontrollen in bestimmten Arten von Lieferantenbeziehungen zu konzentrieren. Bob: Immer wenn wir über Incident Management sprechen.

Bob: Wann immer wir über Bestandsmanagement sprechen, ist es wichtig, über die Kritikalität der Dritten zu sprechen, mit denen wir zusammenarbeiten. Bob: Worauf müssen wir uns konzentrieren, um zu bestimmen, wie kritisch diese Dritten sind? Bob: Danach werden wir über den Prozess der Einbindung von Drittanbietern sprechen und darüber, wie wichtig dieser Prozess für die Erstellung einer genauen Bestandsaufnahme ist. Bob: Danach werden wir uns mit der kontinuierlichen Überwachung befassen und auch über einige Dinge sprechen, die wir bei der kontinuierlichen Überwachung beachten sollten, sowie über die Erkenntnis, dass sich die Beziehungen zu Dritten im Laufe der Zeit ändern und dass wir einen Prozess brauchen, der es uns ermöglicht, in regelmäßigen Abständen zurückzugehen und sicherzustellen, dass wir wirklich ein klares Verständnis von der Art der Beziehung haben. Bob: Schiff, denn Beziehungen ändern sich im Laufe der Zeit, und dann werden wir mit einigen wichtigen Erkenntnissen aus diesem Gespräch abschließen. Bob: Was haben die folgenden jüngsten Vorfälle gemeinsam? Bob: Und das Wichtigste an dieser Liste ist, dass sie immer länger wird und dass es sich um bedeutende Ereignisse handelt. Bob: Wir hatten also mehrere Zwischenfälle im Suezkanal, bei denen der Kanal blockiert wurde und die globale Lieferkette unterbrochen wurde. Bob: Kürzlich hatten wir einen schrecklichen Unfall in Baltimore, bei dem ein Schiff auf eine Brücke auflief und den Hafen blockierte, was nicht nur erhebliche Auswirkungen auf den Handel, sondern auch auf die Menschen in der Region hatte. Bob: Wir alle wissen über COVID 19 Bescheid, aber ein Hinweis für diejenigen unter Ihnen, die das vielleicht nicht verfolgen: Die H5N1-Vogelgrippe ist jetzt ein Problem in den Vereinigten Staaten, und wenn wir jetzt nicht genügend Maßnahmen ergreifen, um dagegen vorzugehen, könnte das unsere nächste Gefahr sein. Bob: Ich habe vor 15 Jahren einen Ausbruch der Vogelgrippe in Mexiko miterlebt, und es war absolut schrecklich, und Menschen, die ich kenne, sind daran gestorben. Bob: Das sind also ernste Dinge. Bob: Wir haben wahrscheinlich alle von den jüngsten Ransomware-Angriffen auf Kasinos gehört, bei denen ein Kasino das Lösegeld gezahlt und eine Nachricht an alle seine Mitglieder geschickt hat, in der stand, äh, wir haben das Lösegeld gezahlt, Ihre Daten sind in Ordnung, vielleicht auch nicht, und das andere Unternehmen, das das Lösegeld nicht gezahlt hat, musste am Ende viermal so viel Geld ausgeben, um die Folgen dieses Ransomware-Angriffs zu beheben u Klimawandel.

Bob: Nun, wenn Sie in den Vereinigten Staaten leben, haben Sie diese Woche die Chance, in den nächsten Tagen 90 Grad zu erreichen, da die Hitzekuppel einsetzt. Bob: Wir haben in letzter Zeit gesehen, dass Angriffe auf Software von Drittanbietern, die in vielen Fällen für die Infrastruktur des Internets kritisch sind, Solar Winds Log 4j verschieben, und wenn diese Ereignisse eintreten, wenn diese Vorfälle eintreten, haben wir Schwierigkeiten herauszufinden, ob wir irgendeine dieser Software benutzen, und wir haben keinen guten Einblick in sie, was die Zeit verlängert, um auf den Vorfall zu reagieren, und alle unsere Organisationen einem größeren Risiko aussetzt. Bob: Unterm Strich werden die Dinge also immer schlimmer, und das, was wir früher als "schwarzer Schwan" bezeichnet haben, wird immer alltäglicher. Bob: Wenn wir darüber nachdenken, wird ein Prozess innerhalb unserer Organisation, den wir entwickelt, dokumentiert, weitergegeben und getestet haben, entscheidend für unsere Fähigkeit, auf einen Vorfall zu reagieren, und er hat viele Dimensionen, wenn wir darüber sprechen. Bob: Aber wenn wir diesen Prozess nicht gut definiert haben und wir ihn nicht im Voraus testen, wenn wir ihn brauchen, stehen die Chancen gut, dass der Prozess uns im Stich lässt. Bob: Wenn wir also einen guten Prozess für das Incident Management haben, erhöhen wir die Wahrscheinlichkeit, dass wir betrieblich widerstandsfähig sind und in der Lage sind, einen Vorfall mit einer minimalen Betriebsunterbrechung zu bewältigen. Bob: Wenn ein Vorfall eintritt, müssen wir als Erstes, nachdem der Vorfall gemeldet wurde, eine Triage vornehmen. Bob: Normalerweise sagen wir, dass wir einen Vorfall haben, aber wir wissen nicht, was das für ein Vorfall ist. Bob: Wir nehmen also eine Triage vor und stellen fest, dass es sich um einen Vorfall handelt, und dann wissen wir, welche Auswirkungen er wahrscheinlich hat und wie dringlich er ist, und können dann Prioritäten setzen. Bob: Nicht jedes anormale Ereignis ist unbedingt ein Vorfall, und wir müssen diesen Prozess durchlaufen, um festzustellen, ob es sich um einen Vorfall handelt oder nicht. Bob: Wir haben uns also vorbereitet, wir haben unseren Prozess dokumentiert, wir haben getestet, wir haben mit unseren Unternehmen Tabletop-Übungen durchgeführt, damit jeder, der an einem Vorfall beteiligt ist, weiß, wie er reagieren muss. Bob: Als nächstes müssen wir den Vorfall erkennen.

Bob: Und hier ist es von entscheidender Bedeutung, dass wir wirksame Erkennungs- und Überwachungsmechanismen in unserer Umgebung haben, damit wir wissen, dass ein Vorfall eingetreten ist. Bob: Wir führen eine Triage und eine Analyse dieses Vorfalls durch, um zu entscheiden, wie kritisch er ist und welche Auswirkungen er hat und wie dringend er ist. Bob: Dann versuchen wir, den Vorfall einzudämmen, ihn zu beheben und unsere Dienste für unsere Kunden wiederherzustellen. Bob: Und schließlich, in mancher Hinsicht, ist der wichtigste Teil dieses Prozesses die Nachbereitung des Vorfalls. Bob: Und welche Lehren haben wir daraus gezogen? Bob: Ich habe zahlreiche Fälle erlebt, in denen Unternehmen von Zwischenfällen betroffen waren. Bob: Sie haben nicht daraus gelernt. Bob: Sie sind nicht zurückgegangen und haben ihre Systeme nicht korrigiert, so dass sie erneut von demselben Vorfall betroffen sind. Bob: Es ist also wichtig, dass man sich nach einem Vorfall die Zeit nimmt, um die Lektionen, die man aus diesem Vorfall gelernt hat, weiterzuverfolgen und zu nutzen. Bob: Wenn es also um das Management von Vorfällen bei Dritten geht. Bob: Die Notwendigkeit eines genauen und schnell verfügbaren Inventars von Drittanbietern ist entscheidend dafür, wie effektiv Sie den Vorfall managen und darauf reagieren und die Dienste Ihres Unternehmens verfügbar halten. Bob: Wenn wir jetzt über erweiterte Lieferketten sprechen, ist es wichtig zu verstehen, wo die meisten Zwischenfälle ihren Ursprung haben. Bob: Und wenn wir darüber sprechen, woher sie kommen, ist es wichtig zu verstehen, dass die meisten Vorfälle von Dritten ausgehen. Bob: Was weniger bekannt, diskutiert und anerkannt ist, ist die Tatsache, dass diese Zwischenfälle oft von einer vierten oder fünften Partei ausgehen. Bob: Wenn Sie also Ihre kritischen Geschäftsprozesse identifiziert haben, sollten Sie sich darauf konzentrieren, alle Beziehungen zu verstehen, die in diesen kritischen Geschäftsprozess involviert sind, ist eines der Dinge, die ich befürworte. Bob: Ihre kritische dritte Partei kann also vierte und fünfte Parteien nutzen. Bob: Vertiefen Sie das Verständnis dafür, wer diese vierten und fünften Parteien sind, im Gegensatz zu einem breiteren Ansatz in dem Sinne, dass Sie alle Ihre Drittparteien abdecken wollen. Bob: Irgendwo muss man ja anfangen. Bob: Wenn Sie mit Ihren kritischen Dritten beginnen, müssen Sie wissen, wer die vierten und fünften Parteien sind, die an dieser Beziehung beteiligt sind.

Bob: Denn die Chancen stehen gut, dass bei einem Zwischenfall nicht noch eine dritte, vierte oder fünfte Partei beteiligt sein wird. Bob: Präsident. Bob: Es ist auch wichtig, dass die Verträge, die Sie mit Ihren Dritten haben, die Bedingungen dieser Verträge und drei Schlüsselelemente enthalten, nämlich das Recht auf ein Audit, das Ihnen das Recht gibt, eine Risikobewertung durchzuführen, und die Verpflichtung des Dritten, alle festgestellten Probleme zu beheben. Bob: Aber drittens, dass sie Sie benachrichtigen, sobald sie von einem Vorfall erfahren, der möglicherweise aufgetreten ist, und dass dies auch für die Subunternehmer der dritten Partei, die vierte und fünfte Partei, verbindlich ist und dass sie denselben Prozess und dieselben Bedingungen befolgen müssen, die im Vertrag zwischen Ihrem Unternehmen und der dritten Partei stehen. Bob: Angesichts der zunehmenden Angriffe auf die Software von Drittanbietern müssen die Unternehmen eine Bestandsaufnahme der Anbieter von Drittsoftware vornehmen. Bob: In der Regel verfügen die Softwareentwicklungsorganisationen, die Sicherheits- oder Softwarearchitekturfunktionen über ein Inventar der gesamten Software von Drittanbietern. Bob: Wenn das der Fall ist, wird das zu einem kritischen Element für Sie. Bob: Wenn Sie das mit Ihrem Inventar von Drittanbietern verknüpfen können, sind Sie in der Lage, viel schneller zu reagieren, wenn es zu einem Vorfall mit Software von Drittanbietern kommt, und festzustellen, wo diese Software von Drittanbietern in Ihrem Unternehmen eingesetzt wird und ob der Vorfall Sie betreffen könnte. Bob: Was sind die wichtigsten Risiken, denen wir bei der Inventarisierung von Drittanbietern ausgesetzt sind? Bob: Huch. Bob: Ich glaube, ich habe da eine Folie übersprungen. Bob: Tut mir leid. Bob: Äh, wenn Sie Ihr Lieferketteninventar erstellen, wie erstellen Sie es? Bob: Die meisten Leute fragen ihre verschiedenen Geschäftsbereiche ab und sagen: "Hey, können Sie mir eine Liste aller Drittanbieter schicken, die Sie nutzen?" Bob: Und dieser manuelle Prozess führt oft zu unvollständigen Berichten, so dass der Bestand an Drittanbietern nicht vollständig ist. Bob: Wenn ich mit einem Unternehmen zusammenarbeite, gehe ich gerne zu den Kreditorenbuchhaltern und frage sie: "Geben Sie mir eine Liste aller Lieferanten, aller Drittanbieter, die Sie in den letzten zwei Jahren bezahlt haben.

Bob: Denn wenn Ihr Unternehmen jemanden bezahlt, gibt es dort eine echte Liste mit den Anbietern, die Sie haben. Bob: Und Sie müssen bedenken, dass Sie in manchen Unternehmen, die entweder föderal oder dezentral organisiert sind, mehrere Kreditorenbuchhaltungsabteilungen haben, denen Sie diese Frage stellen müssen, und dann gibt es eine Reihe von Tools, die Ihnen dabei helfen, Geschäftsbeziehungen zu identifizieren, die zwischen Ihrem Unternehmen, einer dritten Partei und einigen ihrer vierten und fünften Parteien bestehen können. Bob: Und indem man diese Art von Software nutzt, kann man Beziehungen entdecken, von denen man gar nicht wusste, dass man sie hat. Bob: Sie ermöglicht es Ihnen auch, die Auswirkungen zu verstehen, wenn Sie feststellen, dass sich Ihre Bestände zwischen verschiedenen Funktionen überschneiden können. Bob: Ihr Drittanbieter erbringt vielleicht nur eine Dienstleistung für Sie, aber es kann mehrere Drittanbieter geben, die sich auf einen vierten Anbieter verlassen, sei es für Webhosting, sei es für Callcenter-Aktivitäten, sei es für eine Reihe von Dingen, bei denen Sie feststellen, dass es Welleneffekte gibt, bei denen Sie ein geografisches Konzentrationsrisiko weiter unten in Ihrer Lieferkette haben. Bob: Wenn Sie sich also im Vorfeld die Zeit nehmen, um sicherzustellen, dass Sie diese Daten erfassen und einige der Tools nutzen, die Ihnen zur Verfügung stehen, können Sie Drittanbieter- und erweiterte Lieferantenbeziehungen entdecken, von denen Sie sonst nichts wüssten. Bob: Was sind nun einige der Bestandsrisiken, auf die Sie stoßen und die Ihnen bei der Reaktion auf Zwischenfälle und in anderen Bereichen Probleme bereiten können? Bob: Das offensichtlichste ist ein unvollständiges Inventar. Bob: Und wenn Sie Ihr Inventar erstellen, müssen Sie sicherstellen, dass Sie alle relevanten Felder erfassen, die für diese Beziehung wichtig sind. Bob: Eines der Dinge, die manchmal übersehen werden, ist nicht nur der Name des Unternehmens, sondern auch der Ort, von dem aus dieses Unternehmen die Dienstleistung erbringt. Bob: Wenn Sie also zum Beispiel Datenverarbeitungsdienste in Anspruch nehmen und sagen, ich nutze IBM in der IBM-Zentrale oder in Armach New York, und Sie führen das in Ihrem Inventar auf, dann werden diese Datenverarbeitungsdienste nicht in Armach New York erbracht. Bob: Sie werden wahrscheinlich in Mumbai oder Singapur oder an einem anderen Ort der Welt erbracht.

Bob: Und Sie müssen wissen, von wo aus diese Dienstleistung erbracht wird, denn das hat alle möglichen Auswirkungen, auch bei einem Zwischenfall, bei dem die örtlichen Vorschriften und Bestimmungen ein Hindernis für die Lösung eines Problems darstellen können. Bob: Aktuelle Kontaktinformationen für Ihre dritten, vierten und fünften Parteien für den Fall eines Zwischenfalls zu haben und in der Lage zu sein, sie zu erreichen und Informationen zu erhalten, wenn Sie sie brauchen, ist absolut entscheidend. Bob: Und das bedeutet, dass Sie regelmäßig, d. h. alle drei, sechs oder zwölf Monate, Ihre dritte oder vierte Partei kontaktieren und sicherstellen müssen, dass diese Person immer noch dort arbeitet und im Falle eines Vorfalls der richtige Ansprechpartner ist. Bob: Und deshalb ist das regelmäßige Testen Ihres Incident Managements und Ihrer Reaktionsprozesse so wichtig, weil man mit der Zeit Schwachstellen entdeckt. Bob: Die Identifizierung der Kritikalität und deren Erfassung in Ihrem Inventar, das Verständnis des Umfangs vertraulicher Informationen, zu denen Ihr Dritter Zugang hat, das Verständnis darüber, wie dieser Dritte sich in Ihr Netzwerk einklinkt und potenziell eine Gefährdung darstellt, sind wichtige Aspekte der Bestandsverwaltung. Bob: Ein weiterer Aspekt ist, dass sich die Beziehungen zu den Anbietern im Laufe der Zeit ändern. Bob: Sie sollten also zumindest für Ihre kritischen Drittparteien ein Verfahren einrichten, mit dem Sie mindestens einmal im Jahr überprüfen können, ob sich die Beziehung zu ihnen nicht wesentlich geändert hat. Bob: mit Ihrer dritten Partei. Bob: Einige der Bereiche, in denen sich das zeigt, sind Pilotprogramme, bei denen ein minimaler Datenaustausch stattfindet. Bob: Dieses Pilotprogramm ist im letzten Jahr in die Praxis umgesetzt worden, und ursprünglich wurden nur 100 Kundendaten ausgetauscht. Bob: Jetzt werden 10 Millionen Datensätze ausgetauscht. Bob: Dritte, die bisher vielleicht nur minimale Daten für Sie verarbeitet haben, verarbeiten jetzt vertrauliche Informationen. Bob: Wenn Sie also nicht überprüfen, was sich im Laufe der Zeit in den Beziehungen zu diesen Anbietern geändert hat, können Sie einem echten Risiko ausgesetzt sein. Bob: Ein weiterer Aspekt bei der Pflege des Inventars ist, dass Sie es nicht in Excel-Tabellen machen sollten. Bob: Automatisierung ist der Schlüssel zur Skalierbarkeit und zum Ende eines jeden Risikomanagementprogramms für Drittanbieter, wenn man kein zentrales automatisiertes Inventar hat.

Bob: führt zu Lücken und aus Lücken entstehen Zwischenfälle. Bob: Ein weiteres Risiko ist eine unvollständige erweiterte Lieferkette für kritische Lieferanten. Bob: Sie müssen verstehen, wer diese vierten und fünften Parteien sind, insbesondere für Ihre kritischen Geschäftsprozesse. Bob: Einige der Dinge, die ein Ereignis auslösen könnten, das zu einem Zwischenfall führen könnte. Bob: Es ist wichtig, sie im Hinterkopf zu behalten, und wenn sie eintreten, lohnt es sich, bei Ihrer dritten Partei nachzufragen, welche Änderungen mit diesen Auslösern verbunden sind. Bob: Im Falle eines Datenschutzverstoßes wollen Sie natürlich nachvollziehen, wie es zu diesem Vorfall bei dem Dritten gekommen ist, ob der Dritte Korrekturmaßnahmen ergriffen hat oder ob weiterhin ein Risiko besteht. Bob: Änderungen der Eigentumsverhältnisse, sei es durch Fusionen, Übernahmen oder Tauchinvestitionen, bedeuten oft, dass Funktionen und Systeme konsolidiert werden. Bob: Wo die Verarbeitung stattfindet, kann migriert werden, und immer, wenn solche Bewegungen stattfinden, stellen sie ein erhebliches Risiko für eine Unterbrechung Ihres Geschäfts dar. Bob: Denken Sie immer daran, dass regulatorische Änderungen oft die Quelle von Problemen in Unternehmen sind und dass Sie sich bewusst sein müssen, wie sie sich ändern, und Sie wissen, dass die jüngsten FFIC-Änderungen im Risikomanagement für Dritte, die in den letzten Monaten veröffentlicht wurden, wichtig sind, um zu verstehen, welche Auswirkungen sie auf Ihre Unternehmen haben. Bob: Wenn Sie ein Rechenzentrum verlagern, sei es an einen anderen physischen Standort im Ausland oder, was heutzutage häufiger vorkommt, in die Cloud, kann dies zur Preisgabe von Informationen und zu Zwischenfällen führen. Bob: Sie müssen sicherstellen, dass Sie in Ihrem Inventar erfassen, wo die Dinge verarbeitet werden. Bob: Und während es in der Cloud schwierig wird und ein Cloud-Service-Anbieter sagen wird, nun, wir verarbeiten es für Sie. Bob: Sie müssen sie dazu bringen, zu verstehen, wo Ihre Daten tatsächlich gespeichert sind und in der Cloud verarbeitet werden. Bob: Es gab mehrere hochkarätige Datenausfälle bei AWS und Azure, bei denen man herausfand, dass man ein redundantes Datenzentrum in der Cloud hat, aber beide an der Ostküste liegen, und wenn Amazons Dienste an der Ostküste ausfallen, ist man komplett von der Außenwelt abgeschnitten. Bob: Dessen muss man sich bewusst sein und es verstehen.

Bob: Die Erweiterung, über die wir gerade gesprochen haben, um neue Geschäftsfunktionen oder signifikante Veränderungen des Volumens ist ein Auslöser, und Sie müssen die Auswirkungen verstehen, die das auf Ihr Unternehmen haben könnte. Bob: Und schließlich ist auch die Verschlechterung der finanziellen Situation eines Dritten ein definitiver Auslöser. Bob: Das kann alles Mögliche sein, von der Geschäftsaufgabe des Dritten bis zum Verlust der Funktionalität. Bob: Normalerweise werden Sie rechtzeitig gewarnt, vor allem, wenn Sie die Finanzen Ihrer Drittparteien überwachen. Bob: dass sie in Schwierigkeiten sind, aber wenn sie in finanzielle Schwierigkeiten geraten, wird als erstes gekürzt. Bob: Wenn Unternehmen sparen, fallen als erstes die Kontrollen weg. Bob: Die Kenntnis dieser Ereignisauslöser könnte also hilfreich sein und Ihnen dabei helfen, zu erkennen, woher Vorfälle kommen könnten, und proaktiv Schritte zu unternehmen, um sie zu verhindern. Bob: Die Stakeholder Ihres TPRM-Inventars Eines der Dinge, die ich für ein effektives TPRM-Programm für wesentlich halte, ist der Aufbau von Beziehungen zu anderen wichtigen Stakeholdern, die Sie haben und mit denen Sie zusammenarbeiten müssen, quer durch Ihr Unternehmen. Bob: Ich habe zum Beispiel zu oft Programme von Drittanbietern gesehen, die versuchen, in einem Vakuum zu arbeiten. Bob: Organisationen sind groß, sie können bürokratisch sein, aber wenn man sich die Zeit nimmt, die Kontakte zu knüpfen, und ich schlage immer vor, mit den Beschaffungs- und Einkaufsorganisationen zu beginnen, weil sie diejenigen sind, die normalerweise von den Geschäftseinheiten kontaktiert werden, um Beziehungen aufzubauen und einen Vertrag mit einem neuen Dritten abzuschließen, können sie Ihnen einen Hinweis darauf geben, wer die neuen Dritten sind, die in Ihrem Unternehmen an Bord kommen. Bob: Wir haben zu oft erlebt, dass Drittanbieterprogramme am Tag nach der Vertragsunterzeichnung kontaktiert werden und am darauffolgenden Montag in Betrieb genommen werden, und sie sagen: "Oh, machen Sie eine Risikobewertung für Dritte." Bob: Nun, das ist vielleicht die unangenehmste Position, in der man sich befinden kann.

Bob: Indem Sie also diese Beziehung zu Ihren Beschaffungsmitarbeitern pflegen, können Sie diese Art von Szenarien vermeiden, auf Ihre Geschäftsbereiche zugehen, ihre wichtigsten Geschäftsinitiativen verstehen und wissen, ob sie planen, Dritte als Teil dieser Geschäftsinitiativen zu nutzen. Bob: Ähm, Ihre Betriebs- und Technologiefunktionen, vor allem, wenn es um Dinge wie Business Continuity und Disaster Recovery geht. Bob: Wenn Sie damit beginnen, herauszufinden, wer Ihre kritischen Dritten sind, sprechen Sie am besten mit den Leuten, die in Ihren Business Continuity- und Disaster Recovery-Teams arbeiten. Bob: Sie werden wissen, wer die kritischen Drittparteien für Ihr Unternehmen sind. Bob: Ähm, noch einmal, Finanzen und Kreditorenbuchhaltung, äh, die bezahlen die Rechnungen. Bob: Sie wissen, woher das Geld kommt und wohin es fließt. Bob: Die Leute von der Rechtsabteilung und der Compliance-Abteilung, genau wie die Beschaffungsabteilung und die Geschäftsabteilung. Bob: Viele Dritte kommen über die Rechts- und Compliance-Abteilung in das Unternehmen, und alle Dritten, die ins Unternehmen kommen, müssen sowohl mit dem Gesetz als auch mit den Vorschriften konform sein. Bob: Es ist also sehr hilfreich, eine Beziehung zu Ihren Rechts- und Compliance-Mitarbeitern zu haben. Bob: Und schließlich gibt es noch das Enterprise Risk Management. Bob: Indem Sie Ihre Geschichte erzählen, was Sie in Ihrem Programm tun, worauf Sie sich konzentrieren und auch einige der Herausforderungen, die Sie haben, mitteilen, können Sie Ihre Enterprise-Risk-Management-Organisation dazu nutzen, diese Veränderungen hervorzuheben, um die Sichtbarkeit bei der Geschäftsleitung und im Unternehmen zu erhöhen. Bob: Und auch um dem Vorstand zu helfen, zu verstehen, was im Unternehmen vor sich geht. Bob: Wenn Sie also ein erfolgreiches Risikomanagementprogramm für Dritte haben wollen, ist es für mich einer der effektivsten Wege, zu wissen, wer Ihre Stakeholder sind, Beziehungen zu ihnen aufzubauen und mit ihnen zu arbeiten. Bob: Kategorisierung der Risikobereiche.

Bob: Worauf ich hinaus will, ist, dass Sie, wenn Sie Ihre Drittparteien einbinden, eine Methode haben, um sie zu kategorisieren, basierend auf den Funktionen oder den Dienstleistungen, die sie erbringen, oder auf anderen Kriterien, wie zum Beispiel, ob sie Zugang zu PII oder PHI haben? Bob: Ähm, andere Dinge, die Sie sich ansehen könnten, woher wird die Dienstleistung oder das Produkt geliefert? Bob: Ist es an Land oder offshore? Bob: Wenn Sie das tun, identifizieren Sie die Dienstleistungen, die für Ihr Unternehmen erbracht werden, so dass Sie, wenn ein Unternehmen kommt und sagt, ich brauche einen Dritten, der X erledigt, und was besonders hilfreich ist, ist, dass Sie das auch mit Ihren Beschaffungs- und Sourcing-Leuten teilen, so dass Sie, wenn ein Unternehmen sagt, ich brauche einen Dritten, der X X erledigt, sich Ihren Bestand ansehen und sehen können, dass Sie bereits drei oder vier Dritte haben, die genau diese Dienstleistung erbringen. Bob: Eine der besten Möglichkeiten zur Risikominderung und zur Senkung der Kosten für Ihr Risikomanagementprogramm für Dritte besteht darin, die doppelte Einschaltung immer neuer Dritter zu vermeiden, die eine Funktion übernehmen, die bereits angeboten wird. Bob: durch eine andere dritte Partei für Ihr Unternehmen. Bob: Das heißt nicht, dass Sie nur einen wollen, denn Sie brauchen Redundanz, aber Sie brauchen nicht fünf, die dieselbe Dienstleistung erbringen. Bob: Wenn Sie die Unternehmen nutzen, die bereits eine Dienstleistung für Ihr Unternehmen erbringen, anstatt einen neuen Dritten hinzuzuziehen, verringern Sie das Risiko, weil Sie die Menge der Informationen, die Sie weitergeben, und den Zugang zu Ihrer Infrastruktur, den Sie weitergeben, verringern. Bob: Sie haben eine bewährte Beziehung zu dem bestehenden Drittanbieter. Bob: Diese Beziehung kann von einer taktischen zu einer strategischen Beziehung werden und ausgeweitet werden, und Sie müssen nicht ständig neue Risikobewertungen oder zusätzliche Überwachungen durchführen, weil Sie das bereits getan haben und diese Dinge bereits vorhanden sind. Bob: Für mich ist das ein absolut wesentlicher Teil des Gesprächs. Bob: Die Zahl der Unternehmen, die Drittanbieter einsetzen, steigt rapide an. Bob: Anekdotisch betrachtet sind das vielleicht 10 % pro Jahr. Bob: Niemand stellt Ihnen 10 % mehr Budget oder 10 % mehr Ressourcen zur Verfügung, um all diese neuen Drittanbieter zu verwalten, die in Ihr Risikomanagementprogramm für Drittanbieter aufgenommen werden.

Bob: Das Beste, was Sie tun können, um das Risiko zu begrenzen und es effektiv zu managen, ist also, die Aufnahme neuer Dritter in Frage zu stellen, wenn Sie bereits Dritte haben, die eine Dienstleistung erbringen. Bob: Diese Kategorisierung der Risikobereiche hilft Ihnen also wirklich, das Gesamtrisiko in Ihrem Programm effektiver zu verwalten, und das verringert definitiv die Anzahl der Vorfälle. Bob: Wenn Sie mit weniger Drittanbietern zusammenarbeiten, sinkt die Wahrscheinlichkeit von Zwischenfällen, und gleichzeitig sinken die Gesamtbetriebskosten für Ihr Programm. Bob: Die Kritikalität der Dienste von Drittanbietern. Bob: Es ist absolut entscheidend, dass Sie dies in Ihrem Inventar festhalten und erfassen. Bob: Haha. Bob: Die Kritikalität der Dienstleistungen von Drittanbietern ist ausschlaggebend dafür, wo Sie Ihre knappen Ressourcen einsetzen, um das Risiko für Ihre Organisation effektiver zu verwalten. Bob: ation. Bob: Ich verwende also eine einfache Definition, wenn ich versuche, die Kritikalität eines Drittanbieters zu bestimmen. Bob: Was sind Ihre wichtigsten Geschäftsprozesse? Bob: Wenn es sich um einen wichtigen Geschäftsprozess handelt, sind die Chancen groß, dass dieser Drittanbieter kritisch ist. Bob: Die Funktion, die sie anbieten, besonders wenn sie wichtige interne Kontrollfunktionen anbieten, lagern Unternehmen manchmal aus. Bob: Denken Sie an Anbieter wie Octa für Single Sign On und ähnliche Dinge. Bob: Welche Informationen werden von der Drittpartei verarbeitet und wie groß ist der Umfang der Informationen? Bob: Wenn es sich um vertrauliche oder eingeschränkte Informationen handelt, sind die Chancen groß, dass es sich um einen kritischen Dritten handelt. Bob: Und je nachdem, welchen Zugang Sie zu Ihrer Infrastruktur gewährt haben, kann das ein ausreichender Grund sein, um einen Dritten als kritisch einzustufen. Bob: Aber denken Sie daran, Sie können sich nicht nur auf Ihre kritischen Dritten konzentrieren. Bob: Sie müssen ein vollständiges Inventar aller Drittparteien erstellen, und indem Sie sie in Risikobereiche einteilen und die von ihnen erbrachten Dienstleistungen verstehen, können Sie sie effektiver verwalten. Bob: Ich habe selbst schon erlebt, dass ich bestimmte Dritte von der aktiven Überwachung ausgeschlossen habe und später herausgefunden habe, dass sie in Wirklichkeit kritisch waren und ich ein großes Versehen begangen habe. Bob: Das Onboarding von Drittanbietern ist also ein wichtiger Kontrollpunkt, an dem Sie diese Informationen erfassen können. Bob: Wenn Sie einen Third-Party-Relationship-Manager in Ihrer Geschäftseinheit haben, der für die Verwaltung dieser Drittpartei-Beziehung verantwortlich ist.

Bob: Sie sind eine großartige Informationsquelle für die Interaktion mit und die Überwachung der Beziehungen zu Dritten und helfen Ihnen auch dabei, sich darüber zu informieren, wenn neue Dritte hinzukommen. Bob: Sie sollten also diese Beziehung zu den Managern der Drittparteien nutzen. Bob: Es ist wichtig, daran zu denken, und das ist ein Problem, das bei Programmen von Drittanbietern immer wieder auftritt. Bob: Das Programm des Drittanbieters ist am Ende irgendwie für die Verwaltung der Beziehung mit dem Drittanbieter verantwortlich. Bob: Die Person, die für die Verwaltung der Beziehung mit dem Dritten verantwortlich ist, ist die Person, deren Name auf dem Vertrag zwischen Ihrem Unternehmen und diesem Dritten steht. Bob: Sie können zwar den Dritten beauftragen, aber sie können nicht ihre Verantwortung oder Rechenschaftspflicht auslagern. Bob: Sie unterschreiben dafür. Bob: Sie besitzen es. Bob: Es gehört ihnen. Bob: Und wenn etwas schief geht, ist es ihre Geschäftseinheit, die mit den unmittelbaren Folgen davon umgehen muss. Bob: Also noch einmal: Braucht mein Unternehmen eine weitere dritte Partei, um die Dienstleistung oder das Produkt bereitzustellen? Bob: Das ist die erste Frage, die man dem Unternehmen immer stellen sollte. Bob: Aber Sie müssen auch Zugang zu einem Inventar haben, in dem Sie alternative Lösungen mit Dritten vorschlagen können, die Sie bereits im Einsatz haben. Bob: Ein weiterer Aspekt ist insbesondere bei größeren Übernahmen, bei größeren Unternehmen, die zu Übernahmen neigen. Bob: Wenn man eine Akquisition tätigt, erwirbt man nicht nur ein neues Unternehmen, sondern auch alle Drittanbieter, die eine Dienstleistung oder ein Produkt für diese Akquisition geliefert haben. Bob: Bei Akquisitionen muss man verstehen, welche der von der Akquisition benutzten Drittparteien für sie entscheidend sind. Bob: Und zweitens müssen Sie entscheiden, ob diese Dritten notwendig sind oder ob sie sich mit anderen Dritten, die diese Dienstleistung für Ihr Unternehmen bereits erbringen, überschneiden. Bob: Dies ist ein Bereich, der im Allgemeinen vernachlässigt wird, was dazu führt, dass die Zahl der Drittanbieter zunimmt und dass diese Drittanbieter nicht in Ihrem Inventar erfasst werden, was zu unvollständigen Inventaren und zu Zwischenfällen führt. Bob: Der Onboarding-Prozess ist also ein wichtiger Prüfpunkt, um zu verstehen, woher die neuen Drittanbieter kommen. Bob: Kontinuierliche Überwachung.

Bob: Die kontinuierliche Überwachung bietet uns die Möglichkeit, zu sehen, was bei unseren Drittanbietern vor sich geht. Bob: Und wir leben nicht mehr in einer Welt, in der eine periodische Bewertung oder eine erste Bewertung eines Dritten für das Risikomanagement im Bereich der Dritten ausreicht. Bob: Wenn wir eine Bewertung abschließen, ist sie nur für den Tag gültig, an dem wir sie abgeschlossen haben. Bob: Am nächsten Tag kann es zu einem Sicherheitsvorfall kommen, und Sie laufen Gefahr, für die nächsten 364 Tage im Jahr gefährdet zu sein. Bob: Sie müssen also ein kontinuierliches Überwachungsprogramm einrichten, um den Zustand Ihrer Drittpartei zu überwachen, und diese kontinuierliche Überwachung hat drei Aspekte. Bob: Der erste besteht darin, die Ebenen zu verstehen, die Unterauftragnehmer, die vierte, fünfte und n-te Partei, die innerhalb dieser Beziehung existieren. Bob: Der zweite Aspekt besteht darin, sicherzustellen, dass Ihr Risikomanagementprogramm für Dritte die bestehenden Risiken tatsächlich verwaltet. Bob: Und es geht nicht nur um Cyber-Risiken oder Risiken der Geschäftskontinuität. Bob: Es geht um finanzielle Risiken. Bob: Es ist ein geografisches Risiko. Bob: Was passiert in den Ländern, in denen Ihre Daten verarbeitet werden? Bob: Das ist das operative Risiko. Bob: Abbau und Abwanderung von Leistungsträgern. Bob: Reputationsrisiko. Bob: Negative Nachrichten über einen Ihrer Zulieferer und unethische Arbeitspraktiken oder Umwelteinflüsse, die möglicherweise bestehen, oder Verstöße gegen die Einhaltung von Vorschriften, Menschenhandel, Bestechungsbekämpfung, all diese Dinge. Bob: Sie können nicht nur das Cyber- oder Geschäftskontinuitätsrisiko überwachen. Bob: Wenn Sie nicht alle diese Risiken überwachen und laufend kontrollieren, sind Sie einem Risiko ausgesetzt, das zu Zwischenfällen führt. Bob: Und dann die kontinuierliche Bestandsaufnahme, denn so wie Ihr Unternehmen ständig neue Drittparteien und neue Geschäftsbeziehungen aufnimmt, tun das auch Ihre Drittparteien, und Sie müssen verstehen, welche Beziehungen diese Drittparteien zu Ihrem Unternehmen haben. Bob: Eine Sache, die Sie im Auge behalten sollten, ist, dass ein Programm zur kontinuierlichen Überwachung Fähigkeiten und Kenntnisse erfordert, die sich von denen unterscheiden, die von den Personen zur Risikobewertung Dritter verwendet werden, und dass Sie sicherstellen müssen, dass die Fähigkeiten in Ihrem Programm zur kontinuierlichen Überwachung gut aufeinander abgestimmt sind.

Bob: Aber noch wichtiger ist, dass Sie, wenn Sie eine kontinuierliche Überwachung durchführen, diese in Ihr laufendes Geschäft integrieren. Bob: Operative Prozessabläufe, denn ich habe schon oft erlebt, dass die kontinuierliche Überwachung beginnt, und wenn Warnungen generiert werden oder wenn es Ereignisse gibt, auf die reagiert werden sollte, sieht sich niemand die generierten Informationen an und niemand unternimmt etwas. Bob: Wenn Sie also eine kontinuierliche Überwachung einführen oder ausbauen wollen, sollten Sie den Prozess von Anfang bis Ende betrachten. Bob: Machen Sie sich klar, an wen die Überwachungswarnungen weitergeleitet werden, wer in welchem Zeitrahmen Maßnahmen ergreift, und dass Sie den Prozess dokumentiert haben. Bob: Hier ist also eine Liste, die Ihnen bei der kontinuierlichen Überwachung helfen soll, und einige der Punkte, die Sie bei der Durchführung beachten sollten. Bob: Sie brauchen qualitativ hochwertige Informationen von Dritten. Bob: Wenn Sie Lücken haben oder es Probleme mit der Datenqualität gibt, wird Ihr kontinuierliches Überwachungsprogramm nicht so effektiv sein, wie es sein könnte. Bob: Haben Sie die operativen Prozesse implementiert, über die ich gerade gesprochen habe, um die Warnungen und potenziellen Vorfälle, die durch die kontinuierliche Überwachung entstehen, zu verwalten und darauf zu reagieren? Bob: Ist Ihr Inventar von Drittanbietern vollständig? Bob: Das ist kein Einzelfall. Bob: Es entwickelt sich ständig weiter, und wie können Sie mit den Veränderungen Schritt halten und anfangen, Ihre kritischen Drittparteien aufzuschlüsseln und herauszufinden, wer Ihre vierten, fünften und sechsten Parteien sind? Bob: Es ist nicht viel nötig, um die vierte, fünfte und n-te Partei zu Ihrer kontinuierlichen Überwachungsplattform hinzuzufügen, so dass Sie einen tieferen Einblick in Ihre kritischen Geschäftsprozesse erhalten. Bob: Verfügen Sie über zuverlässige und regelmäßig aktualisierte Informationen über die Klassifizierung und das Volumen der Daten, die mit Ihren Drittparteien ausgetauscht werden? Überprüfen Sie regelmäßig Ihre kritischen Drittparteien, um zu verstehen, wie sich die Beziehungen zu den Drittparteien verändert haben. Bob: Wissen Sie, welchen Zugang Ihre Drittparteien zu Ihrem Unternehmensnetz, Ihren Systemen, Daten usw. haben?

Bob: Kennen Sie die physischen Standorte, an denen die Verwaltung Ihrer Informationen stattfindet, an denen die Datenverarbeitung tatsächlich stattfindet, an denen die Daten ruhen? Bob: Welche vierten, fünften und x-ten Parteien haben Zugang zu Ihren sensiblen Informationen oder Ihren Unternehmensnetzen? Bob: Dritte sind berüchtigt dafür, dass sie den Zugang zu Informationen oder den Zugang zu Systemen, den Sie ihnen gewährt haben, an vierte und fünfte Parteien weitergeben, ohne Sie darüber zu informieren. Bob: Sie müssen sich über solche Dinge im Klaren sein. Bob: Sind Sie mit Ihren Drittparteien auf dem Laufenden, so dass Sie bei Ereignissen und Zwischenfällen rechtzeitig die richtigen Leute erreichen und nicht auf die Suche nach dem richtigen Ansprechpartner gehen müssen? Bob: Wurden Ihre Ressourcen in der effektiven Überwachung, Überprüfung und Eskalation von Protokollen geschult, so dass Sie, wenn ein Ereignis eintritt und als Vorfall eingestuft wird, die richtigen Schritte einleiten können? Bob: Und haben Sie mit Ihren Geschäftsleuten Tabletop-Übungen durchgeführt, damit im Falle eines Vorfalls jeder weiß, welche Rolle er zu spielen hat und wie er zu reagieren hat? Bob: Zusammenfassend lässt sich sagen, dass Sie die wichtigsten Ressourcen und Beteiligten, die Ihnen in Ihrem Unternehmen zur Verfügung stehen, kennen und nutzen sollten. Bob: Laden Sie jeden dieser Beteiligten, über den ich gesprochen habe, zum Mittagessen ein. Bob: Bezahlen Sie das Mittagessen. Bob: Es wird die beste Investition sein, die Sie je für Ihr Risikoprogramm für Dritte getätigt haben. Bob: Sie müssen Ihr Inventar ständig überprüfen, weil es sich ständig ändert. Bob: Und das bedeutet mindestens eine jährliche Überprüfung der Risikoklassifizierung des Anbieters und der Schlüsselfaktoren in der Geschäftsbeziehung. Bob: Stellen Sie sicher, dass die Kritikalität des Anbieters vor der Aufnahme der Geschäftsbeziehung verstanden wird. Bob: Worauf haben sie Zugriff? Bob: Auf welche Informationen? Bob: Zu welcher Infrastruktur führen sie einen kritischen Kontrollprozess für Sie durch? Bob: Mit welchem Geschäftsprozess sind sie verbunden? Bob: Das Lieferanteninventar erstreckt sich auf die Software und ist optimal mit kritischen Drittanbietern und Geschäftsprozessen verlinkt. Bob: die Sie in Ihrem Inventar haben. Bob: Arbeiten Sie mit Ihren Software-Entwicklungs- und Software-Architektur-Organisationen zusammen, um herauszufinden, ob sie über das Software-Inventar von Drittanbietern verfügen. Bob: Und wenn nicht, arbeiten Sie mit ihnen zusammen und finden Sie heraus, wie Sie es bekommen können. Bob: Nutzen Sie die Automatisierung.

Bob: Der einzige Weg, um Skalierbarkeit und Effektivität zu erreichen, ist die Automatisierung des Programms. Bob: Keine Excel-Tabellen mehr, keine Einmalzahlungen und keine Bestandslisten. Bob: Auf diese Weise müssen Sie es zentralisieren, wenn Sie es skalieren wollen. Bob: Stellen Sie sicher, dass Sie über wirksame und aktuelle Programme zur Reaktion auf Zwischenfälle verfügen, wie wir bereits zu Beginn dieses Artikels besprochen haben. Bob: Stellen Sie sicher, dass Sie die Kontakte definiert haben, dass die Telefonnummern funktionieren, dass die E-Mails funktionieren, und dass Sie in regelmäßigen Abständen, wenn Sie Tabletop-Übungen für diese kritischen Drittparteien durchführen, die daran teilnehmen, diese auch als Teil dieser Tabletop-Übung haben können. Bob: Wenn Sie diese Praktiken für die Bestandsverwaltung von Drittanbietern einführen, wird Ihr Incident Management effektiver sein. Bob: Ihre operative Widerstandsfähigkeit wird verbessert. Bob: Sie vermeiden potenziell negative Auswirkungen auf Ihren Ruf, Ihre Finanzen und die Gesetzgebung. Bob: Und zum Schluss, das sind meine Kontaktdaten. Bob: Wenn jemand von Ihnen sich mit mir in Verbindung setzen möchte, wenn jemand von Ihnen Fragen zu dem hat, was wir hier besprochen haben, wenn jemand über die Probleme sprechen möchte, die Sie in Ihrem Unternehmen haben, und darüber, wie man sie lösen kann, äh, dann ist der Anruf kostenlos und die Beratung ist kostenlos und ich bin hier und ich ermutige Sie, das Angebot anzunehmen. Bob: So, das war's für heute. Bob: Scott, ich übergebe an Sie.

Scott: Thanks so much, Bob. Scott: I appreciate that. Scott: Uh, thanks everybody for listening into uh, our presentation today. Scott: Bob’s presentation on vendor inventory and uh its critical role in incident response and uh an overall third-party risk management program. Scott: Uh what I’m going to do in the next 5 minutes or so is just to explain some ways that prevalent can help you achieve the objectives that that Bob talked about in uh in his presentation uh uh today. Scott: So I just have a few slides. Scott: Uh first off, oh and by the way, while I’m uh uh kind of going through kind of the prevalent uh perspective on this, this is a great opportunity for you to um think about the questions you’d like to ask, enter them into the Q&A window in uh in Zoom and then uh Ashley will kind of triage those questions and uh elevate those to to Bob as soon as I’ve kind of wrapped up my part of the presentation. Scott: Okay, so first off, everything that Bob talked about today, I think from a challenge perspective revolves around one of these three things. Scott: Number one, um a lot of companies are still using spreadsheets to manage their third party inventory or to execute their third-party risk assessments. Scott: We know this because we survey the industry every year. Scott: Uh and earlier this year, uh we released the results of our annual thirdparty risk management study showing that 50% of companies still use spreadsheets uh to manage their third party risk, their auditing, and their controls. Scott: So, look, I understand it’s hard to get away from spreadsheets. Scott: It might seem easy. Scott: There’s some benefits to it. Scott: It’s free. Scott: You’re already paying for it with your uh IT license of office, you know, whatever. Scott: I get it. Scott: Um but there comes a time when that spreadsheet just can’t scale. Scott: It doesn’t have the controls validation. Scott: It doesn’t have the reporting and the metrics. Scott: in it that will really help you dive deep into you know what a what an enterprise third party risk management program should be. Scott: Problem number one. Scott: Problem number two uh not enough coverage. Scott: Uh you know the results of our our survey said that organizations are only actively managing about a third of their vendors. Scott: Uh which was pretty shocking to me. Scott: The average company um you know 30 to 33% of vendors actively tracked monitored remediated risks. Scott: The other twothirds uh get a ing blow occasionally or maybe a little bit of effort during the onboarding phase or maybe a contract renewal but there really isn’t a whole lot being done to to manage that um that twothirds of vendors. Scott: Third big problem is a no life cycle coverage. Scott: Uh we find that a lot of companies uh you know roughly 29% only 29% of companies are actively tracking risks across the third party vendor supplier life cycle. Scott: Right? Scott: So half of you are using spreadsheets a third of you are uh you’re only able to manage a third of vendors and you know roughly 30% uh are are looking at risk across the life cycle. Scott: Look, I get it. Scott: It’s a problem. Scott: Third party risk is a challenge and it’s getting worse with the more regulations, more thirdparty breaches uh and uh and increasing numbers of third parties you have to manage. Scott: Look, what I think the outcomes are for a good third party risk management program are three-fold. Scott: Uh number one is get the data you need to make better decisions and that’s where a solution can help uh by centrally aggregating uh into a single uh vendor profile, the information that you need to manage that vendor across the life cycle, basic uh demographic information, uh ultimate business owner information, reputation, uh finances, cyber security post or whatever, all in one place so that everybody is singing from the same himnil. Scott: Second, uh that helps you to increase your efficiency for not just your team responsible for conducting those assessments, but breaks down the silos between different teams that also might want to have some sort of a say in thirdparty risk, procurement, risk management, intern audit, uh, legal, others. Scott: And then third, that enables you to evolve and scale your program, uh, over time. Scott: You know, we we know that spreadsheets are problem. Scott: We know that, uh, you’re not managing a life cycle because a lot of those spreadsheets just get in the way. Scott: Uh, this allows you to um, you know, good a good third party management solution allows you to evolve and scale your program over time using automation, uh, using analytics, and maybe even using AI to help automate the process. Scott: You know, here’s our tips on on building a a a comprehensive vendor inventory. Scott: From our perspective, it it all starts with um you know, centralizing your vendors, getting all your vendors uh under one pane of glass out of the accounts payable department, out of the procurement department, out of the individual business units to central management. Scott: And that has to happen easily. Scott: It can’t be a cumbersome process as you know. Scott: It could be as simple as a spreadsheet upload, automatic mapping of fields into kind of a preset form uh you know, in a platform. Scott: or an API connected into an uh account accounts payable tool or maybe just a simple questionnaire that’s available to anybody across the enterprise without requiring them to log in or or whatever just via an email link have everybody contributing information so that you know you begin to set that foundation for for vendor inventory. Scott: Second, once that vendor inventory is create uh created the next best practice is to um aggregate intelligence about that vendor so you have that one source of the truth that single source of the truth and that can include demographic info, UBOS’s, fourth party technologies that that vendor might have in place so that you can kind of visualize, you know, potentially weak points or concentration risk in your in your ecosystem. Scott: You know, CPI scores, modern slavery statements, ESG scores, things like that that provide a level of information about that third party from which you can then make decisions on and kind of build, you know, a broader risk assessment strategy around. Scott: And that really starts with conducting an inherent risk assessment, which is the third best practice here. Scott: Um, asking a set of simple questions on calculating the risk that that particular vendor or supplier introduces to your organization, which then dictates your due diligence strategy going forward. Scott: Um, and then as you tar and categorize those vendors based on that inherent risk score, that allows you to go kind of that the final mile and um, prescribe an assessment strategy and a continuous monitoring strategy to bring in information in and kind of help you bear with the rest of the organization, recommend remediations uh and ultimately close the loop on on thirdparty risk. Scott: Um that’s our approach to addressing thirdparty risk management. Scott: We look at risk at every stage third party life cycle from the point where you on uh store them select a vendor to the point where you uh offboard and terminate them. Scott: We deliver our capabilities through a combination of our expertise uh the data and the intelligence in the platform and in the platform itself in terms of its uh reporting, analytics, uh workflow and compliance mapping. Scott: And I realize you can’t click on this uh link because uh uh you’re watching the presentation, but watch for the presentation and the recording tomorrow. Scott: Uh we have a thirdparty incident response strategy guide available to you as well that has a lot of the information that Bob covered today in terms of building an inventory and kind of understanding, you know, who your vendors are, what risk they pose to the business before you, you know, go about uh um you know, determining the the best approach for assessing those vendors on an ongoing basis. Scott: So, that’s what I wanted to share with you today. Scott: Um, I will turn it back over to Ashley. Scott: Ashley, open it up for questions.

Ashley: Danke, Scott. Ashley: Ihr habt vielleicht bemerkt, dass ich unsere zweite Umfrage gestartet habe, damit wir uns mit euch über eure Initiativen oder Projekte austauschen können. Ashley: Wir sind einfach neugierig darauf, ob Sie in diesem Jahr ein Risikoprogramm für Dritte einrichten oder ausbauen wollen. Ashley: Und bitte seien Sie ehrlich, denn wir werden uns mit Ihnen in Verbindung setzen. Ashley: Aber wir haben noch ein paar Minuten auf der Uhr. Ashley: Lassen Sie uns also ein paar dieser Fragen durchgehen. Ashley: Äh Bob, ich habe eine für dich. Ashley: Krishna fragt, ob Sie bitte ein Beispiel für den Zusammenhang zwischen dritter, vierter und fünfter Partei nennen könnten. Ashley: Sicher. Ashley: Ähm, das ist ziemlich einfach.

Bob: Sie schließen also einen Vertrag mit einem Call-Center-Anbieter für Ihr Unternehmen ab, der Anrufe entgegennimmt, wenn Menschen mit Fragen anrufen. Bob: Und dieser Callcenter-Anbieter verfügt nicht über ausreichende Ressourcen, um Spitzen im Anrufaufkommen zu bewältigen, die auftreten können. Bob: Dann schließt dieses Call Center einen Vertrag mit einem anderen Call Center ab, das ihm Überlaufkapazitäten zur Verfügung stellt, und das diese Kapazitäten zur Verfügung stellt, aber es ist ein anderes Unternehmen. Bob: Das vierte Unternehmen, die vierte Partei und die dritte Partei sind also zwei getrennte Unternehmen. Bob: Und sie haben eine Geschäftsbeziehung miteinander aufgebaut. Bob: Ein anderes Beispiel wäre die Lohn- und Gehaltsabrechnung. Bob: Sie lagern also Ihre Lohnbuchhaltung an ein Unternehmen aus, und das ist ein echter Fall, ein echter Vorfall, an dem ich beteiligt war. Bob: Dieses Unternehmen lagerte Teile der Lohn- und Gehaltsabrechnung an eine vierte Partei aus, die sie an eine fünfte Partei auslagerte, die sie an eine sechste Partei auslagerte, die sie an eine siebte Partei auslagerte, und die siebte Partei hat es wirklich vermasselt, und es war ein äußerst peinlicher Vorfall. Bob: Aber die Unternehmen verfügen nicht immer über die nötigen Fähigkeiten, vor allem nicht die Softwareentwicklungsunternehmen. Bob: Wenn Sie also wollen, dass sie eine neue App für Sie entwickeln, werden sie die App entwickeln. Bob: Aber sie können die App nicht hosten. Bob: Sie werden sich an ein viertes Webhosting-Unternehmen wenden, um die App für Sie zu hosten. Bob: Das sind einige Beispiele.

Ashley: Danke, Bob, ich habe hier noch eine Frage von Bradley, der fragte: Wenn Sie von Inventar sprechen, meinen Sie dann nur die Dokumentation von Daten, Software, Hardware, Netzwerken usw. oder meinen Sie auch physische Güter im Inventar, an die Kunden und Hersteller denken würden?

Bob: Ähm, typischerweise sprechen wir in diesen Webinaren über das Risiko von Drittanbietern, da dieses Thema bis zu einem gewissen Grad von der Regulierung und den Finanzdienstleistungsunternehmen bestimmt wird. Wir neigen dazu, über Dienstleistungen zu sprechen, aber alles, worüber wir hier sprechen, ist absolut relevant für den Produktteil der Gleichung. Bob: Nehmen wir zum Beispiel ein Unternehmen wie Proctor and Gamble oder Campbell Soup, die zwischen 50 und 150.000 Drittparteien einsetzen, um verschiedene Elemente der Produkte und Waren zu liefern, die sie herstellen und auf dem Markt verkaufen. Bob: Alles, worüber wir hier sprechen und was im Allgemeinen dienstleistungsorientiert ist, gilt also auch für die Produktseite. Bob: Und wenn man auf die Produktseite kommt, hat man andere Sorgen und steuert industrielle Kontrollprozesse. Bob: Dann fängt man an, über OT und IoT zu sprechen, und zwar viel mehr, als man es hier normalerweise tun würde. Bob: Das sind also andere Beispiele, wo es relevant ist. Bob: Im Allgemeinen sprechen wir über Dienstleistungen, aber es ist genauso relevant für die Produkte und die globale Lieferkette.

Ashley: Danke Bob. Ashley: Äh, Scott hat noch ein paar Fragen an Sie, während wir abschließen. Ashley: Äh, Schilpa hat gefragt, warum man inhärente Risiken im Vergleich zum Restrisiko-Score quantifizieren sollte.

Scott: Ja, gute Frage. Scott: Äh, ich würde beides machen. Scott: Das inhärente Risiko hilft Ihnen, sich ein erstes Bild davon zu machen, wie Sie den Anbieter auf der Grundlage einer Reihe von Kriterien wie dem Zugang zu geschützten Informationen, dem Systemzugang, der Anwendbarkeit oder der Kritikalität für Kundenprozesse usw. einordnen und kategorisieren können. Scott: Und sobald Sie diesen inhärenten Risikowert auf der Grundlage dieser Kriterien berechnet haben, können Sie Ihre laufende Due-Diligence-Strategie festlegen, die letztendlich dazu beiträgt, das Risiko, das laufende Restrisiko, auf ein Niveau zu reduzieren, das für das Unternehmen akzeptabel ist. Scott: Machen Sie also beides, aber das inhärente Risiko ist eine etwas andere Berechnung als das Restrisiko.

Ashley: Danke Scott. Ashley: Äh, noch zwei für Sie, und dann müssen wir hier Schluss machen. Ashley: Jemand hat gefragt, wie Sie mit der Menge an Antworten auf diese Fragebögen zur Risikobewertung durch Dritte umgehen?

Scott: Ähm, wie macht unsere Lösung das Volumen?

Ashley: Richtig?

Scott: Ähm, es gibt also mehrere Möglichkeiten. Scott: Äh, weil das System automatisiert ist, geht der Anbieter hinein und füllt seine Risikobewertung aus. Scott: Alle Antworten werden dann in ein zentrales Risikoregister eingetragen, das Sie als Benutzer dann aufrufen und vergleichen und nach Antworten suchen können, die nicht mit Ihren Risikoschwellenwerten und voreingestellten Erwartungen übereinstimmen, und dann können Sie sich auf genau diese Bereiche konzentrieren, um Abhilfe zu schaffen. Scott: Der Prozess ist also sehr automatisiert. Scott: Der zweite Ansatz ist KI. Wir helfen Ihnen, indem wir KI-Prinzipien, maschinelles Lernen und Analysen anwenden, um Informationen zu sammeln, Bewertungen vorzufüllen und dann erste Schlussfolgerungen aus den gefundenen Daten zu ziehen, indem wir die menschliche Kontrolle über den Prozess sicherstellen. Scott: Wir geben nicht einfach etwas heraus. Scott: Wir stellen sicher, dass Sie das, was dabei herauskommt, irgendwie genehmigen. Scott: Und der dritte Punkt sind die verwalteten Dienste. Scott: Wir helfen Ihnen bei der Bewältigung des Volumens der Bewertungen, indem Sie diese an uns auslagern, wenn Sie sich dafür entscheiden.

Ashley: Danke Scott. Ashley: Und eine letzte Frage. Ashley: Zum Abschluss. Ashley: Apropos KI, was sind die Parameter für die Überprüfung eines KI-Drittanbieters?

Scott: Ähm, die Parameter zur Überprüfung eines KI-Drittanbieters. Scott: Ähm, ich denke, dreifach. Scott: Nummer eins ist die Datensicherheit und der Datenschutz für die KI-Funktion, die von diesem Drittanbieter genutzt wird. Scott: Handelt es sich um ein geschlossenes System? Scott: Ist es ein verwaltetes LLM? Scott: Oder ist es ein offenes LLM? Scott: Und welche Daten werden verwendet, um es zu trainieren? Scott: Äh, das ist der zweite Punkt, wissen Sie, Sie wollen keine Daten, äh, wissen Sie, Datenzugriff von externen APIs und so weiter in diesen Datenpool. Scott: Wenn man Unternehmensdaten, potenziell sensible Daten, in diesen Pool einspeist, müssen gute Sicherheitsprozesse vorhanden sein. Scott: Nummer zwei ist Halluzination und Voreingenommenheit. Stellen Sie sicher, dass diese Systeme mit echten Daten trainiert werden, nicht mit gefälschten Daten, und dass die Daten auf Ihre Geschäftsprozesse anwendbar sind. Scott: Damit das, was am anderen Ende herauskommt, korrekt ist. Scott: Also ein sicheres System, eine genaue Verarbeitung und dann drittens, dass dieses System kontinuierlich evaluiert und aktualisiert wird und dass es, wie ich bereits erwähnt habe, eine menschliche Kontrolle darüber gibt, was diese Eingaben sind, was diese Ausgaben sind, damit man nicht einfach sein Leben Skynet überlässt.

Ashley: Ausgezeichnet. Ashley: Vielen Dank, Scott Bob, und allen anderen für ihre Fragen. Ich hoffe, dass Sie heute einige großartige Informationen mitnehmen können, und ich hoffe, Sie alle entweder in Ihrem Posteingang oder bei einem zukünftigen Webinar zu sehen. Ashley: Prost und einen schönen Rest der Woche. Ashley: Machen Sie es gut.

Bob: Vielen Dank an alle.

Scott: Tschüss.

Bob: Auf Wiedersehen.