Welche globalen Compliance-Anforderungen für TPRM verwendet werden sollen und wie

Amy: Okay, wir sind live. Herzlich willkommen, liebe Teilnehmer. Während Sie nach und nach zum heutigen Webinar hinzustoßen, werde ich eine kurze Umfragefrage stellen. Wenn Sie bereits an unseren bisherigen Webinaren teilgenommen haben, wissen Sie, dass wir normalerweise zwei Fragen stellen. Die erste Frage lautet: Was hat Sie dazu bewogen, heute an unserem Webinar teilzunehmen? Vielleicht sind Sie rein aus Bildungsgründen hier. Vielleicht steht bei Ihnen ein Projekt zum Risikomanagement von Drittanbietern an, Sie haben Fragen und möchten sich von Experten beraten lassen. Vielleicht sind Sie sich nicht sicher, wo Sie stehen. Aber wenn Sie mehr über globale Compliance-Anforderungen erfahren möchten, sollten Sie dranbleiben, oder vielleicht sind Sie bereits Kunde von Prevalent. Vielen Dank, dass Sie dabei sind. Nehmen Sie sich einen Moment Zeit, um die Frage zu beantworten. Ich werde kurz einige organisatorische Dinge klären und dann unseren Gastgeber vorstellen. Brian Littlefair wird uns durch den Großteil unseres heutigen Webinars führen, das den Titel „Welche globalen Compliance-Anforderungen gelten für das Risikomanagement von Drittanbietern und wie werden sie angewendet?“ trägt. Brian Littlefair ist CEO von Cambridge Cyber Advisors und ehemaliger globaler CISO der Vodafone Group und Aviva. Vielen Dank, dass Sie dabei sind. Brian, ich hoffe, Sie hatten bisher einen schönen Tag.

Amy: Und dieser andere nette Herr, den Sie hier sehen, ist Scott Lang. Er ist Vice President of Product Marketing bei Prevalent. Sie werden gegen Ende der Präsentation noch mehr von ihm hören. Und damit alle Bescheid wissen: Wir möchten, dass dies eine interaktive Veranstaltung wird. Sie sind also stummgeschaltet und Ihre Kameras sind ausgeschaltet, aber bitte stellen Sie uns Ihre Fragen über die Q&A-Funktion unten im Webinar oder über die Chat-Funktion. Und nur damit Sie es wissen, am Ende wird es eine Frage-und-Antwort-Runde geben. Wenn Sie also Fragen haben, senden Sie diese bitte an mich. Ich werde sie dann an die beiden netten Herren hier weiterleiten. Außerdem wird das Ganze aufgezeichnet, falls Sie also gehen müssen und nicht bis zum Ende bleiben können. Die Aufzeichnung wird Ihnen morgen früh als Erstes per E-Mail zugeschickt. Okay, ich glaube, ich habe nichts vergessen, also übergebe ich jetzt an Sie, Brian. Ich wünsche Ihnen einen schönen Tag. Ihnen auch, Scott. Und vielen Dank an alle für Ihre Teilnahme.

Brian Littlefair: Großartig. Danke, Amy. Hallo zusammen. Es ist toll, wieder mit Ihnen allen sprechen zu können. Ich hoffe, einige von Ihnen haben an den vorherigen Webinaren teilgenommen, die ich durchgeführt habe. Ich finde dieses Webinar besonders interessant, weil die Compliance-Anforderungen für uns alle weltweit immer weiter zunehmen werden. Ich denke, wir müssen uns damit arrangieren, und wir alle wissen, wie komplex das Management der Lieferkette sein kann. Wenn dann noch Compliance- und Regulierungsanforderungen hinzukommen, wird dies zu einer immer größeren Herausforderung.werden heute versuchen, ein wenig Licht ins Dunkel zu bringen und Ihnen anhand meiner Erfahrungen zu vermitteln, mit welchen Herausforderungen ich konfrontiert war und was mir bei der Beratung meiner Kunden und Klienten aufgefallen ist. Die Vorstellung meiner Person haben wir bereits hinter uns, das ist also schon mal gut. Wir können also gleich loslegen. Wie ich bereits sagte, wird die Compliance meiner Meinung nach nur in eine Richtung gehen. In den letzten Jahren haben die globalen Compliance-Anforderungen meiner Meinung nach drastisch zugenommen. Ich berate sowohl einige ziemlich große multinationale Organisationen als auch kleinere Unternehmen. Aber wenn Sie ein großes globales multinationales Unternehmen sind, das in mehreren Ländern weltweit tätig ist, dann müssen Sie eine Menge Compliance- und regulatorischer Anforderungen erfüllen, und diese werden nur noch zunehmen. Es wird nicht weniger werden. Vor einigen Jahren haben die Sicherheitsteams meiner Meinung nach bei der Überprüfung der Lieferkette einfach ein paar Kästchen angekreuzt, ein paar Richtlinien überprüft und einige Belege gesammelt, um sicherzustellen, dass die Unternehmen das taten, was sie in ihren Richtlinien versprochen hatten. Außerdem haben sie einige grundlegende Hintergrundüberprüfungen durchgeführt, um herauszufinden, wem das Unternehmen gehörte, und all diese Aspekte. Jetzt müssen wir meiner Meinung nach einen sehr komplexen Prozess durchführen. Das muss nahezu in Echtzeit geschehen. Wir müssen uns von der Welt der Tabellenkalkulationen und Microsoft Excel verabschieden. Excel spielt sicherlich eine Rolle im Geschäftsleben, aber meiner Meinung nach definitiv nicht bei der Überprüfung durch Dritte. Wir müssen uns mit den Daten befassen.

Brian Littlefair: Wir müssen in der Lage sein, damit auf eine Weise umzugehen, wie es mit einer Tabellenkalkulation nicht möglich ist. Ich denke, für viele Unternehmen ist die Lieferantenbasis riesig und wächst weiter. Sie haben 1.000, 2.000, 4.000 oder 5.000 Lieferanten in ihrer Lieferantenbasis. Und Sie wissen, dass es ziemlich entmutigend sein kann, diese in die klassischen Ebenen zu unterteilen und zu verstehen, worauf man sich konzentrieren muss, um mit den sehr begrenzten Ressourcenbudgets innerhalb Ihres Unternehmens das zu erreichen, was jeder anstrebt, und um das Risikoprofil Ihrer Lieferkette für das Mutterunternehmen ganzheitlich zu verstehen. Aber ich sehe immer noch viele Leute, die Tabellenkalkulationen verwenden. Das sehe ich ziemlich häufig. Wenn wir zu Beratungsgesprächen gehen und über Dritte und andere Dinge sprechen, kommt das gefürchtete Microsoft Excel zum Vorschein, und Sie wissen, dass mehrere tausend Zeilen und mehrere hundert Spalten verwendet werden, um die Informationen aus dem jährlichen Fragebogen zusammenzufassen, der verschickt wird, und ich denke, dassist das zum Teil der Grund, warum wir so viele Vorschriften und Compliance-Anforderungen bekommen. Die Vorschriften wollen, dass wir uns verbessern, dass wir die Sicherheit unserer Unternehmen erhöhen, und deshalb gibt es diese Vorschriften. Sie sagen, dass wir es so machen müssen. Sie wollen, dass wir besser werden. Sie wollen, dass wir die Abläufe verbessern. Ich denke also, dass wir diese Fähigkeit intern weiterentwickeln müssen. Wir müssen akzeptieren, dass wir hier einen Vorsprung haben müssen. Und ich denke, wir alle müssen die Lieferkette vollständig verstehen, aber wir müssen sie täglich verstehen, nicht nur anhand eines jährlichen Fragebogens. Was ich derzeit bei meinen Kunden und Klienten, die ich berate, beobachte, ist, dass die grundlegendste Veränderung, die ich in den letzten zehn Jahren gesehen habe, der Austausch von Best Practices und Wissen zwischen den Regulierungsbehörden ist. Früher waren sie sehr isoliert. Als ich große globale multinationale Unternehmen leitete, haben sie einfach nicht miteinander gesprochen. Es gab keine zwischenstaatlichen Beziehungen, die es den Regulierungsbehörden erleichtert hätten, miteinander zu sprechen und sich darüber auszutauschen, wie sie ihre jeweiligen Märkte regulieren wollen.

Brian Littlefair: Aber jetzt sehen wir, dass sie ihr Wissen teilen. Sie arbeiten weltweit zusammen. Diejenigen, die weiter fortgeschritten sind, schicken ihre Teams in Länder, die sich in diesem Bereich noch entwickeln, um dort zu beraten und ihre Best-Practice-Informationen weiterzugeben. Das haben wir auf unserem Weg gelernt. So empfehlen wir Ihnen, vorzugehen. Darauf sollten Sie achten. Hier sind die Ergebnisse unseres Tests. All diese Informationen werden also geteilt. Und ich denke, das kann nur gut sein. Ich glaube, dass Unternehmen mit dieser Welle neuer Vorschriften konfrontiert sind, ohne ihre Daten wirklich zu verstehen. Und ich betone bewusst „alle“, denn oft höre ich in Unternehmen: „Oh, wir haben all diese strukturierten Daten.“ Aber dann gibt es noch diesen Haufen von sogenannten unstrukturierten Daten, an den sich niemand herantraut, weil er zu komplex ist. Sie verstehen ihn nicht. Er konnte nicht klassifiziert werden. Sie wissen nicht, was er ist. Sie wissen nicht einmal, ob sie ihn besitzen oder behalten sollen. Und ich denke, das ist die Herausforderung. Die Vorschriften zwingen uns dazu, unsere gesamten Datensätze zu verstehen, nicht nur das, was wir mit automatisierten Tools klassifizieren konnten, sondern man muss tatsächlich alle Daten verstehen, die man besitzt. damit man verstehen kann, ob man die Vorschriften einhalten kann, und ich denke, Sie wissen, dass die Sicherheit durch Dritte von den meisten Organisationen als ein absolut kritischer Prozess angesehen wird, aber ehrlich gesagt nicht von allen. Wir sehen einige sehr ausgereifte Organisationen, die in die richtigen Prozesse, die richtigen Werkzeuge und die richtigen Ressourcen investiert haben, um diesen Prozess effektiv durchführen zu können, aber dann sehen wir einige ziemlich große Organisationen und Unternehmen, die versuchen, ein Programm zur Sicherung durch Dritte mit, wissen Sie, zwei oder drei Vollzeitkräften, zwei oder drei Personen und einer Microsoft Excel-Tabelle. Und damit werden Sie niemals an einen Punkt gelangen, an dem Sie Ihre Risikosituation in der Lieferkette verstehen. Und Sie wissen, dass diese Unterbesetzung in Bezug auf Personal und Tools ein Trend ist, von dem ich hoffe, dass er mit der Zeit verschwindet.

Brian Littlefair: Und wir beginnen zu sehen, was wir in meinem Unternehmen beobachten: Die Menschen beginnen, die neuen Technologien und Möglichkeiten, die in diesem Bereich entstehen, anzunehmen. Das ist wirklich positiv. Und ich denke, diese Folie verdeutlicht, was wir in Bezug auf eine gewisse Konvergenz zu beobachten beginnen. Als ich anfing, im Bereich Sicherheit zu arbeiten, war es schwierig, Gemeinsamkeiten zwischen den Regulierungsbehörden oder den Compliance-Rahmenwerken zu finden. Überall auf der Welt waren sie unterschiedlich, und jeder handelte anders, und ich glaube sogar, dass sie absichtlich unterschiedlich handelten. Wenn ein Land ein rotes Widget wollte, wollte das andere Land ein grünes Widget, richtig? Es war also sehr schwierig zu entscheiden, ob Ihre Compliance-Programme und Ihre Programme zur Sicherstellung durch Dritte in den Bereich der Sicherheit oder in den Bereich der Rechtsabteilung fallen. Das macht zwar keinen großen Unterschied, aber letztendlich war es wirklich schwierig zu verstehen, dass ich diese Gesetzgebung einhalten muss, wenn ich ein globales Unternehmen führe. Wie mache ich das in diesem sehr komplexen regulatorischen Umfeld? Das führte zu einigen schwierigen Situationen innerhalb von Organisationen, aber ich denke, einer der wichtigsten Treiber sind heute globale multinationale Organisationen und die zunehmende Verbreitung von Outsourcing und Insourcing durch bestimmte Länder und Regionen, was wirklich den Beginn einer Konvergenz ähnlicher regulatorischer und

Brian Littlefair: und Compliance-Rahmenwerke auf der ganzen Welt. Ich habe hier nur einige wenige ausgewählt. Ich gehe davon aus, dass das Publikum heute überwiegend aus den USA stammt. Da wären beispielsweise der CCPA und in Europa die DSGVO, die im Grunde genommen dasselbe Ziel verfolgen, was gut ist. Die Bürger möchten wissen, wo ihre Daten verwendet werden. Ich halte das für absolut sinnvoll, und ein Grund, warum diese Regulierungsbehörden ins Spiel gekommen sind und tatsächlich begonnen haben, einige dieser Regeln durchzusetzen, ist ganz ehrlich, dass die Organisationen ihnen diese Möglichkeit nicht gegeben haben. Es war ziemlich schwierig zu verstehen, welche Daten eine Organisation über einen gespeichert hatte. Das war ein ziemlich langwieriger und umständlicher Prozess. Und die Menschen wollen diese Wahlmöglichkeit haben.

Brian Littlefair: Das beobachten wir immer häufiger. Die Regulierung gilt also für verschiedene Bereiche und Regionen. Sie alle haben ihre eigenen Nuancen, aber es gibt erhebliche Überschneidungen, die die Macht zurück an die Bürger und den Einzelnen geben, sodass sie entscheiden können, wer Zugriff auf ihre Daten hat, wie diese Daten verarbeitet oder verwaltet werden, und sie haben das Recht, bestimmte Marketingkampagnen und andere Initiativen, die sie erhalten möchten oder nicht, abzulehnen oder zu akzeptieren. Und eine der Dinge, die ich gelernt habe, als ich für die Sicherheit großer Unternehmen verantwortlich war, ist, dass der Datenschutz weltweit kulturell sehr unterschiedlich ist. Ich werde jetzt keine einzelnen Länder nennen, aber in manchen Ländern wird der Datenschutz sehr, sehr ernst genommen, in anderen weniger. Das ist also eine sehr geografische Herausforderung, die wirbewältigen müssen. Der Schwerpunkt der Regulierungsbehörden liegt jedoch eindeutig auf Daten, und meiner Meinung nach verfolgen sie einen sehr sektoralen Ansatz. In Großbritannien und Europa stand zunächst der Finanzdienstleistungssektor im Fokus, der einem sehr strengen regulatorischen Umfeld unterliegt, und dies breitet sich nun auf die sogenannte kritische nationale Infrastruktur aus, die verschiedene Bereiche umfasst, darunter Telekommunikation, Pharma, Energie, Versorgungsunternehmen und all diesen Aspekten, was eine Erhöhung der Sicherheit in diesen einzelnen Disziplinen erzwingt, und das wird sich natürlich ausbreiten, wobei der Fokus zunächst auf den großen Akteuren liegt, aber das wird auch auf die kleineren Organisationen übergreifen. Wenn Sie also für eine kleinere Organisation arbeiten und denken, dass dies nicht wirklich auf Sie zutrifft, weil Sie wissen, dass Sie keine 25 Millionen US-Dollar Umsatz haben usw., dann wird es auch auf Sie zukommen.

Brian Littlefair: Ich bin mir dessen sehr sicher, aber sie müssen sich zuerst um die großen Fische kümmern, und dann erwarten sie natürlich, dass alle anderen auf ein ähnliches Niveau kommen. Aber es gibt ja diesen globalen Fokus auf die Verbesserung der Datensicherheit, und ich denke, Sie wissen, dass weltweit... Ichwerde gleich eine Folie zeigen, die den Reifegrad in Bezug auf Daten verdeutlicht. Ich denke, viele Organisationen, pardon, viele Länder beginnen von einem niedrigen Ausgangspunkt, denn Datensicherheit war bisher kein großes Thema, da Datenschutz kein großes Thema ist. Aber ich denke, das beginnt sich zu ändern mit der Generation der Millennials, die nach der Generation X, Generation Y, Generation Z usw. kommt und die sehr datenorientiert ist. Sie sind es sehr gewohnt, Daten zu konsumieren und mit ihnen zu interagieren. Sie sind also viel versierter und sagen: „Ich finde es nicht gut, dass Unternehmen X oder Y das mit meinen Daten macht. Ich möchte die Kontrolle darüber haben.“ Und das treibt einige der Veränderungen voran, die wir derzeit beobachten können. Und ich denke, man kann mit Sicherheit sagen, dass aus Unternehmenssicht die Einführung von Compliance-Regelungen wie der DSGVO oder dem CCPA eine ziemlich grundlegende Veränderung für Unternehmen darstellt. Das ist keine einfache und schnelle Angelegenheit. Es ist keine Checkbox-Übung, bei der man einfach sagt: „Mach dies und mach das.“ Man muss sein Unternehmen wirklich von Grund auf überprüfen, um tatsächlich zu verstehen, wie wir diese Vorschriften einhalten können. Was sind unsere Herausforderungen? Was halten wir bereits ein? Wo gibt es Lücken? Und einige dieser Lücken haben sicherlich auf der Seite der DSGVO lange Zeit gebraucht, um tatsächlich geschlossen werden zu können. Das bedeutet eine grundlegende Veränderung in der Art und Weise, wie Unternehmen tatsächlich arbeiten.

Brian Littlefair: Und Sie wissen sicherlich, dass aus Sicht der DSGVO, wenn Leute sagten, sie seien konform, sie in Wirklichkeit nicht konform waren. Es war ein Prozess, den sie durchliefen, sie bewegten sich in Richtung Konformität und erledigten die notwendigen Dinge. Und sicherlich aus Sicht der USA, wenn wir uns die DSGVO ansehen, erscheint oft, wenn ich eine US-Website aufrufen möchte, ein Banner mit der Meldung: „Ich sehe, dass Sieversuchen, von Europa aus auf diese Website zuzugreifen, wir wollen die DSGVO nicht einhalten, also zeigen wir Ihnen unsere Website nicht. Ich bin mir nicht sicher, ob Ihnen bewusst ist, dass das in den USA tatsächlich passiert, aber es ist so. Und wissen Sie, sie ziehen es vor, diesen Besucher einfach nicht auf ihrer Website zu haben, anstatt sich mit der Einhaltung der DSGVO herumzuschlagen. Das gilt natürlich nicht für alle US-Unternehmen, aber es kommt vor. Es kommt häufig vor, dass dieses Banner erscheint. Ich denke, das zentrale Thema, das sich abzeichnet, ist die Entstehung globaler Datenstandards. Das Recht der Bürger, die Kontrolle darüber zu haben, welche Daten das Unternehmen über sie speichert. Das Recht zu entscheiden, was sie damit machen wollen, und ich denke, das wird sich im Laufe der Zeit nur noch weiter verbreiten. Wir sehen hier also einen kleinen Ausschnitt der globalen Compliance-Anforderungen, die derzeit gelten, und wenn jedes Land in einer Region diese Anforderungen übernimmt und mit den Bürgern dieses Landes Handel treibt, dann fallen Sie natürlichmit den regulatorischen Anforderungen dieses Landes konfrontiert, und wenn man sich das Beispiel der US-Website ansieht, die sich nicht an die DSGVO-Vorschriften halten will, wird sie einfach Besucher aus dieser Region blockieren. Für eine Website mag das in Ordnung sein, aber ein großes globales multinationales Unternehmen, das seine Produkte und Dienstleistungen verkaufen und mit den Bürgern in diesen Ländern interagieren möchte, muss eine ganz andere Sichtweise einnehmen. Es muss sich an den Buchstaben des Gesetzes halten. Es muss sicherstellen, dass es alle Daten in Übereinstimmung mit diesen Vorschriften behandelt. Aber ich habe eine Meinung dazu und ich verstehe das vollkommen.

Brian Littlefair: Diese Ansicht teilen vielleicht nicht alle Teilnehmer dieses Gesprächs, aber ich denke, dass Regulierung eine gute Sache ist, und darauf werden wir später noch etwas genauer eingehen. Meiner Meinung nach reagieren die Regulierungsbehörden auf Forderungen ihrer Bürger oder auf Vorfälle oder Verstöße. Sie sehen, dass etwas passiert, und sind mit dem Fortschritt nicht zufrieden. Also schreiten sie ein und regulieren. Sie sagen: „Sie müssen das jetzt tun. Wenn Sie den Betrieb fortsetzen wollen, wenn Sie Ihr Geschäft weiterführen wollen, dann muss es so gemacht werden, wie wir es wollen.“ Und wie ich bereits gesagt habe, wird die Regulierung nicht verschwinden. Deshalb müssen wir Organisationen und unsere eigenen internen Teams mit den Fähigkeiten und Werkzeugen ausstatten, die es ihnen ermöglichen, dieses Risiko innerhalb ihres Unternehmens effektiv zu managen, und Sie wissen, dass dies standardmäßig die regulatorischen Anforderungen erfüllt. Ich sehe nur allzu oft, dass Menschen aus regulatorischer Sicht tatsächlich nur den Buchstaben des Gesetzes erfüllen, aber meiner Meinung nach und sicherlich in den Teams, die ich geleitet habe, haben wir das als das absolute Minimum angesehen, dasdas ist das Minimum, das wir erreichen wollen, aber natürlich wollen wir das Richtige für unsere Kunden tun, also wollen wir darauf aufbauen und tatsächlich zeigen, dass wir diese Vorschriften nicht nur minimal, sondern in hohem Maße einhalten. Hier sehen wir also die Reife eines der Länder weltweit. Sie können anhand der roten Farbe sehen, wo strenge Vorschriften gelten. Sie sehen also ganz Europa, Nordamerika, Kanada, China und Australasien. Diese Regionen verfügen über sehr strenge und gründliche Verfahren zum Schutz der Daten ihrer Bürger. Das war nicht immer so, und vor der Einführung des CCPA und der DSGVO usw. wäre ganz Europa sicherlich in ganz anderen Farben dargestellt worden. Aber durch die europaweite Gesetzgebung, die alle einhalten mussten, hatten alle mehrere Jahre Zeit, um ihre Organisationen auf den neuesten Stand zu bringen und sicherzustellen, dass die Prozesse, die Technologie, die Berichterstattung, die Governance – einfach alles – vorhanden war. Ich denke also, dass sich die Farbe Rot mit der Zeit immer mehr ausbreiten wird.

Brian Littlefair: Jeder hat einfach einen anderen Ausgangspunkt, was den Datenschutz und die Reife angeht. Das Land, in dem ich als Berater tätig bin, und die Unternehmen, mit denen ich zusammenarbeite, sogar in der afrikanischen Region, wo es derzeit noch keine konkreten Pläne gibt, angefangen bei Südafrika bis hin zur gesamten afrikanischen Region, und ich denke, Sie wissen, dass die Geldstrafen natürlich das Wichtigste sind, wasUnternehmen zur Einhaltung der Vorschriften veranlasst, aber tatsächlich sieht man immer mehr eine zunehmende Reife in den Vorstandsetagen, und man sagt sich: Nun, das ist nichts Ungewöhnliches, das ist nichts Außergewöhnliches, es geht darum, sicherzustellen, dass Unternehmen eine effektive Kontrolle über ihre Daten haben, dass sie verstehen, was ihre Daten sind, und dass sie verstehen, mit wem sie diese teilen. Logischerweise macht das meiner Meinung nach durchaus Sinn. Ähm, und wenn wir kurz über die DSGVO sprechen: Gemäß der DSGVO kann die Behörde ziemlich hohe Geldstrafen verhängen. Diese können bis zu 20 Millionen Euro betragen, was etwa 20,5 Millionen US-Dollar oder 4 % des weltweiten Umsatzes des Unternehmens im vorangegangenen Geschäftsjahr entspricht. Das ist also ziemlich hoch. Das kann erhebliche Auswirkungen haben. Die DSGVO trat vor dem CCPA in Kraft. Sie ist also seit Mai 2018 in Kraft. Seitdem wurden in der gesamten europäischen Region etwa 800 Geldbußen verhängt, die Sie in der Mitte in Rot sehen können. Und obwohl das Vereinigte Königreich aus Sicht des Brexits effektiv aus Europa ausgetreten ist, unterliegen wir weiterhin dieser DSGVO-Gesetzgebung. Wenn man sich einige der hohen Bußgelder ansieht, die verhängt wurden, ist das bisher höchste Bußgeld das gegen Amazon. Offensichtlich hatten sie einen Umsatz von mehr als 20 Millionen Euro. Deshalb erhielten sie ein Bußgeld in Höhe von 746 Millionen Euro. Und sie wurden bestraft, weil sie es Nutzern, die ihre Website in Europa besuchen, erschwert oder unmöglich gemacht haben, ihre Cookies zu deaktivieren. Es war nicht so transparent, wie es sein sollte. Es war schwierig.

Brian Littlefair: Sie wissen, dass Sie auf der Cookie-Website auf „Ablehnen” geklickt haben und Ihnen daraufhin zahlreiche komplexe Bildschirme angezeigt wurden, die Sie durchgehen mussten, ganz einfach weil Amazon sich darauf konzentriert, so viele Kundendaten wie möglich zu sammeln, und wenn sich alle gegen die Cookies entscheiden, wird es für Amazon schwieriger, die Vorschriften einzuhalten. Deshalb wurde ihnen diese Geldstrafe auferlegt, aber ich denke, dass andere Länder nachziehen werden und weitere Geldstrafen verhängt werden, da sie sich, wie ich bereits sagte, gerade in ihrer eigenen Reifephase befinden. Und wie ich bereits sagte, denke ich, dass sich diese Karte ziemlich schnell füllen wird, sodass ich das Vergnügen habe, Organisationen unterschiedlicher Art und Größe zu beraten, wie ich zu Beginn sagte, und die Überprüfung durch Dritte ist, wie Sie wissen, eines der wichtigsten Probleme auf der Tagesordnung. Es ist oft eines der wichtigsten Themen, die wir in den Vorständen diskutieren. Es ist eines der wichtigsten Anliegen der Sicherheits- und Rechtsteams. Und das hat seinen Grund, nicht wahr? Es ist eines der schwierigsten Risiken, das es zu quantifizieren und zu managen gilt, je nachdem, wie die Prozesse, die Tools und die Fähigkeiten der Teams aussehen, die man hat. Aber wenn man diese Herausforderungen mit den Sicherheitsbulletins in Verbindung bringt, die ich alle lese, die von den Sicherheitsbehörden herausgegeben werden, dann gibt es gemeinsame Themen, die sich abzeichnen, weil wir alle gegen einen gemeinsamen Gegner kämpfen und dabei ähnliche Tools, ähnliche Fähigkeiten und ähnliche Methoden auf der ganzen Welt einsetzen. Diese Botschaften und diese Kommunikation haben natürlich einige Gemeinsamkeiten, die ich in dieser Folie versucht habe darzustellen, und wir können diesmal keine Präsentation halten, ohne das gefürchtete Wort COVID zu erwähnen, und ich denke, Sie wissen, dass COVID nicht nur die Art und Weise verändert hat, wie Unternehmen mit Dingen wie Homeoffice umgehen, sondern auch zu einem beispiellosen Anstieg von Sicherheitsangriffen geführt hat, und Sie wissen, dass dies ein zentrales Thema der Botschaften ist.

Brian Littlefair: Ähm, die Anzahl der Angriffe, die Raffinesse der Angriffe, alles hat exponentiell zugenommen, und Unternehmen mussten mit ansehen, wie ihre Infrastruktur gescannt und untersucht wurde und ihre Heimarbeiter Opfer von Phishing, Smishing oder Vishing wurden, wie auch immer man das nennen mag. Aber Sie wissen ja, dass die Angreifer eine Blütezeit erlebten, gerade weil sich die Unternehmen drastisch verändert hatten und ihre Richtlinien praktisch nicht mehr relevant waren, da alle von zu Hause aus arbeiteten. Neue Technologien wurden schnell eingeführt. Es gab verwirrende, aber echte Nachrichten an die Mitarbeiter, in denen es hieß: „Hier ist eine neue Software, die Sie verwenden müssen. Bitte ändern Sie diesen Prozess usw.“ Und das ist ein gefundenes Fressen für die Angreifer, weil sie davon profitieren können und ihre eigenen Botschaften einflechten können und sagen: „Wir möchten, dass Sie dies tun“, und die Mitarbeiter waren in der Anfangszeit der Heimarbeit empfänglicher für diese manipulativen Botschaften, und es gab sicherlich viel mehr Phishing-E-Mails und andere Dinge, die deswegen im Internet kursierten. Aber letztendlich ist das, was sie wollen – ich sage oft, dass das Ziel jedes Angriffs die Daten sind –, dass sie diese Daten monetarisieren wollen oder dass sie Lösegeld oder eine Strafe verlangen, um diese Daten zurückzubekommen. Aber selbst bei der Crypto-Locker-Malware, die sich derzeit in Unternehmen verbreitet, besteht die Vorgehensweise darin, zuerst die Daten zu stehlen und sie dann zu verschlüsseln, weil sie herausgefunden haben, dass Unternehmen viel eher bereit sind zu zahlen, wenn sie ihre Daten als Lösegeld in der Hand haben, als wenn sie nur verschlüsselt wurden, und weil sie mit der Veröffentlichung der Daten drohen. Ich denke, der Trend, den ichin Fachzeitschriften und ähnlichem lese, ist, dass der Trend, dass Mutterunternehmen über ihre Lieferkette angegriffen werden, bestehen bleiben und sogar zunehmen wird. Ich denke, die Wahrnehmung ist – und meiner Meinung nach ist sie berechtigt –, dass es keinen Sinn macht, das Mutterunternehmen anzugreifen, um an Kundendaten zu gelangen, wenn es viel kleinere Unternehmen gibt, die wahrscheinlich über weniger Sicherheitswerkzeuge und weniger Sicherheitskapazitäten verfügen, aber dieselben Daten besitzen.

Brian Littlefair: Meiner Meinung nach ist diese Logik stichhaltig. Wenn man versucht, eine Organisation zu hacken, sei es über ihre Mitarbeiter oder über ihre Technologie und unter Umgehung ihrer Sicherheitskontrollen, warum sollte man sich dann an dieses große Unternehmen heranmachen, das jährlich 100 Millionen Dollar für Sicherheit ausgibt, wenn man auch ein kleineres Unternehmen ins Visier nehmen kann, das nicht so viel ausgibt, kein so großes Sicherheitsteam hat, vielleicht nicht über die richtigen Überwachungs- oder Kontrollmechanismen verfügt, aber über die Daten dieses Unternehmens verfügt. Das ist es also, was wir zunehmend beobachten: Hackerangriffe innerhalb der Lieferkette, um an die Daten der Muttergesellschaft zu gelangen, und ich denke, dass dies in Zukunft noch exponentiell zunehmen wird. Und genau hier brauchen wir als Sicherheitsexperten, Juristen und alle anderen Teilnehmer dieses Gesprächs einen detaillierten Überblick über die Risiken und Bedrohungen innerhalb unserer erweiterten Lieferkette, der nahezu in Echtzeit aktualisiert werden muss. Wie ich bereits sagte, gab es zu Beginn meiner Karriere im Sicherheitsbereich noch keine Excel-Tabellen, jährliche Umfragen und Fragebögen oder Tools wie Prevalent. Da verrate ich mein Alter. Ich bin erst 44, aber wissen Sie, in dieser Zeit hat sich alles exponentiell weiterentwickelt. Und ich denke, wir müssen in der Lage sein, die Daten zu analysieren, und Tabellenkalkulationen bieten uns einfach nicht diese Funktionalität. Wir brauchen so viele Informationen wie möglich. Sie müssen so umfassend wie möglich sein. Wir wollen Risikobewertungen für unsere Lieferkette sehen. Wir wollen Informationen über Verstöße gegen technische Richtlinien verstehen. Haben sie uns während unserer Bewertungen mitgeteilt, dass sie kritische Schwachstellen, die nach außen gerichtet sind, innerhalb von 24 Stunden beheben? Aber wissen Sie, wir haben Tools und Fähigkeiten, mit denen wir sehen können, dass sie eine Schwachstelle haben, die nach außen gerichtet ist und schon 4 Tage alt ist. Solche Informationen sind wirklich nützlich, um tatsächlich einen Kontext zu schaffen: Leben und atmen sie das, was sie in ihren Richtlinien sagen, oder müssen wir diesem Unternehmen etwas mehr Aufmerksamkeit schenken? Verfügen sie über die richtigen Fähigkeiten, um Schwachstellen zu erkennen und zu beheben? Wir möchten, dass all diese Open-Source-Informationen zu uns gelangen. Und wir möchten, dass sie in unserem Auftrag analysiert und unseren Analysten in einer umsetzbaren Form präsentiert werden.

Brian Littlefair: Sie haben offensichtlich nicht die Zeit, all diese Informationen zusammenzutragen und selbst zu analysieren. In gewisser Hinsicht muss das wie eine Socke oder eine Naht funktionieren. Die Analyse wird von der Plattform und dem Tool durchgeführt, die dann eine Liste mit umsetzbaren Informationen präsentieren. Zurück zum externen Analysten: Eine Microsoft Excel-Tabelle kann das nicht für Sie leisten. Ich denke, das ist ziemlich klar. Und ich denke, dass zu viele Unternehmen, die ich sehe, immer noch mit sogenannten Legacy-Prozessen arbeiten. Sie nutzen nicht die Fortschritte in Technologie, Prozessen und Fähigkeiten, die ich gerade beschrieben habe. Man kann sie tatsächlich nutzen. Was ich sehe, ist ein sehr gestresstes externes Qualitätssicherungsteam in einem ziemlich großen Unternehmen. Es ist eingeschüchtert von der Größe der Unternehmen, die es irgendwie abdecken muss, und versucht, diese Informationen zu erhalten, ohne die ihm zur Verfügung stehenden Tools zu nutzen. Aber wie ich gerade dargelegt habe, gibt es einen anderen Weg. Es gibt einen anderen Ansatz. Und ich bin ein großer Befürworter von Unternehmen, die sich mit Tools wie Prevalent befassen, die ihnen tatsächlich helfen können. Wissen Sie, nicht zu ihren Daten hinzufügen. Tatsächlich reduziert es ihre Daten. Es hilft ihnen tatsächlich dabei, sich auf die Dinge zu konzentrieren, die sie tatsächlich betrachten müssen, Probleme nahezu in Echtzeit zu erkennen und sie tatsächlich zu mindern oder zu umgehen. Und das muss nicht immer ein Cybervorfall sein. Wir haben hier in Großbritannien viele Probleme in der Lieferkette gesehen, die nichts mit Cyber zu tun haben. Sie sind auf verschiedene Gründe zurückzuführen, die herumgereicht werden, sei es der Brexit oder die Auswirkungen von COVID usw. Aber manchmal gehen wir in Supermärkte und einige Regale sind leer, nicht wahr? Unternehmen haben mit Problemen in der Lieferkette zu kämpfen. Wir hatten gerade große Probleme, an Treibstoff zu kommen. Die Menschen stehen stundenlang an Tankstellen Schlange. All dies sind Herausforderungen in der Lieferkette, die einer Risikobewertung unterzogen werden müssen. Können Unternehmen diese Risiken mindern und modellieren, bevor sie tatsächlich Realität werden und Auswirkungen auf sie haben? Ein weiteres großes Problem, das wir in Europa gesehen haben, war die Blockade des Abwasserkanals. Schiffe konnten nicht durchfahren.

Brian Littlefair: Containerschiffe konnten nicht dorthin gelangen. Darauf befanden sich verderbliche Lebensmittel und andere Dinge. Denken Sie also über das Risikomanagement in der Lieferkette nach. Es muss nicht immer um Cybergehen. Man kann viele Situationen und Probleme modellieren, um tatsächlich zu verstehen, was uns als Organisation tatsächlich beeinflusst, wobei zu berücksichtigen ist, dass an diesem Gespräch mehrere Personen aus verschiedenen Sektoren usw. teilnehmen werden. Was könnte sich auf die Lieferung unserer Produkte und Dienstleistungen an unsere Kunden auswirken, und wie können wir verstehen, ob dies ein Risiko für unsere Lieferkette darstellt, wenn wir unsere Produkte nicht vom Kunden oder vom Lieferanten XYZ erhalten können? Was ist unser Plan A, was ist unser Plan B und was ist unser Plan C, und wie können wir dieses Risiko mindern? Ich denke, Sie wissen, dass man so wirklich beginnt, sich ein Bild vom Risiko zu machen. Schauen wir uns also einige der grundlegenden Komponenten an, die meiner Meinung nach die Eckpfeiler eines effektiven Drittanbieterprogramms sind, das in dieser sehr komplexen Welt der Regulierung und Compliance, in der wir uns befinden, funktionieren kann. Zunächst einmal müssen Sie meiner Meinung nach Ihre Daten kennen. Wenn Sie sich Compliance- oder Regulierungsrahmen ansehen, werden Sie feststellen, dass sie alle erfordern, dass Sie Ihre Datensätze vollständig verstehen. Sie müssen in der Lage sein, sie anhand zahlreicher verschiedener Felder und Szenarien zu kategorisieren, zu unterteilen und zu analysieren. Befinden sie sich in Europa? Fallen sie unter die DSGVO? Sind sie Bürger Kaliforniens? Fallen sie unter den CCPA? Haben sie Schwellenwerte für ihre Datenberechtigungen festgelegt, sodass wir sie nicht verwenden können? Haben sie sich dafür entschieden? Haben sie sich dagegen entschieden? Ohne ein umfassendes Verständnis Ihrer Daten können Sie die Vorschriften nicht effektiv einhalten, werden bei einer Prüfung durchfallen oder müssen erhebliche Verbesserungen vornehmen. Und ich denke, man kann nicht einfach nur den einfachen Teil machen. Wir haben bereits darüber gesprochen, aber ich höre so oft, dass Leute sagen, wir verstehen unsere Daten. Wir haben sie vollständig kategorisiert. Wir verstehen das Lebenszyklusmanagement usw. Das ist wirklich gut, aber das gilt nur für die kategorisierten Daten. In einigen Fällen gibt es Petabytes und Petabytes an Daten, die in nicht kategorisierten Datensilos liegen.

Brian Littlefair: Und ich denke, die Vorschrift gibt es, weil es das gibt, und Organisationen müssen sich wirklich damit auseinandersetzen, wissen Sie, wenn es nicht kategorisiert ist und sie nicht viel darüber wissen, dann verwalten sie es nicht über den gesamten Lebenszyklus hinweg. Sie entsorgen es nicht, wenn sie es hätten tun sollen. Sie halten zu lange daran fest, in manchen Fällen länger als sie sollten, und das kann zu Strafen führen, wenn Sie Daten zu lange aufbewahren, nachdem Kunden weggegangen sind usw. Das kann aus Sicht der DSGVO zu ebenso hohen Strafen führen. Sie müssen sich also wirklich mit diesen nicht kategorisierten Datensätzen befassen, um die Probleme zu erkennen, und Sie müssen Ihre globalen Lieferantenbeziehungen verstehen. Ich betone also die globale Ebene, denn ich sehe nur allzu oft, dass Unternehmen die globalen Auswirkungen eines Lieferanten auf ihr Geschäft nicht verstehen. So kann ein wirklich kleiner Lieferant in Indien der größte Lieferant in den USA sein. Das hat natürlich Auswirkungen auf den Grad der Aufmerksamkeit und die Einstufung, auf die sie sich konzentrieren müssen. Sie müssen also aus der Perspektive des Lieferanten zurück auf Ihr Mutterunternehmen blicken. Wie wichtig ist dieser Lieferant für uns? Was liefern diese Lieferanten an verschiedenen Standorten? Dann können Sie dies natürlich nicht nur aus Kostensicht, sondern auch aus Risikosicht nutzen und verstehen, wie wir das Risiko dieses Lieferanten innerhalb unseres Unternehmens effektiv managen können. Die Herausforderung besteht dann darin, dass Sie einen Vertrag kennen, der zwischen einem Mutterunternehmen und Ihrer Lieferkette vor der Einführung einiger dieser Compliance- und Regulierungsvorschriften geschlossen wurde. Dieser wird in Zukunft wahrscheinlich nicht mehr geeignet sein. Letztendlich muss er unter Berücksichtigung der neuen Anforderungen neu verhandelt werden. Es gibt bestimmte Rollen, Anforderungen und Klauseln, die in den Vertrag aufgenommen werden müssen. Wer ist der Dateneigentümer? Wer ist der Datenverarbeiter? Welche Anforderungen werden an jeden einzelnen aufgrund seiner Rolle gestellt? Und Sie wissen, was aus vertraglicher Sicht in Bezug auf Strafzahlungen passiert, wenn diese Verantwortlichkeiten nicht erfüllt werden, und es gibt noch viel mehr, was in diesen Verträgen berücksichtigt werden muss.

Brian Littlefair: Ich weiß, dass es eine Herausforderung ist, aber diese Verträge müssen immer dann überprüft werden, wenn ein neues Compliance-Element für Ihr Unternehmen relevant wird. Um all dies effektiv umsetzen zu können, müssen Sie jedoch verstehen, inwieweit Sie tatsächlich den Regulierungs- und Compliance-Rahmenbedingungen unterliegen und ob dies in den Bereich der Rechtsabteilung, der Risikomanagementabteilung, der Compliance-Abteilung oder der Sicherheitsabteilung fällt. Das ist eigentlich nicht so wichtig, aber Sie müssen verstehen, in welchem Bereich Ihr Unternehmen tätig ist. In welchen Branchen sind wir tätig und in welchem Bereich bin ich daher tätig? Und wir müssen uns vom Unternehmen beraten lassen. Dies sollte nicht alles eine isolierte Sicherheitsorganisation oder ein isolierter Prozess sein, der im gesamten Unternehmen durchgeführt wird. Wenn all diese Bereiche in Ihrem Unternehmen vorhanden sind, sollten Sie mit der Rechtsabteilung, der Risikokontrolle, der Sicherheitsabteilung, der IT-Abteilung und der Finanzabteilung sprechen. Dies ist ein geschäftliches Problem. Es handelt sich nicht um eine Herausforderung für die Sicherheit oder die IT. Es geht darum, wie das Unternehmen diese Anforderungen erfüllt. Wir müssen also unbedingt aus dem Sicherheitssilo ausbrechen, in dem einige Organisationen Risiken durch Dritte als Sicherheitsprozess betrachten. Das ist es nicht. Es ist ein Geschäftsprozess. Und ich denke, dass ich viel zu oft ziemlich große Unternehmen sehe, die keinen Datenschutzbeauftragten ernannt haben. Und meiner Meinung nach ist dies auf staatlicher Seite häufiger der Fall, da es nicht viele Vorschriften gibt, die dies tatsächlich vorschreiben. Korrigieren Sie mich bitte in den Kommentaren, wenn ich falsch liege, aber der CCPA schreibtnicht vorschreiben, dass man einen Datenschutzbeauftragten braucht, während die DSGVO dies tut, und ich denke, dass der Datenschutzbeauftragte eine so wichtige Rolle spielt, dass er der Verfechter oder Verwalter der Daten innerhalb Ihrer Organisation ist, der mitbestimmt, wohin sie fließen und wie sie manipuliert, verwendet und verkauft werden usw. Jemand muss es als seine Vollzeitaufgabe haben, die Daten innerhalb Ihrer Organisation tatsächlich zu verstehen. Wir sagen oft, dass sie das Lebenselixier des Unternehmens sind. Daher ist es wichtig, jemanden zu haben, der für ihren Schutz zuständig ist und sicherstellt, dass wir richtig mit ihnen umgehen. Aber ich denke, dass dies sehr schnell komplex werden kann. Wissen Sie, ein großes Unternehmen, das vielleicht in 60, 70 oder 80 Ländern weltweit tätig ist, kann einem sehr hohen Compliance-Risiko ausgesetzt sein.

Brian Littlefair: Wie gehen Sie damit um? Ich habe in Organisationen gearbeitet, die diese Struktur hatten, und es ist ziemlich schwierig, was die Arbeit angeht. Aber ich bestehe darauf, dass die Dinge einfach gehalten werden. Sie müssen effektiv sein, aber gleichzeitig auch einfach. Ich sage oft, dass Komplexität der Feind der Sicherheit ist. Wenn etwas sehr komplex ist, ist es schwer zu sichern. Und ich denke, die Struktur, die ich in Sicherheitsorganisationen vorantreibe, besteht darin, dass wir unsere Sicherheitsrichtlinien, unsere Sicherheitsrichtlinien und unsere Sicherheitsstandards haben, die sich alle in unserer Kontrollumgebung widerspiegeln. Und genau diese Kontrollumgebung wollen wir weltweit so weit wie möglich standardisieren. Man möchte nicht unterschiedliche Kontrollen durchführen, da Kontrollen geprüft werden. Wenn Sie in verschiedenen Ländern unterschiedliche Kontrollumgebungen haben und Sie Mitarbeiter benötigen, die diese Kontrollumgebung in dem jeweiligen Land prüfen können, wird es sehr komplex, wenn Sie das auf 60, 70 oder 80 Länder ausweiten. In einer idealen Welt ist es also letztendlich Ihr Ziel, dass diese Kontrollumgebung Ihre globalen Compliance-Anforderungen erfüllt. Unabhängig davon, ob Sie in Singapur, China, den USA, Großbritannien, Frankreich, Deutschland usw. tätig sind. Und an Orten innerhalb und außerhalb dieser geografischen Regionen würde Ihre Kontrollumgebung die Anforderungen dieser gesetzlichen Rahmenbedingungen und dieser Vorschriften und Kontrollen erfüllen. Lassen Sie mich anhand einer Folie erklären, was ich damit meine, um das Ganze etwas zu veranschaulichen. Ich habe in Unternehmen gearbeitet, die, als ich dort anfing, zahlreiche unterschiedliche, miteinander kollidierende Sicherheitsrichtlinien und -standards hatten, was zu zahlreichen unterschiedlichen Kontrollrahmen führte, und das ist keine gute Situation. Wenn man also globale Initiativen einführt, stößt man schnell auf Sicherheitsrichtlinien, die dies einschränken, oder es kann nicht auf die Weise XYZ in Land X usw. durchgeführt werden.

Brian Littlefair: Man kann also nicht in einer Welt agieren, in der es individuelle Länderrichtlinien gibt. Was ich langsam zu erkennen beginne, ist, dass die ausgereiftesten Organisationen über eine einheitliche globale Richtlinie verfügen. Die einzigen beiden Änderungen, die vorgenommen werden dürfen, betreffen die Sprache. So kann die Richtlinie in die jeweilige Landessprache übersetzt werden. Und wenn es etwas gibt, das aus gesetzgeberischer oder regulatorischer Sicht absolut einzigartig ist und dessen Globalisierung keinen Sinn ergibt, dann kann dies in die individuelle Länderrichtlinie aufgenommen werden. Aber das sind nur ein oder zwei Dinge. Alles andere ist weltweit standardisiert. Der Ansatz, den die Leute meiner Meinung nach verfolgen, und sicherlich auch der Kunde, den ich berate, ist, dass man weiß, wo dies möglich ist und wo es keine erheblichen betrieblichen Mehrkosten verursacht, wo eskeine erheblichen Kostenauswirkungen zu erwarten sind und es aus geschäftlicher Sicht sinnvoll ist, werden wir diesen einen globalen Prozess standardisieren. Ein Beispiel, das mir spontan einfällt, ist die Frage, wie schnell Sie die Aufsichtsbehörde über einen Verstoß in einem der Länder im Vergleich zu einem anderen informieren müssen. Das ist sehr unterschiedlich, wenn man sich die Karte ansieht: In Singapur haben Sie 24 Stunden Zeit, in anderen Ländern 48 Stunden usw. Wie werden Sie also Ihr globales Geschäft führen? Sie müssen sicherstellen, dass Sie diese globalen Vorschriften einhalten, denn möglicherweise befinden sich Daten von Einwohnern Singapurs in einem anderen Land, und in diesem Land kann es zu einer Datenschutzverletzung kommen. Sie müssen also in der Lage sein, diese Vorschriften einzuhalten. Wenn Sie also alle Ihre Kontrollumgebungen auf das strengste Niveau bringen und dies in Ihrem gesamten Unternehmen weltweit umsetzen, tun Sie nur eines.

Brian Littlefair: Sie erhöhen Ihre Sicherheitsstandards auf das höchste Niveau, und ich denke, das lässt sich intern sehr leicht verkaufen, weil esdas für Ihre Kunden das Richtige ist. Und wenn ich mir anschaue, wie große Organisationen aufgebaut sind, wird mir immer klarer, dass es so sein muss. Die meisten großen Organisationen haben Shared Service Center eingerichtet, in Regionen mit hoher Qualifikation und niedrigen Arbeitskosten, wenn man es so nennen will, oder Captives, und dort werden wichtige Geschäftsprozesse abgewickelt, wie Finanzdatenzentrumsbetrieb, Sicherheit usw. Aber im Grunde verarbeiten sie die Daten Ihrer globalen Kundenbasis oder Betriebssysteme, die das tun. Sie müssen also sicherstellen, dass diese Einrichtungen den Anforderungen der lokalen Bevölkerung entsprechen. Sie müssen also in der Lage sein, alles auf das strengste Niveau anzuheben und Ihr globales Geschäft auf diese Weise zu führen. Und ich denke, das ist es, was die reiferen Unternehmen tun, um die Dinge einfach zu halten und einen Großteil der Komplexität aus der Durchführung eines globalen Compliance-Programms zu entfernen. Und ich denke, wenn man sich die drei häufigsten Fehler ansieht, die ich bei den Leuten beobachte, die wir bereits kurz angesprochen haben. Ich denke, man muss über das Minimum hinausgehen. Die CISOs, die Einkaufsleiter und die Leute, mit denen ich spreche, sehen die Vorschriften immer als Minimum an. Es ist die niedrige Messlatte, der Tiefpunkt, an dem man sich orientieren sollte, und man strebt ständig danach, sich zu verbessern und darüber hinauszugehen, weil ich der Meinung bin, dass es das Richtige für den Kunden ist. Wenn der Kunde im Raum sitzen würde, wenn Sie die Entscheidung treffen, und Sie sagen, dass Sie es einfach auf einem niedrigen Niveau belassen und nicht nach oben gehen werden, wäre er dann damit zufrieden? Oder wäre er eher zufrieden, wenn Sie sagen würden: „Okay, wir betrachten die Vorschriften als Mindeststandard, aber wir werden investieren und dafür sorgen, dass wir ständig über dieses Niveau hinauswachsen.“ Ich denke, Ihre Kunden wären mit dieser Aussage eher zufrieden als mit der anderen. Und ich denke, dass sich die Regulierung auch auf den Datenfluss erstreckt. Das ist ein wirklich wichtiger Punkt. Deshalb haben wir darüber gesprochen, die Verträge zu überarbeiten.

Brian Littlefair: Es ist sehr wichtig zu verstehen, ob die Personen, die Sie mit der Ausführung von Arbeiten beauftragt haben, diese Arbeiten weitervergeben haben. Gibt es also eine vierte und fünfte Partei, die daran beteiligt sind? Und wie sieht es mit deren Sicherheitsfähigkeiten aus? Verfügen sie über zufriedenstellende Kontrollen? Haben Sie als Muttergesellschaft Ihren Datenverantwortlichen und Datenverarbeiter vollständig eingerichtet und gibt es aus finanzieller Sicht eine vertragliche Absicherung? Wir müssen also den Daten folgen. Es ist fast wie bei einem Fluss. Man muss verstehen, wo alle Nebenflüsse münden, wohin er fließt usw. Man muss in der Lage sein, sich das vorzustellen und zu verstehen und es in seiner Lieferketten-Sicherheit zu kodifizieren, um sicherzustellen, dass man über die richtigen Governance- und Prozesse verfügt. Es geht natürlich darum, dass es zu manuell ist, bevor es Tools wie die gibt, über die wir heute sprechen, und Scott wird gleich ein wenig darüber sprechen, wie verbreitet sie sind. Bevor diese Tools verfügbar waren, waren manuelle Audits der Ansatz, und man konnte ein operatives Team lahmlegen, indem man sagte: „Heute habt ihr euer ISO-Audit, ihr habt euer 2701,nächste Woche das PCI-Audit, dann kommt das interne Audit, um das Kontroll-Framework zu überprüfen, dann gibt es noch PCI SS und die DSGVO usw. Es wird einfach immer mehr. Wenn man ein großes globales multinationales Unternehmen leitet, hat man sechs oder sieben Ebenen mit vier Rechenzentren, was für die operativen Teams eine ziemliche Herausforderung sein kann, um mit diesem Audit-Aufwand fertig zu werden. Es ist viel einfacher, auf eine Schaltfläche zu klicken und tatsächlich zu verstehen, wo wir aus Sicht der Lieferanten in Bezug auf die Governance stehen. Das ist unsere Position aus Sicht der Versicherung. Das ist das, was wir bereits wissen. Und wenn Sie etwas tiefer einsteigen müssen, ist das in Ordnung, aber die Tools können Ihnen viele Informationen liefern, nach denen Sie ohnehin suchen würden.

Brian Littlefair: Wenn man diese Informationen mit den internen GRC-Plattformen kombiniert, entsteht eine wirklich leistungsstarke Lösung. Ich denke, Sie wissen, dass die Regulierung ein wenig gemischt ist. Sie wissen also, warum wir Regulierung und Compliance haben. Einige Leute denken, dass es zu wenig ist, andere denken, dass eszu viel sind, Sie wissen schon, Tod durch Regulierung, Tod durch tausend Schnitte usw. Sie wissen, dass es zu übertrieben sein kann. Meiner Meinung nach muss man sich überlegen, warum diese bestimmte Regulierung überhaupt eingeführt wurde, und ich habe mehrere Sicherheits-Teams in Unternehmen gesehen, die darum kämpfen, ein Budget zu bekommen, die darum kämpfen, die richtigen Ressourcen zu bekommen, die sie brauchen, um die Risiken zu managen, die sie effektiv unter Kontrolle haben. Und Regulierung hilft dabei ehrlich gesagt. Aus der Perspektive eines CISO ist es viel einfacher, vor den Vorstand zu treten und zu sagen, dass wir ein Budget von XY Z benötigen, weil diese Vorschrift besagt, dass wir das Unternehmen nicht betreiben können, wenn wir das nicht tun. Das sollte nicht so sein, aber es ist so. Regulierungen können also dazu beitragen, den Fokus und die Aufmerksamkeit auf die Verbesserung des Sicherheitsniveaus in bestimmten Sektoren oder bestimmten Ländern oder Regionen zu lenken, je nachdem, um welche Regulierung es sich handelt. Im Laufe der Zeit hat diese verstärkte Regulierung tatsächlich zu einem höheren Sicherheitsniveau geführt. Natürlich stehen Unternehmen nach wie vor vor Herausforderungen und Problemen, über die wir täglich in den Zeitungen und Fachpublikationen lesen, aber ich bin der Meinung, dass sich die Lage in dem Zeitraum, den ich beobachtet habe, definitiv drastisch verbessert hat. Ich denke jedoch, dass es eine Grenze geben muss, und damit meine ich, dass selbst ein vollständig konformes Unternehmen in einer stark regulierten Branche immer noch anfällig für Cyberangriffe sein kann, sodass wir bei der Regulierung irgendwo eine Grenze ziehen müssen. Wir müssen ein Gleichgewicht finden, und ich begrüße es, dass die Regulierungsbehörden und Compliance-Gremien weltweit zusammenarbeiten, denn ich denke, dass eine Harmonisierung dieser Anforderungen weltweit es für uns alle einfacher machen wird, diese einzuhalten. Lassen Sie mich also einige der wichtigsten Botschaften zusammenfassen, bevor ich das Wort an Scott übergebe, der Ihnen etwas über die vorherrschende Plattform erzählen wird.

Brian Littlefair: Ich denke, wir sind uns alle einig, zumindest ich bin es, und Sie können mich gerne in den Fragen herausfordern, aber egal, ob wir die Lieferkette aus Sicherheitsgründen verwalten oder aus Gründen der Compliance oder aufgrund gesetzlicher Anforderungen, unser Ziel ist es, unser Risiko zu reduzieren, sei es durch Cyberangriffe oder durch einige der anderen Beispiele, die ich genannt habe, wie den Abwasserkanal aus Sicht der Geschäftskontinuität, aber im Grunde geht esgeht es um Risikominderung, aber Sie wissen, dass dies ein weiterer Bereich der Sicherheit ist, der niemals abgeschlossen sein wird. Wir sagen oft, dass die Arbeit im Bereich Sicherheit niemals beendet ist. Der Weg wird niemals zu Ende sein. Es gibt eine ständige Weiterentwicklung und Fluktuation innerhalb der Lieferantenbasis. Wir müssen also diese Prozesse weiter vorantreiben und sicherstellen, dass sie durchgeführt werden. Wir müssen uns also weiterhin auf diese Risiken konzentrieren. Wir müssen die Tarierung unserer Lieferanten weiter vorantreiben und sicherstellen, dass wir über die globale Governance und die entsprechenden Fähigkeiten verfügen, aber wir müssen unsere Teams entlasten, indem wir in die richtigen Fähigkeiten, Tools und Prozesse investieren. Wir können einige dieser Prozesse jetzt stark automatisieren und unseren Teams die Ergebnisse präsentieren und analysieren, ohne dass sie sich mit Tabellenkalkulationen und Microsoft Excel herumschlagen müssen. Wir müssen also in der Lage sein, die uns zur Verfügung stehende Technologie zu nutzen, und wir müssen enger mit unseren Lieferanten zusammenarbeiten. Ich verstehe die damit verbundenen Herausforderungen besser als die meisten anderen, wenn wir uns die Tausenden und Abertausenden von Lieferanten ansehen. Aber es gibt Lieferanten und Lieferanten. Es gibt Leute, die offensichtlich sehr wichtig für Ihr Unternehmen sind, egal ob sie Ihr Rechenzentrum betreiben oder mit Ihren Kunden interagieren usw. Und wir müssen diese Lieferanten zu Partnern machen, richtig? Wir müssen ihr Geschäft vollständig verstehen. Sie müssen unseres vollständig verstehen. Und wissen Sie, der Vertrag kann dabei helfen, aber dann muss der Vertrag verschwinden. Wenn der Vertrag bei jeder Interaktion und jedem Treffen zum Vorschein kommt, haben wir ein kleines Problem. Wir müssen diese Beziehung jedoch reifen lassen, damit wir vernünftige Gespräche darüber führen können, wie wir die gemeinsamen Fähigkeiten innerhalb unserer verschiedenen Organisationen verbessern können.

Brian Littlefair: Und ich denke, wir haben bereits festgestellt, dass dies über die IT- und das Sicherheitsteam, die Rechtsabteilung, die Risikomanagementabteilung und die Beschaffungsabteilung hinausgeht. Ich habe ein ganzes Webinar darüber gehalten, warum die Beschaffungsabteilung der beste Freund des CISO ist. Sie sollten sich das ansehen, denn ich denke, es gibt so viele Gemeinsamkeiten und es geht darum, diesen gesamten Bereich eher als Geschäftsrisiko denn als IT-Risiko zu betrachten. Ich beobachte nur allzu oft, dass die Leute dies als ein Problem der CESOS betrachten, aber das ist es nicht. Es ist ein reines Geschäftsproblem, und wir müssen aus diesem Sicherheitssilo ausbrechen und diese umfassenderen Funktionen innerhalb des Unternehmens annehmen. Und ich sage es noch einmal, weil es wirklich deutlich gemacht werden muss: Wenn Sie Ihre Daten nicht kennen, können Sie diese Vorschriften und Compliance-Anforderungen nicht einhalten. Machen Sie sich also mit diesen strukturierten Daten vertraut, denn genau das verlangen die Aufsichtsbehörden in der Regel von Ihnen, und wenden Sie dann den Prozess „Zeigen Sie es mir, sagen Sie es mir nicht” an. In der Vergangenheit war es allzu oft so, dass wir sagten: „Ja, wir machen das, Sie brauchen sich unsere Prozesse nicht anzusehen, wir wir wirhaben das im Griff, wir managen unsere Schwachstellen effektiv, Sie brauchen nicht zu kommen und sich anzusehen, wie wir das machen. Je reifer die Unternehmen sind, desto mehr gehen sie nach dem Prinzip vor: Ich will nicht, dass Sie es mir sagen, ich will, dass Sie es mir zeigen. Ich will Beweise. Ich will die Gewissheit. Ich will, dass das auf meine Plattform hochgeladen wird, damit wir tatsächlich sehen können, dass diese Prozesse und Verfahren eingehalten werden. Ich denke, Sie wissen, dass man nach einer schlechten Erfahrung vorsichtiger wird. Man will also nicht nur informiert werden, sondern man will es sehen und Beweise dafür haben, dass es tatsächlich so ist. Okay, ich gebe jetzt an Scott weiter, der Ihnen ein wenig über die gängige Plattform erzählen wird, und dann beantworten wir natürlich gerne Ihre Fragen am Ende. Vielen Dank, Scott. Sie sind dran.

Scott Lang: Uh cheers Brian. Thank you. Um that last comment on Brian’s last slide there I think is the perfect segue into a little bit about what I want to share uh with you about prevalent and it’s the show me don’t tell me and you know the process of gathering information and evidence and policies and procedures and due diligence from your suppliers and partners and third parties. I mean I’m not I’m not going to paint a rosy picture here. It’s soul crushing. I understand that. And uh it can quickly spiral an already over um stretched team down into oblivion without the right help. And if you’ve got to prove uh that your third parties have policies in place, security related, data protection related or others, you have to find a way to automate uh the collection of that information, the analysis of that information, and then the presentation of it both to your internal auditors as well as the external folks are going to want to ask questions about it as well. And frankly, That’s what we specialize in. Um our uh the prevalent thirdparty risk management platform is a solution that helps you um centrally assess all of your third parties according to the specific requirements you have to you know assess them against and report against as well. Collect that information through the completion of you know their assessments and the uploading of supporting evidence. Um the review of that information and then ultimately the the re recommended remediations to get them to a place that you’re comfortable from a risk perspective. You know, you’re never going to eliminate all the risk. We know that risk never equals zero. But to get somebody down to an acceptable level of residual risk is the objective of the exercise. And then we can help you, you know, take the time and the manual labor and, you know, the sweat and more, you know, out of that process uh by taking it on on your behalf. We address third-party risk at every stage of the vendor life cycle, not just uh, you know, the the collection of compliance evidence to support uh some sort of a you know, regulatory conclusion, but you know, we help companies uh get intelligence on their potential vendors in the sourcing and selection phase. Um, as you intake and onboard a vendor, we can give you visibility into their existing risk profile as well as some real-time risk insights. Give you some inherent risk visibility against whatever metrics you’re trying to measure against, execute those full and complete assessments. I think we’ve got 75 questionnaire templates built in the platform that you can leverage now from a GDPR assessment to a CCPA or CP assessment. Um, you know, HIPPO related assessments. There’s a NIST framework or so and then some in there. There’s ISO ISO questionnaires. It you I mean the platform’s got a library of them to draw from that you can pick and choose. You can be flexible with, you can build a custom one. We’ve even got a standard survey that you can ask and then map the answers back to whatever requirements you need to on the other end. So the whole process is meant to simplify that excruciating process of collecting that that uh that due diligence and just make it easier to to to manage. Next step is monitor and validate. Once you have the information in the answers from your suppliers and partners, you’ve done a bit of review and now it’s time to really do some controls validation. Uh you know we can leverage some existing cyber business reputational financial monitoring and then have our experts get in there and just do like a controls validation exercise to make sure that you know that uh that their reported controls uh you know map to your requirements you know measuring performance and SLAs’s you know Brian mentioned earlier on in his presentation excuse me that not every risk is a cyber security risk you know the the uh the Suez Canal blockage being a great example of that you may have suppliers that have um some reputational challenges you know maybe they’re not living up to their expectations from an environmental social or governance perspective and you need to have some visibility in that because those can be risks to their ability to deliver to you which is your ability to deliver to ultimately your customers if that’s the case. So managing SLAs’s and performance metrics goes handinhand with with security. And then finally the last piece of the equation that is way too often overlooked is um is offboarding. You know every relationship is going to come to an end and it can’t just be simply flipping a switch and walking away. There’s quite a bit of checklisting and processes and data destruction and and you know offboarding or terminating of of assets and whatnot that have to be uh followed through. And you know one of the values of our platform is that we can help provide that process that automated workflow-based process to guide you through that that uh that that workflow so that when you know that relationship ends you know you you have greater levels of assurance that um uh you know that the right steps have been taken. Uh next step please Brian. Um you know we offer several benefits at every one of the kind of the stage of the of the sales cycle that I mentioned there uh which you can kind of easily understand from from um uh from the previous slide, but I’ll leave you with this this piece down at the end. You know, third-party risk management isn’t just for the cyber security team. You know, Brian talked about that. You know, we talked about it a second ago on the previous slide. It’s also about managing risks throughout the the the vendor ecosystem that might be, you know, reputational, business related, financial related, their ability to deliver, you know, whatever. Which means Third-party risk is going to be important to all kinds of different teams throughout your enterprise. You know, if you’re in the security team, great. If you’re in the, you know, the risk management or or the compliance internal compliance and audit team, great. Um, procurement’s going to want a hand in this as well. And one of the significant values that we deliver as a solution set is that, you know, we can bring together all of these uh different teams under a single pane of glass. Everybody’s looking at the same data, getting the reporting that matters to them, and can take the actions uh uh you know act on that data accordingly. Next slide please. Um you know I think this is the last one. What uh you know we address use cases um from procurement to IT security to legal to compliance to frameworks. Uh you know each one of these items on this uh screen represents a specific uh assessment or questionnaire that we have built into our platform which then maps to a compliance report that you know you can provide. to your internal teams, external teams, external auditors, whatever, uh, to help demonstrate the the the progress toward um, you know, achieving whatever compliance, you know, objective you need to. And on that right hand side, we’ve got all of our threeletter acronyms and even a few four-letter acronyms uh, cooked in there as well. But just a just an idea of, you know, how we specifically help you um, show uh, not just tell uh, of of, you know, the current security posture of your of your third parties. Awesome. Um, and then just a wrap-up slide on on our approach here. Everything I I hope you learned just now was that, you know, our goal is to help make you smarter in thirdparty risk with all of the data that we have in the platform. Help you unify not just yourselves but your internal teams to to to, you know, uh, coordinate action and look at all the same data. And then finally, be very prescriptive uh, in your process. That’s it. Great. Thanks, Scott.

Amy: In Ordnung. Danke, Scott, und danke, Brian. Während der Präsentation sind ein paar Fragen aufgetaucht. Es gab viele Abkürzungen, und wir haben einige Fragen dazu. Ich habe mein Bestes getan, um einige davon zu beantworten, aber ich habe ihnen gesagt, dass ich die Fragen an den Experten weiterleiten würde, um sicherzustellen, dass wir richtig liegen. Die erste Frage lautet also: Wofür steht POI A? Was bedeutet es? Und aus welchem Land stammt es?

Brian Littlefair: Ich kann mich nicht mehr genau an die Bedeutung des Akronyms erinnern, aber im Wesentlichen ist POPIA das afrikanische Pendant zu CCPA und DSGVO. Es handelt sich also um ein südafrikanisches Land, richtig? Also

Amy: Verstanden. Okay. Ich habe kurz gegoogelt und „Gesetz zum Schutz personenbezogener Daten” eingegeben. Es schien, äh...

Brian Littlefair: Genau der. Ja.

Amy: In Ordnung. Wir haben ein paar Fragen. Ich werde unsere letzte Umfragefrage stellen, falls Sie gehen müssen. Wir sind sehr neugierig, ob Sie in den kommenden Monaten ein Risikomanagementprogramm für Dritte ausbauen oder einführen möchten. Ja, nein, ich bin mir nicht sicher. Wir sind hier, um Ihnen zu helfen. Wie Scott bereits erwähnt hat, ein wenig. Ich werde das also offen lassen, während wir mit einigen Fragen hier fortfahren. Die nächste Frage bezieht sich auf Folie Nummer sieben. Ich bin sicher, dass Ihnen das sofort einfällt, Brian. Bezüglich der Prozesse, die eine nahezu Echtzeit-Governance erfordern, ich glaube, es war der vorletzte Punkt. Sie suchen nach einigen klaren Beispielen.

Brian Littlefair: So viele organisierte, welche, sorry, die Comp, um komplexe Prozesse zu verwalten, erfordern eine nahezu Echtzeit-Governance. Nun, aus meiner Sicht geht es um Bedrohungen. Wenn Sie also eine Organisation betrachten, die für Ihren Prozess ziemlich kritisch ist. Wenn Sie einen, wie ich es nennen würde, veralteten, auf Tabellenkalkulationen basierenden Prozess betreiben und den Aspekt der Bedrohung nicht berücksichtigen. Dann wären Sie völlig überrascht, wenn eines Ihrer Unternehmen wegen einer Datenpanne in den Nachrichten auf CNN oder Sky News auftauchen würde. Wenn Sie also diese Bedrohungsinformationen über diese Prozesse legen, können Sie diese Erkenntnisse viel schneller gewinnen und sind in der Lage, intern aus der Perspektive Ihres Unternehmens zu reagieren, um dies tatsächlich voranzutreiben. Das meine ich mit „nahezu in Echtzeit”. Sie möchten also in der Lage sein, nahezu in Echtzeit zu verstehen, was in Ihrer Lieferkette vor sich geht. Es wird nie in Echtzeit sein. Offensichtlich hat jemand ein Problem usw. Aber wenn andere Kunden davon wissen, möchten Sie es auch wissen. Sie möchten nicht, dass die Kommunikation über einen Kundenbetreuer und dann über dessen Vorgesetzten läuft und Sie erst am Ende der Kette davon erfahren. Sie möchten in Echtzeit darüber informiert werden. Und ich denke, genau das ermöglichen Ihnen diese Tools und die Überlagerung mit den Bedrohungsinformationen, oder? Sie haben immer den Finger am Puls der Zeit und wissen, was in Ihrer Lieferkette vor sich geht.

Amy: Verstanden. Danke, Ryan. Okay. Nächste Frage. Gibt es GDP- oder CCPA-Zertifizierungen für IT-Anwendungsprodukte oder IT-Drittanbieter, um deren grundlegende Compliance zu bestätigen, wie z. B. die Verschlüsselung von Datenschutzdaten im Ruhezustand, während der Übertragung usw.?

Brian Littlefair: Ja. Ich denke, aus Sicht der Software ist das absolut klar, und genau dort wird sich die Welt sicherlich entwickeln. Wenn ein Unternehmen die Vorschriften einhalten muss, dann wird es Zertifizierungen für Einzelpersonen geben, es wird Compliance-Anforderungen für Software geben und es wird Lösungen geben, die Unternehmen nutzen können. Das ist ein natürlicher Prozess, den wir im Laufe der Zeit beobachtet haben. Und genau das werden Unternehmen verlangen. Wenn ich die DSGVO einhalten muss, dann brauche ich Mitarbeiter in meinem Unternehmen, die zertifiziert sind, um nicht nur sicherzustellen, dass wir die Vorschriften einhalten, sondern auch um Bewertungen und Audits durchzuführen, denn Sie wollen ja nicht erst bei einem Audit durch die Aufsichtsbehörde feststellen, dass Sie die Vorschriften nicht einhalten. Sie wollen sich selbst überprüfen. Sie brauchen also Mitarbeiter und Software, die Ihnen diese Sicherheit geben können, damit Sie tatsächlich sagen können: Ja, wir halten die Vorschriften ein. Und natürlich muss sich das aus Sicht der Verschlüsselung auch auf Ihre Lieferkette erstrecken. Wenn Sie den Standpunkt vertreten, dass Sie alle Ihre Daten durchgängig während des gesamten Prozesses usw. verschlüsseln werden, dann müssen Sie in der Lage sein, dies zu überprüfen, und es gibt jetzt Lösungen auf dem Markt, die Ihnen dabei helfen können, dies sogar innerhalb der verschlüsselten Datensätze zu überprüfen, ohne diese tatsächlich entschlüsseln zu müssen. Das wird also noch ein bisschen spannender.

Amy: Danke, Brian. Okay, hier sehe ich noch eine letzte Frage. Wie stehen Sie zur Identifizierung und Bewertung regulatorischer Anforderungen während der SOC 2-Prüfung für ein globales Unternehmen, da Datenschutz eines der Grundsätze für vertrauenswürdige Dienstleistungen im Prüfungsprozess ist?

Brian Littlefair: Ja, ich finde, das ist eine sehr gute Frage, und ich denke, aus Sicht von Sock 2 zeigt es anderen Organisationen, dass Sie Sicherheit und all diese Aspekte sehr ernst nehmen, und ich denke, Sie wissen, dassist der Punkt, an dem Ihnen die Regulierung tatsächlich helfen kann, Dinge wie ISO, DSGVO usw. und verschiedene andere Compliance-Regelungen, die für Sie von Bedeutung sein könnten, vollständig zu übernehmen. Es ist viel aussagekräftiger, einen Sock-2-Bericht zu haben, den Sie potenziellen Kunden präsentieren können, um ihnen zu zeigen, wie ernst Sie die Sicherheit nehmen, als nur eine Bewertung. Wenn man sich einen Sock-Bericht von Amazon, Google oder ISU ansieht, sie sind ziemlich beeindruckend, was die Einhaltung der gesetzlichen Vorschriften und Regelungen angeht, aber wie gesagt, sie haben darauf aufgebaut. Man sieht also nicht nur das Häkchen, sondern auch, wie weit sie gegangen sind, um Ihnen zu versichern, dass sie der beste Cloud-Dienstleister sind, bei dem Sie Ihre Daten speichern können, usw. Und ich denke, dass dies zu einem Unterscheidungsmerkmal für diejenigen werden wird, die ihre SOP 2-Berichte verwenden, um tatsächlich zu sagen: „Sehen Sie, wir haben nicht nur die Standards eingehalten, wir sind sogar noch darüber hinausgegangen“, und ich denke, dass dies für Kunden zu einem Auswahlkriterium werden wird, wenn es darum geht, wo sie ihre Daten speichern möchten. Richtig.

Amy: Verstanden. Danke, Brian. Ähm, es ist noch ein letzter Kommentar eingegangen. Was Dritte angeht, weiß ich, dass wir uns sehr darauf konzentrieren, dass Dritte weit verbreitet sind und dass dies ein weit verbreitetes Webinar ist. Ähm, aber sie sagen, dass GRC in Organisationen viel mehr Komponenten umfasst, darunter auch das Richtlinienmanagement und so weiter. Ähm, das ist nicht wirklich eine Frage, sondern nur ein Kommentar, den ich Ihnen unbedingt mitteilen wollte.

Brian Littlefair: Ja, und ich denke, das ist absolut richtig, wissen Sie, und ich denke, Prevalent wird der Erste sein, der das zugibt, und auch andere Leute in diesem Bereich, dass es sich um eine Informationserweiterung handelt, und Sie wissen, dass viele der Kunden, mit denen Sie sprechen werden, einen Archer oder eine ähnliche Lösung als Teil ihrer GRC-Plattform einsetzen werden, und Sie wissen, dass dies weiterhin die Kernplattform sein wird.um eine Informationserweiterung handelt. Viele der Kunden, mit denen Prevalent sprechen wird, werden Archer oder eine ähnliche Lösung als Teil ihrer GRC-Plattform einsetzen, und das wird auch weiterhin die Kernplattform für das Risikomanagement sein. Aber Sie wissen, dass Risiken von Dritten ein Teil des Risikos sind, das Sie tatsächlich managen, und das kann wirklich helfen, diese Daten zu erweitern und automatisierte Workflows zwischen ihnen zu erstellen. Ich bin sicher, Scott, dass Sie das bei Ihren Kunden ständig beobachten, oder?

Scott Lang: Ja, absolut. Absolut. Wissen Sie, wir haben Kunden, die eine dieser großen GRC-Plattformen nutzen, die einen Kilometer breit und einen Zentimeter tief sind, und, äh, wissen Sie, sie nutzen Prevalent, wenn sie Fachwissen auf Domänenebene im Bereich des Risikomanagements von Drittanbietern benötigen, um ihr gesamtes GRC zu verbessern. Wissen Sie, viele dieser GRC-Plattformen eignen sich hervorragend für das Management von Risiken auf Unternehmensebene, aber aufgrund ihrer Beschaffenheit können sie einfach nicht zwei Ebenen tiefer in bestimmte Domänenbereiche vordringen, weshalb sich die Leute für Prevalent entscheiden. Richtig. Macht

Amy: Sinn. Ähm, zusätzlich zu diesem Kommentar: Wenn sie Archer verwenden, haben sie dann alles oder brauchen sie noch Prevalent? Ich weiß, dass Sie das schon kurz angesprochen haben. Stopp. Möchten Sie noch etwas hinzufügen?

Scott Lang: Ja. Ja, Sie brauchen Prävalenz. Auf jeden Fall. Ja. Nein, wissen Sie, Archer ist eine hervorragende Lösung für das Risikomanagement in Unternehmen. Es ist schon seit Ewigkeiten auf dem Markt. Ähm, aber wie ich schon sagte, es handelt sich um spezifische Funktionen für das Risikomanagement von Drittanbietern. Großartig. Aber wir sind Experten auf diesem Gebiet und haben eine Lösung von Grund auf entwickelt, die sich übrigens in Archer integrieren lässt. Wenn Sie also Bedenken haben, wenden Sie sich gerne an uns, wir erklären Ihnen gerne, wie das funktioniert.

Amy: Super. Ja. Vielen Dank. Ich glaube, das waren alle Fragen zu diesem Thema. Ich weiß, dass wir die Stunde etwas überschritten haben, aber wenn Sie noch weitere Fragen haben oder mit einem Experten von Prevalent sprechen möchten, können Sie eine E-Mail an info prevalent.net senden. Folgen Sie uns auf LinkedIn und Twitter. Wir veröffentlichen jede Menge interessante Blogs und Webinare, die für Sie hilfreich sein könnten. Vielen Dank, Scott. Vielen Dank, Brian. Ich habe viel gelernt. Ich habe selbst ein wenig mehr über Akronyme gelernt. Zur Erinnerung: Diese Veranstaltung wird aufgezeichnet und Ihnen morgen früh zugeschickt. Vielen Dank Ihnen beiden. Ich wünsche Ihnen noch einen schönen Tag. Vielen Dank an alle für Ihre Teilnahme.

Scott Lang: Vielen Dank euch allen. Habt einen schönen Tag. Tschüss.

Brian Littlefair: Danke. Bis dann.