Wie man die Beschaffung mit den Risiken von Drittanbietern für ein erfolgreiches Lieferantenmanagement in Einklang bringt
Siehe mehr Details →Beschreibung
Eine der größten Herausforderungen für Beschaffungsteams besteht darin, die Risikoziele mit denen des restlichen Unternehmens in Einklang zu bringen. Tatsächlich haben die meisten Unternehmen Schwierigkeiten damit, sicherzustellen, dass ihre Risikomanagementprozesse intern nicht als Hindernis wahrgenommen werden, das die Beschaffung und Innovation verlangsamt.
Nehmen Sie an diesem Webinar teil, das von Bryan Littlefair, CEO von Cambridge Cyber Advisers und ehemaliger Global CISO der Vodafone Group und Aviva, geleitet wird, um mehr über seine Erfahrungen bei der Entwicklung von Risikomanagementprogrammen für Dritte zu erfahren, die auf die Beschaffung abgestimmt sind.
In diesem Webinar werden Sie lernen:
- Die 3 grundlegenden Fehler, die Unternehmen häufig bei der Einrichtung eines TPRM machen, das nicht auf die Beschaffung abgestimmt ist
- Welche Kennzahlen und Messgrößen werden zwischen Sicherheit und Beschaffung ausgetauscht?
- Wie man die Effektivität und Effizienz zwischen Beschaffung und Risikomanagement von Drittanbietern steigert und gleichzeitig das Risiko reduziert
Alastair Parr, SVP Global Products and Operations bei Prevalent, zeigt, wie die Prevalent-Plattform die Bewertung, Überwachung und Behebung von Risiken durch Dritte in jeder Phase des Lieferantenlebenszyklus vereinfachen kann.
Sehen Sie sich dieses Webinar an, um Tipps zum Abbau der Silos zwischen IT-Sicherheits- und Beschaffungsteams zu erhalten.
Sind Sie daran interessiert, wie Prevalent Ihnen helfen kann? Fordern Sie eine Demo und ein Strategiegespräch an, um Ihr Projekt mit einem unserer Experten zu besprechen.
Redner
Bryan Littlefair
CEO von Cambridge Cyber Advisers und ehemaliger Global CISO der Vodafone Group und Aviva
Alastair Parr
Experte für Compliance
Abschrift
Moderator: Sie sind heute hier, weil Prevalent uns einen großartigen Redner und eine beeindruckende Präsentation mitgebracht hat, die wir gemeinsam vorstellen werden. Wir sprechen über die Abstimmung des Risikomanagements von Drittanbietern mit dem Beschaffungsteam. Und ich sage Ihnen, das ist das Thema, das uns derzeit am meisten beschäftigt. Ob es nun um Nachhaltigkeit, ESG, Vielfalt, Gerechtigkeit oder Inklusion geht – jedes Mal, wenn Sie eines dieser Themen ansprechen, kommt auch das Risiko durch Dritte zur Sprache. Ich werde Ihnen nun meinen Gast vorstellen und ihn bitten, auf den Bildschirm zu kommen. Aber zuerst ist da Brian Littlefare, Gründer und CEO von Cambridge Cyber Advisers, auch bekannt als CCA. Er verfügt über 25 Jahre Erfahrung in der Leitung von Teams im Bereich Informations- und Cybersicherheit. Er ist darauf spezialisiert, Führungsteams und Vorstände einiger der weltweit größten Unternehmen in Bezug auf ihre Sicherheitsstrategie zu beraten und bietet Sicherheitsberatung und Mentoring für Chief Information Security Officers. Ich freue mich sehr, ihn hier zu haben. Er hält mehrere Patente im Bereich Informationssicherheit und ist regelmäßig als Hauptredner bei Sicherheitsveranstaltungen zu Gast. Mit ihm zusammen ist heute Alistair Parr. Alistair wird heute nicht auf dem Bildschirm zu sehen sein. Alistair wird also die geheimnisvolle Stimme hinter dem Bildschirm sein, aber er ist dafür verantwortlich, dass die Anforderungen des Marktes berücksichtigt und innovativ in das bestehende Portfolio integriert werden. Er kam von 3GRC zu Prevalent, wo er als einer der Gründer für die Definition von Produkten und Dienstleistungen verantwortlich und maßgeblich daran beteiligt war. Er verfügt über 12 Jahre Erfahrung in den Bereichen Produktmanagement, Beratung und Betrieb. Zu Beginn seiner Karriere war er außerdem als Betriebsleiter für den globalen Managed-Service-Provider IntelliScure tätig, wo er für die Überwachung effektiver Datenschutz- und Risikomanagementprogramme für deren Kunden verantwortlich war. Habe ich Ihnen nicht gesagt, dass dies zwei der beeindruckendsten Führungskräfte sind, die wir heute hier haben könnten? Also, Brian, willkommen auf dem Bildschirm und Alistair, willkommen per Stimme.
Brian Littlefair: Vielen Dank. Alistair Parr: Danke, Dawn. Und hallo, Brian.
Brian Littlefair: Hallo, Alistister. Hallo zusammen. Ich wurde bereits vorgestellt, mein Name ist Brian Littlefair. Es ist toll, diese Zeit mit Ihnen verbringen zu dürfen. Sowohl Alistister als auch ich sind sozusagen von der anderen Seite des großen Teichs zugeschaltet. Wir rufen also beide aus Großbritannien an. Ähm, ich war als leitender Sicherheitsbeauftragter für einige ziemlich große multinationale Unternehmen tätig. Und eine Sache, die mir sowohl in den Unternehmen, in denen ich gearbeitet habe, als auch in denen, die ich jetzt berate, immer wieder auffällt, ist die Kluft zwischen den Sicherheitsteams und der Beschaffungsabteilung. In meinem heutigen Vortrag geht es darum, wie wir diese Kluft überwinden können. Ich werde einige der Vorteile skizzieren, und Alice wird dies mit seinen Erfahrungen ergänzen. Wenn wir also zur nächsten Folie übergehen, können wir über die Rahmenbedingungen sprechen, die meiner Meinung nach wirklich wichtig sind. Ähm, und wir kommen nicht umhin, die COVID-19-Pandemie zu erwähnen, in der wir uns heute befinden, aber COVID-19 hat die Welt der Chief Information Security Officers wirklich verändert. Ähm, die Richtlinien für eine Grippepandemie waren schon immer ein fester Bestandteil ihres Richtlinienkatalogs. Aber niemand hat tatsächlich damit gerechnet, dass sie jemals zum Einsatz kommen würden, und selbst wenn sie zum Einsatz kamen, waren sie nur für einen sehr kurzen Zeitraum gedacht und geschrieben. Nichts Vergleichbares zu der Dauer, die wir derzeit erleben. Einige der Dinge, die sie tun mussten, mussten sie schnell ändern, wissen Sie, wie Daten innerhalb einer Organisation fließen. Sie mussten sehr vorläufige Risikoakzeptanzen, von denen sie dachten, dass sie nur für ein paar Wochen gelten würden, in 6 Monate, ein Jahr, 18 Monate umwandeln, und tatsächlich sieht es so aus, als würden einige davon auch in Zukunft dauerhaft gelten. Die Richtlinien und Standards, die normalerweise das Herzstück einer Sicherheitsorganisation bilden, schreiben dem Unternehmen vor, wie es arbeiten muss, um sicher zu bleiben. Nun, viele davon waren in der Situation, in der wir uns befanden, einfach nicht mehr relevant. Als Sicherheitsfunktion wurde ihre Welt also ziemlich auf den Kopf gestellt. Und die Unternehmen mussten reagieren. Sie mussten reagieren, um zu überleben.
Brian Littlefair: Ähm, und wissen Sie, einige haben das sehr gut gemacht und sind immer noch da, aber andere konnten sich einfach nicht schnell genug umstellen, und das hat sich wirklich auf ihr Geschäft ausgewirkt. Was wir jetzt sehen, ist eine Industrialisierung einiger dieser vorübergehenden Maßnahmen, die eingeführt werden mussten. Sie müssen tatsächlich dauerhaft gemacht werden. Wir haben gerade im Plenarsaal, bevor wir zu diesem Gespräch mit Ihnen allen gekommen sind, darüber diskutiert, dass einige Unternehmen strategisch sehr flexibel sind, was den Arbeitsort ihrer Mitarbeiter angeht, während andere sie zurück ins Büro holen wollen, und es ist wirklich die Aufgabe der Sicherheitsfunktion, all diese unterschiedlichen Arbeitsstile und -regelungen miteinander zu verknüpfen und eine Form des sicheren Arbeitens zu ermöglichen. Aber ich denke immer noch, dass es eine sehr enge Beziehung zur Beschaffungsfunktion gibt, die wirklich dazu beitragen kann, dies voranzutreiben. Aber zusätzlich zu COVID-19 kommt noch eine weitere Dynamik ins Spiel. Wir haben einen absolut beispiellosen Anstieg der Sicherheitsabgaben für Organisationen aller Art und Größe auf der ganzen Welt beobachtet. Ob in den USA oder in Großbritannien, ob es sich um die NSA oder das National Cyber Security Center hier in Großbritannien handelt, sie alle senden Leitlinien an ihre Unternehmen und Geschäftskollegen, in denen sie sagen: „Wir werden angegriffen. Sie werden angegriffen, und wir müssen unsere Sicherheit verstärken.“ Und diese Lieferkette ist einer der praktikabelsten Angriffsvektoren für jede Organisation. Eine große globale Organisation hat möglicherweise 2.000, 3.000 oder 5.000 Lieferanten, die sie verwaltet, und einige dieser Lieferanten sind möglicherweise über vertrauenswürdige Mitarbeiter dauerhaft mit ihrem Netzwerk verbunden. Wenn Sie also ein Hacker oder Angreifer sind, können Sie zwar versuchen, die Muttergesellschaft zu kompromittieren, aber in gewisser Weise ist es viel einfacher, über die Lieferkette in diese Organisation einzudringen, über einige dieser kleineren Unternehmen, denen sie vertraut und die nicht so viel in die Sicherheit der Muttergesellschaft investieren. Einige Organisationen werden also tatsächlich ins Visier genommen, weil sie stark mit anderen Organisationen vernetzt und verbunden sind. Das geht aus unseren Bedrohungsinformationen hervor.
Brian Littlefair: Wenn wir also diese beiden Dinge zusammennehmen, die COVID-19-Pandemie und diese beispiellose Flut von Angriffen, die wir derzeit erleben, dann haben wir es mit einer perfekten Sturmkonstellation zu tun. Es gibt massive Veränderungen, massive Störungen, die durch diese Angriffe aus allen Richtungen noch verstärkt werden. Und das können wir wirklich nicht ignorieren. Wir müssen den Wandel orchestrieren. Wir müssen in der Lage sein, entsprechend zu reagieren. Und tatsächlich müssen wir davon ausgehen, dass unsere Lieferkette einen Schritt nach vorne macht und damit beginnt, Sicherheitskontrollen zu implementieren, wie wir sie von unserer Muttergesellschaft erwarten würden, und genau das ist es, was sich meiner Meinung nach in Zukunft wirklich ändern wird. Wenn wir also zur nächsten Folie übergehen und dies als Kontext verwenden, können wir sehen, warum Unternehmen nervös sind, was Risiken aus der Lieferkette angeht, und das ist eines der häufigsten Themen, über die ich mit Unternehmen spreche, weil es ein wirklich schwer zu bewältigendes Risiko ist. Sie versuchen, den Sicherheitsstatus von vielen Tausenden Ihrer Lieferanten zu verstehen, und wie wirkt sich das auf Sie aus, wenn diese ein Problem haben? Wenn sie in ihrem Unternehmen mit Sicherheitsproblemen konfrontiert sind, wie wirkt sich das dann auf Sie als Muttergesellschaft aus? Können Sie Ihre Dienstleistungen und Produkte weiterhin an Ihre Kunden liefern? Und es geht dabei um viel mehr als nur um reine Drittanbieter. Je nach Branche handelt es sich um Viert- oder Fünftanbieter. Wir sprechen oft von Drittanbieterrisiken, aber wir alle wissen, dass einige unserer Lieferanten die von uns in Auftrag gegebenen Arbeiten weitervergeben. Das hat also tatsächlich Auswirkungen auf alle Beteiligten und schafft ein immer komplexeres Bild. Wir müssen wirklich verstehen, wie wir dieser Entwicklung einen Schritt voraus sein können, und innovative Tools und Funktionen nutzen, um all diese Daten auszuwerten und uns ein wirklich klares Bild von unseren Risiken zu verschaffen. Die Aufsichtsbehörden und Regierungen haben diese Entwicklung beobachtet. Sie haben den Anstieg von Sicherheitsvorfällen und -zwischenfällen bemerkt. Sie haben gesehen, dass sowohl große als auch kleine Unternehmen durch ihre Lieferkette gefährdet sind.
Brian Littlefair: Und sie beginnen tatsächlich, wirklich Vorschriften zu erlassen, etwa: „Hier sind unsere Erwartungen, das müssen Sie tun“, und sie geben sehr genaue Vorgaben, was ein Unternehmen umsetzen muss, damit es dieses Risiko aus der Lieferkette effektiv bewältigen kann. Aber wenn Sie nicht in einer stark regulierten Branche tätig sind, wenn Sie beispielsweise nicht im Gesundheitswesen oder im Finanzwesen tätig sind, wo die Aufsichtsbehörden viel Druck auf Sie ausüben, können Sie dies als ein wirklich gutes Hebelwerkzeug nutzen, um ein solches Programm tatsächlich umzusetzen. Was passiert, wenn Sie nur in einer normalen, isolierten Funktion tätig sind, die nicht von den Aufsichtsbehörden vorgeschrieben ist, und Sie dies dennoch tun müssen, weil es natürlich mit Kosten verbunden ist? Die Umsetzung kann je nach Komplexität Ihrer Organisation schwierig sein, aber letztendlich geht es darum, das Richtige zu tun. Ihre Kunden vertrauen Ihnen ihre Daten an, und letztendlich sind diese das Ziel jedes Angriffs. Ich denke also, dass Organisationen eine persönliche Verantwortung haben, alles in ihrer Macht Stehende zu tun, um diese Daten zu schützen, und das bedeutet auch, die Lieferkette zu schützen. Viele Unternehmen beschäftigen sich jedoch schon seit langem mit dem Management von Risiken durch Dritte. Bestimmte Aspekte davon wurden sicherlich auch schon immer im Rahmen der Beschaffung behandelt. Und genau darauf werden wir uns im weiteren Verlauf des Gesprächs konzentrieren. Wie können wir das Beschaffungswissen nutzen, über das Sie alle hier offensichtlich verfügen, und wie können wir es im Rahmen der Sicherheitsmitteilungen einsetzen? Es liegt natürlich an Ihnen, diese Mitteilungen an Ihre Sicherheitsteams weiterzugeben und zu sagen: „Hey, ich hatte dieses fantastische Gespräch, und wisst ihr, wir haben viele gemeinsame Interessen und sollten enger zusammenarbeiten. Wenn wir dieses Ergebnis und dieses Ziel erreichen können, dann ist das für alle von Vorteil. Ich glaube, nur sehr wenige Unternehmen würden mit Sicherheit behaupten, dass die Lieferkette für sie zu 100 % risikofrei ist. Es spielt keine Rolle, welche Tools oder Prozesse Sie einsetzen. Es gibt immer Unbekannte, und es kann immer etwas passieren. Wir werden also in Zukunft kein wirklich klares Verständnis davon bekommen. Aber Sie können dieses Risiko erheblich reduzieren.
Brian Littlefair: Was wir tun müssen, ist, uns von Microsoft Excel zu verabschieden. Das ist kein Seitenhieb gegen Microsoft. Microsoft Excel ist eine großartige Plattform. Es ist ein großartiges Tool, aber es eignet sich nicht für das Management von Risiken durch Dritte. Ich sehe immer wieder, dass damit große Tabellenkalkulationen erstellt werden. Es kann keine Analysen durchführen. Es kann nicht die Bedrohungslinsen einbringen, die mittlerweile wirklich sehr, sehr wichtig sind. Es ist nicht für das Management von Risiken durch Dritte konzipiert. Wenn Sie also Excel heute in Ihrem Unternehmen dafür verwenden, können wir Ihnen hoffentlich zeigen, dass es einen anderen Weg gibt, um dieses Problem und diese Herausforderung tatsächlich zu bewältigen. Alistister, möchten Sie zu dieser Folie noch etwas hinzufügen?
Moderator: Also, Brian, wir haben gerade die Umfrage gestartet. Also, Leute, wenn ihr bitte auf den Startbildschirm gehen könntet, dort steht: „Möchtet ihr in den kommenden Monaten ein Programm zum Management von Risiken durch Dritte einführen oder ausbauen? Ja, nein oder ich bin mir nicht sicher“. Wenn Sie auf eine dieser Optionen klicken und absenden, geben Sie uns eine Vorstellung davon, wie viele von Ihnen ein Programm haben, ein Programm in Betracht ziehen oder vielleicht denken, dass dies kein großer Risikobereich ist. Man kann nie wissen. Aber Brian, Sie haben absolut Recht, wenn Sie sagen, dass man seine Drittanbieter, Viertanbieter und Fünftanbieter kennen muss. Ich hatte gestern eine CPO-Veranstaltung, an der etwa 35 CPOs teilnahmen. Sie können ihre Viertanbieter nicht identifizieren.
Brian Littlefair: Ja. Moderator: Und die Lieferanten wollen nicht preisgeben, wer ihre Lieferanten sind. Das ist eine große Lücke und ein großes Risiko. Sobald die Ergebnisse vorliegen, werden wir sie einfügen und Ihnen allen zeigen. Dann werde ich mich wieder aus dem Bild zurückziehen und das Wort wieder an Sie, Brian, übergeben. Alistair Parr: Großartig. Danke, D. Wir kommen gleich darauf zurück. Das ist interessant, Brian, denn wir haben etwas sehr Ähnliches beobachtet. Mit dem Aufkommen von COVID, das ja in den letzten 18 Monaten oder so alle betroffen hat, wurde allgemein großer Wert auf die Widerstandsfähigkeit der Lieferkette gelegt. Das hat vielen CESOS, mit denen wir gesprochen haben, ein falsches Gefühl der Sicherheit vermittelt, da sie davon ausgehen, dass die Lieferketten von Drittanbietern entweder durch die Beschaffung oder durch Infosc Downstream effektiv verwaltet werden. In Wirklichkeit ist die Widerstandsfähigkeit jedoch, wie Sie betont haben, nur ein kleiner Teil des Gesamtbildes. So sehr wir auch verstehen, dass es in Bezug auf COVID und speziell auf die Notfallwiederherstellung ein gewisses Maß an geschäftlicher Widerstandsfähigkeit gibt, so berührt dies doch nicht einige der umfassenderen Elemente, auf die Sie meiner Meinung nach angespielt und Bezug genommen haben. Also die Infoset-Komponenten, die ergänzenden Daten, die Sie erhalten können, um Lücken, Kontextinformationen usw. aufzuzeigen. Vieles davon ist im Vergleich zu diesem Fokus auf Resilienz etwas in den Hintergrund geraten, und die CESOS gehen davon aus, dass diese Programme von Drittanbietern robust und ausgereift sind, weil sie all diese Daten erhalten, aber das spiegelt nicht wirklich ihre Risikosituation wider. Um dies zu erreichen, empfehlen wir dringend, dass alle Komponenten Ihres Programms von Drittanbietern über die derzeit viel diskutierte Resilienz hinaus berücksichtigt werden.
Brian Littlefair: Großartig. Danke, Alistister. Wenn man sich die nächste Folie ansieht, weiß man, dass es bei den Kunden, die ich betreue, ziemlich üblich ist, dass das Third-Party-Risiko-Team und die Beschaffungsteams getrennte und unterschiedliche Prozesse verfolgen. Das mag zwar richtig sein, und ich plädiere sicherlich nicht dafür, dass sie für alle ihre Aufgaben dieselben Plattformen und Tools verwenden müssen, da Sicherheitsteams über Tools verfügen, mit denen die Beschaffungsteams nicht interagieren müssen und umgekehrt. Aber diese beiden Prozesse werden natürlich von unterschiedlichen Teams durchgeführt, die unterschiedliche Tools und unterschiedliche Prozesse verwenden. Sie liefern unterschiedliche Risikobewertungen der Lieferanten an die Managementkette. Und genau damit habe ich ein Problem, nämlich dass die Informationen über das Risikoprofil eines Lieferanten an die Muttergesellschaft harmonisiert werden müssen. Wenn also das Beschaffungsteam eine Analyse der Lieferanten durchführt und das Sicherheitsteam eine Analyse der Lieferanten durchführt, sollte dies zu einem gemeinsamen Datensatz führen. Es kann nicht sein, dass das Sicherheitsteam der Meinung ist, dass Lieferant X von Natur aus risikobehaftet ist, das Beschaffungsteam aber denkt, dass alles in Ordnung ist, denn das verwirrt sowohl die internen Stakeholder als auch den Lieferanten, da das Beschaffungsteam sagt, dass alles in Ordnung ist, während das Sicherheitsteam der Meinung ist, dass es mit diesem Lieferanten tatsächlich ein kleines Problem gibt. So kommt es, dass dasselbe Unternehmen möglicherweise über zwei verschiedene Wege zum selben Lieferanten gelangt, ohne dass sich die beiden Seiten jemals begegnen. Das mag unverständlich klingen, und Sie denken vielleicht, dass so etwas nicht vorkommt. Ich sehe das ständig. Ich plädiere also dafür, dass wir eine einheitliche Sichtweise auf Lieferanten entwickeln, egal ob es sich um Dritte oder, wie wir heute diskutieren, um Vierte und Fünfte handelt. Das ist auch angesichts der Ressourcen- und Budgetprobleme, mit denen Unternehmen konfrontiert sind und die sowohl das Beschaffungsteam als auch das Sicherheitsteam betreffen, sehr wichtig. Es macht keinen Sinn, den Aufwand dafür zu verdoppeln. Es geht darum, wie wir diese Erfahrungen, die in der Organisation vorhanden sind, zusammenführen und nutzen können, denn wir alle versuchen, das gleiche Ergebnis zu erzielen, oder? Wir versuchen zu verstehen, wie riskant dieser Lieferant für uns ist, und wir versuchen, die Lieferanten besser zu verstehen und zu erkennen, ob sie möglicherweise ein Problem haben könnten. Sind sie gut in Sachen Sicherheit? Sind sie schlecht in Sachen Sicherheit? Ich denke, darauf läuft es im Grunde genommen hinaus, und wenn Sie diesen Lieferanten nutzen müssen, weil er eine Nische bedient, aber wenn etwas schief geht, wie wollen Sie dann die Geschäftskontinuität sicherstellen, damit Sie auf einen anderen Lieferanten ausweichen oder den Service, den Sie von Ihrer Muttergesellschaft erhalten, sichern können? Das sind alles wichtige Fragen, die meiner Meinung nach diese drei Teams klären müssen, also auf jeden Fall Ihr Sicherheitsteam und Ihr Beschaffungsteam, aber wenn Sie ein größeres Unternehmen sind, haben Sie wahrscheinlich auch ein Risikoteam. Es geht darum, diese Sichtweisen zusammenzuführen, um eine gemeinsame Perspektive für die Zukunft zu entwickeln. Alistister, wenn Sie bitte zur nächsten Folie übergehen könnten, werde ich dies kurz erläutern und Ihnen dann vorstellen, was ich derzeit beobachte. Es handelt sich dabei um größere Unternehmen in regulierten Branchen und tatsächlich auch um größere Unternehmen, die nicht reguliert sind. Meiner persönlichen Erfahrung mit meinen Kunden zufolge hinken diese Unternehmen etwas hinterher und versuchen, diesen Standpunkt nachzuholen. Ich sehe jedoch Unternehmen, die sich das Ziel gesetzt haben, ein effektives und ganzheitliches Risikomanagement zu erreichen. Sie haben bereits erkannt, dass es mehr als ein Team innerhalb des Unternehmens gibt, das zu dieser ganzheitlichen Sichtweise beitragen kann. Was ich meinen Kunden, mit denen ich spreche, auf jeden Fall empfehle, ist, dass sie sich mit dem Beschaffungsteam abstimmen, um die gemeinsamen Ziele zu identifizieren, die ganz klar zwischen den beiden Teams bestehen, und diese einheitliche Sichtweise auf den Lieferanten für den internen Gebrauch bereitzustellen, denn man möchte nicht, dass unterschiedliche und divergierende Botschaften die Lieferkette hinaufgehen. Dies ermöglicht natürlich interne Entscheidungen, bei denen bewertet und abgewogen wird, ob dieser Lieferant bleibt, ausgetauscht wird, mehr Aufträge erhält, weniger Aufträge erhält usw. All dies geschieht auf der Grundlage einer abgestimmten Risikoposition und nicht auf der Grundlage unterschiedlicher Datensätze. Alistister, haben Sie dazu noch etwas hinzuzufügen?
Alistair Parr: Ja, Brian. Nein, sehr interessant. Also noch einmal: Was wir im Rahmen dieser Divergenz häufig beobachten, ist die Tatsache, dass alle Teams sehr ähnliche Daten verwenden, aber der Detaillierungsgrad, den sie benötigen, variiert je nach Datensatz. Die Beschaffungsteams konzentrieren sich beispielsweise stärker auf Compliance-Aspekte, natürlich ESG, Anti-Korruption, moderne Sklaverei usw. Und dann gibt es das Sicherheitsteam, das sich natürlich mit mehr Informationen rund um die Cybersicherheit usw. befasst. Nun, sie greifen immer noch auf dieselben Quellen zurück, aber der Detaillierungsgrad, den jedes Team für seine jeweiligen Arbeitsabläufe benötigt, ist unterschiedlich, und das ist ein wichtiger Faktor für diese Divergenz, wie wir festgestellt haben. Aber etwas, das unserer Erfahrung nach sehr gut funktioniert und genau zu dem passt, was Sie über die gemeinsamen Ziele und die Abstimmung sagen, ist die Konvergenz beim Aufbau dieses zentralisierten Datensatzes, wobei jedoch jedem der jeweiligen Teams die Mittel und Mechanismen zur Verfügung gestellt werden, um genau den Detaillierungsgrad zu nutzen, den sie für ihre Geschäftsfunktion benötigen. Auf diese Weise haben sie nicht das Gefühl, dass sie sich durch Unmengen von Daten wühlen müssen, um das zu finden, was sie brauchen, und das ist eine echte Kunst. Das Problem, das derzeit viele Menschen zu lösen versuchen, besteht also darin, diesen Datensatz mit allen Mitteln zu konvergieren, aber dann auch den Menschen zu ermöglichen, aus diesem konvergierten Datensatz genau die richtigen Details zu extrahieren. Das ist also sehr interessant.
Brian Littlefair: Gut. Nein, ich stimme vollkommen zu. Okay, ich möchte Ihnen eine Folie zeigen, die ich auch Sicherheitsfachleuten zeige, damit Sie einen Eindruck davon bekommen, was ich den CESOs vermittle. Wissen Sie, ich bin Mentor für einige von ihnen. Ich halte Vorträge auf vielen Sicherheitskonferenzen und versuche, ein wenig zu provozieren und den Status quo in Frage zu stellen, damit wir tatsächlich Veränderungen vorantreiben und umsetzen können, denn aus Sicherheitsperspektive gibt es viele Dinge, die nicht so sind, wie sie sein sollten. Ich hoffe, Sie verstehen, was ich damit sagen will. Wenn wir uns einige der Hauptziele ansehen, die wir hier erreichen wollen, dann sollten das Beschaffungs- und das Sicherheitsteam Ihre neuen besten Freunde sein. Die Ziele, die ich aus der Beschaffungsfunktion in einem typischen großen multinationalen Unternehmen ableite, stimmen sehr gut mit denen der Sicherheitsfunktion überein. Man sieht, was sie tatsächlich versuchen zu erreichen und was sie tatsächlich vorantreiben wollen. Zum Beispiel möchte die Beschaffung, wie Sie alle wissen, schnell vorankommen. Sie kann es sich nicht leisten, diese geschäftliche Agilität durch langwierige Prozesse zu behindern. Das Risiko durch Dritte kann nicht zu den Entscheidungen gehören, deren Treffen zu lange dauert, aber tatsächlich ist es in vielen Unternehmen ein ziemlich schwerfälliger Prozess, und es kann unglaublich langsam sein, Informationen über das Risiko eines bestimmten Lieferanten zu finden. In vielen Fällen sehen wir, dass Transaktionen und Arbeitsabläufe zu den Lieferanten gehen, bevor die Bewertungsprozesse endgültig abgeschlossen sind.
Brian Littlefair: Wir nehmen also tatsächlich einen Lieferanten unter Vertrag, dessen Risiko wir nicht kennen, und wir sehen, dass einige Unternehmen 90, 100 oder 120 Tage brauchen, um diesen Entscheidungsprozess für einen bestimmten Lieferanten abzuschließen. Das hängt wirklich davon ab, wo Sie in Bezug auf Ihre Reife in diesem Bereich stehen und, wie ich bereits sagte, davon, ob Sieeinen auf Excel-Fragebögen basierenden Prozess verwenden oder in ein leistungsfähiges Tool investiert haben. Natürlich muss ich hier für Prevalent werben, weil es eine großartige Plattform ist, aber Sie wissen ja, dass sie nahezu in Echtzeit arbeitet und bereits mit vielen Informationen vorbelegt ist, die Sie ohnehin in Ihren Fragebögen wissen möchten, aber dann bringt sie auch noch diese offenenInformationen aus offenen Quellen, die Sicherheitsexperten anfordern, und die Bedrohungsanalyse, sodass Sie tatsächlich benachrichtigt werden, wenn einer Ihrer Lieferanten ein größeres Problem hat, und Sie gleichzeitig beginnen können, die Auswirkungen zu verstehen, sobald es in den Nachrichten erscheint. Ihre Excel-basierten Prozesse können das nicht leisten. Sie wissen also, was wir tun müssen: Wir müssen von einem sehr veralteten, langwierigen Prozess zu einem cloudbasierten, nahezu in Echtzeit arbeitenden Prozess übergehen, der in der Lage ist, diese Informationen über Lieferanten sehr, sehr schnell zu beschaffen. Was wir als Sicherheitsexperten nicht wollen, ist, die Beschaffungsteams zu verlangsamen. Wir wollen den Prozess nicht verlangsamen usw. Wir sind sehr an Tempo interessiert. Als Sicherheitsexperten sind Sie natürlich sehr daran interessiert, den Deal abzuschließen. Wir sind sehr daran interessiert, das Risiko dieses Deals zu analysieren und Daten zu erhalten, die Ihnen helfen, diese Informationen so schnell wie möglich zu erhalten. Was die Finanzsteuerung angeht, möchten Sie als Beschaffungsfachleute diese Ausgaben mit möglichst wenigen Lieferanten zentralisieren, weil Sie das natürlich zu Ihrem Vorteil nutzen können. Sie sind für diesen Lieferanten ein wichtiger Kunde, und das bedeutet, dass Sie je nach Größe des Unternehmens möglicherweise Einfluss auf die Produktrichtung nehmen können. Es geht also darum, diese Ausgaben auf möglichst wenige Bereiche zu konzentrieren. Sicherheitsexperten lieben das, nicht wahr? Komplexität ist der Feind der Sicherheit.
Brian Littlefair: Wenn etwas einfach ist, wenn es so wenige Akteure wie möglich im Spiel gibt, dann können wir ein Sicherheitsmodell entwerfen, das dies schützt. Wenn es sich jedoch um mehrere tausend Lieferanten handelt, die alle in eine sehr komplexe Welt eingebunden sind, dann kann man sich vorstellen, dass die Risikobewertung in diesem Bereich eine ziemliche Herausforderung sein kann. Die Konsolidierung der Lieferanten und die übergreifende Finanzkontrolle sind also ein weiterer wichtiger Faktor und ein Ziel, das wir alle teilen. Und dann ist da noch die globale Abdeckung. Was die Abdeckung und die geografische Lage angeht, gibt es immer Nuancen bei den Lieferanten. Eine der Herausforderungen, die ich bei großen globalen multinationalen Organisationen immer wieder sehe, ist, dass ein bestimmter Lieferant oder Anbieter für Großbritannien vielleicht nur ein kleiner Fisch ist, für das indische Geschäft aber eine große Rolle spielt. Wenn maneinen Excel-basierten Prozess verwenden, muss man diese Korrelation herstellen und tatsächlich verstehen, dass dieser Lieferant für uns hier zwar klein sein mag, wir aber wissen müssen, dass er für unser indisches Geschäft tatsächlich riesig ist, und sicherstellen können, dass er richtig bewertet wird, dass das richtige Risiko usw. für ihn ermittelt wird, damit wir alle global arbeiten können. Das Sicherheitsteam möchte über jeden Lieferanten Bescheid wissen. Es soll keine Lücken geben. Sie wollen in der Lage sein, sie auseinanderzunehmen und zu verstehen, wissen Sie, alle, die liefern, wissen Sie, von den großen Rechenzentren bis hin zu den Leuten, die die Toilettenpapierrollen für die Badezimmer liefern. Wir verbringen vielleicht nicht so viel Zeit mit jedem dieser Lieferanten, weil sie ein unterschiedliches Risikoprofil aufweisen, aber wir wollen über jeden einzelnen von ihnen Bescheid wissen. Wir teilen also das gemeinsame Ziel, dass wir einen globalen Ansatz wollen. Wir wollen darüber Bescheid wissen. Das ist also ein weiterer wichtiger Punkt, der uns verbindet. Und dann ist da noch der gesamte Bereich des Wissensaustauschs. Teilen ist für Sicherheitsexperten ein schwieriges Wort, weil wir gerne denken, dass wir an etwas wirklich Geheimem arbeiten und es nicht teilen können usw. Ich denke, wir kommen etwas spät zum Thema Teilen, aber Sie wissen sicherlich, dass Beschaffungsexperten schon viel länger damit zu tun haben als die Sicherheitsexperten und dass Sie schon viel länger mit Lieferanten zusammenarbeiten als die Sicherheitsexperten.
Brian Littlefair: Ihr habt also viel wertvolles Wissen, das ihr mit euren Kollegen aus dem Sicherheitsbereich teilen könnt. Ihr habt diese Einblicke. Ihr habt eure Interessengemeinschaften wie SIG sehr fest etabliert, die sich mit Wissensaustausch, Zusammenarbeit, Teilen, Best Practices und all den Dingen befassen, aus denen ihr dieses Wissen schöpft, das auch für die Sicherheitsteams sehr wertvoll ist. Und das andere, was ich hervorheben möchte, ist die Risikominderung. Natürlich betrachte ich Sicherheit als Risiko. Man könnte euch leicht als Chief Risk Officer bezeichnen, und wir sehen natürlich viele Trends, bei denen die Sicherheitsteams an den CRO und auch an die Risikofunktion berichten. Bei der Sicherheit geht es vor allem um das Management von Risiken. Ihr habt eine Wippe vor euch. Je nach den Kontrollen, der Technologie oder den Mitarbeitern, die ihr beschäftigt, entscheidet ihr euch für die eine oder andere Seite, aber letztendlich versucht ihr, auf der richtigen Seite dieser Risikodiskussion zu stehen. Wissen Sie, die Beschaffung ist nicht nur dazu da, den niedrigsten Preis zu erzielen. Sie kennen das alte Mantra: Wer billig kauft, kauft zweimal. Wissen Sie, Risiken spielen auch eine wirklich wichtige Rolle dabei, Ihre Ziele zu erreichen. Wir können uns also auf diese Risikoergebnisse einigen. Was sind Ihre Ziele in Bezug auf Risiken? Hier sind unsere Ziele in Bezug auf Risiken. Wir können diese Erwartungen in die Ausschreibungsprozesse usw. einfließen lassen. Und wir können diese Sichtweisen von unseren Lieferanten zurückerhalten und sie in unsere Unternehmensrisikokanäle einspeisen, wodurch wir eine viel umfassendere Sicht auf die Lieferanten erhalten, mit denen wir tatsächlich zusammenarbeiten. Dann kommt es auf die Qualitätsprozesse und -verfahren an. Jede Beschaffungsfunktion, die ich in einem größeren Unternehmen gesehen habe, ist sehr streng organisiert. Innerhalb der Beschaffung gibt es eine Menge Verantwortlichkeiten. Sie wissen ja, dass in der Regel alle globalen Ausgaben unter ihrer Zuständigkeit zentralisiert sind. Daher ist es wirklich sinnvoll, unsere Sicherheitsanforderungen als Sicherheitsexperten in diesen Prozess einzubinden. Sie wissen ja, dass Sie sehr streng organisiert sind.
Brian Littlefair: Wissen Sie, die Prozesse und Verfahren, die Sie befolgen, die Erwartungen, die Sie an die Lieferanten haben, mit denen Sie zusammenarbeiten – es ist bewährte Praxis, nicht Tausende, sondern nur die grundlegenden Sicherheitsmaßnahmen einzuführen, deren Einhaltung wir von unseren Lieferanten erwarten, damit sie von vornherein wissen, dass dieses Unternehmen Sicherheit ernst nimmt. Wenn wir mit diesem Unternehmen zusammenarbeiten, wird von uns erwartet, dass wir die Sicherheit ordnungsgemäß gewährleisten. Sie erkennen, dass der Lieferant ein Risiko für sie darstellt, und sie wollen sicherstellen, dass die richtigen Maßnahmen ergriffen werden. Daher halte ich die Zusammenarbeit in diesem Bereich sowohl aus Sicherheits- als auch aus Beschaffungssicht für sehr wichtig. Ich denke, es gibt erhebliche Vorteile, wenn der Chief Procurement Officer und der Chief Security Officer sowie die ihnen unterstellten Teams und dann die Mitarbeiter, die tatsächlich vor Ort die tägliche Arbeit verrichten, diese Synergie erkennen und beginnen, viel besser zusammenzuarbeiten, als ich es derzeit täglich beobachte. Möchten Sie noch etwas hinzufügen?
Alistair Parr: Ja, diese Folie gefällt mir sehr gut. Danke, Brian. Es gibt ein paar Dinge, über die ich immer nachdenke, wenn ich diese Folie sehe und von den Synergien höre, auf die Sie sich beziehen: Die Beschaffung hat die beneidenswerte Position, in der Regel mit IRES verhandeln zu können, und wenn man später zu den Informationssicherheitsteams kommt, ist es in gewisser Weise eine Auswahl nach Vertragsabschluss, und man muss Aufholarbeit leisten, wenn man von der Beschaffung eine Liste mit Drittanbietern erhält, mit denen man sich befassen muss. Es ist also von unschätzbarem Wert, diesen Zugang, diese Interaktion und diese Synergie mit der Beschaffung an vorderster Front der Vertragsverhandlungen und -abschlüsse zu haben. Alle besten Programme, die wir gesehen haben, nutzen natürlich alles, was Sie auf der Folie sehen, aber auch diese Einbindung in die Vertragsdefinitionsphase, um sicherzustellen, dass Informationen im Vordergrund stehen und eine wichtige vertragliche Verpflichtung als Teil aller Verhandlungen sind, und das ist sehr, sehr wertvoll. Das andere
Brian Littlefair: Entschuldigung. Alistair Parr: Nein. Brian Littlefair: Ich wollte nur zu diesem vertraglichen Punkt sagen, dass ich viele Unternehmen kenne, bei denen das derzeit nicht der Fall ist, und die offensichtlich versuchen, dies nachträglich in ihre Verträge aufzunehmen, aber das ist ja nicht das Ende der Welt, aber man muss berücksichtigen, dass bei der Vertragsverlängerung mit diesem Kunden diese Kontrollen ebenfalls eingebaut werden müssen, aber leider gibt es leider gibt es so viele Verträge, in denen die Sicherheitsanforderungen nicht enthalten sind, und das ist im Moment ein gewisses Risiko, oder?
Alistair Parr: Auf jeden Fall. Und was ich noch hinzufügen möchte, ist der Kontext, den Sie in dieser Folie ebenfalls angesprochen haben: den Kontext, den man durch diesen Beschaffungsprozess erfassen kann, das Verständnis dafür, warum wir einen Lieferanten nutzen, was der Vorteil ist, wenn wir für ein bestimmtes Gebiet wie Indien, APAC usw. einkaufen, wie Sie hervorgehoben haben. All dies sind nützliche Informationen, die zu einer effektiven kontextbezogenen Interpretation der nachgelagerten Risiken beitragen. Es ist also ein sehr wertvolles Instrument aus dieser Synergie, sicherzustellen, dass wir diese Informationen im Voraus erfassen können.
Brian Littlefair: Yeah. Yeah. Okay. So moving on to the next slide. Let me let me talk about three of the common mistakes that I see materializing in in reality. And you know I’ve got a slide on each of these. So I’m just going to you know highlight them and then we’ll kind of move on. But the first one is what I call the security silo. And you know security teams need the procurement teams and other teams within organization to to break out of this silo. You know, I I don’t support the security silo at all. If your security team is sitting behind speed gates or, you know, big glass windows and they’re not contactable or approachable by the broader organization, that is absolutely the wrong thing to be doing. You know, the security teams need to be outside of the sub gates and need to be embedded into the broader functions. And we’ll talk about that in in a little minute. And then there’s the, you know, the not invented here approach, you know, security didn’t think about it. It’s not the right thing to do. So, I do see this presenting a lot and this is where I like to challenge security teams and be a little bit provocative as well. You know, they’re not tapping into and leveraging that broader talent like procurement that exists in the broader area of the business. But that that is to detriment of the company and that needs to be resolved as well. And then there’s you know using security reasons for keeping other relevant stakeholders off security tools and you know there are some fairly sensitive security tools. You know there’s tools that can read everyone’s email if you’ve got the right access and permissions to do it. So, you can’t share all of the security tools, but you know, third party risk is something that should be shared around the organization and we the security teams need to get comfortable with with doing that as well. So, let’s spend a little bit of time on these points. Uh so, if you move on to the next slide, um I personally think the power of an effective third party risk program is is knowledge sharing and dissemination out into the business. business and you know there’s there’s two things I advocate for this there’s the third party risk and then there’s the threat intelligence you know if you’ve got the these really enriched data sets and really important to the broader business but they’re kept within a single team you know the value is is really eroded you know it’s not like it’s if you think about some of these organizations that have been hacked they’ve had the right security tool in place and all of the lights and bells might be going off but if there’s no one actually there to to drive that information into the organization then there’s going to be problems. So this information is gleaned, it’s analyzed, it’s segmented, it’s categorized, you know, it’s related back to the business. So it needs to be shared. So I am a huge advocate of of embedding security into the business and you know third party risk is a great examplar process to actually achieve this working with procurement and working with others whether it’s the risk function or or the broader business and in actually embedding your team into their facility. So you know procurement sometimes certainly in Europe might be centralized in in some countries that have a lower tax bracket for example. So you might find that your entire procurement function is in Ireland or your entire procurement function is in Luxembourg regardless of where you are and and actually there’s a fair few US companies based there as well. It’s not just us Europeans that do that. But what that actually means is you might have a procurement function that’s separate to the mothership and you know you’ve still got to tap into that. It’s it’s no use just communicating over email and trying to forge relationships over video conference etc. So I see the more mature approach is is recognizing that the business has made a decision to base the the main body of its procurement function in that in that area or even in the US you know it might be in a different state or it might be somewhere else etc. But then the security team needs to base people with those people you know if we’re talking about collaboration if we’re talking about sharing if we’re talking about objectives. Then when the security team is recruiting, it needs to recognize that some of its team that are specializing in this area needs to be colllocated wherever the the you know the procurement function is. So it’s about knocking down the walls whether physical or virtual that exist between the teams and actually linking them together in the same location so that they can build those interpersonal relationships. They can share the information that is you know vital between the two areas and actually start to build a common objective. pool going forward. So, you know, break down the silo, integrate, and embed. That’s certainly what I’m saying. Alistister, anything to to add on that one?
Alistair Parr: Nein, ich finde, das trifft es genau. Danke. Brian Littlefair: Cool. Gut. Also, weiter zum nächsten Punkt. Ähm, wissen Sie, dieser Punkt gefällt mir wirklich gut. Sicherheitsteams müssen sich unbedingt bewusst machen, dass sie nur ein Teil des Gesamtpuzzles rund um Risiken und Governance sind. Allzu oft glauben Sicherheitsteams, sie seien das A und O und hätten den vollständigen Überblick über alle Risiken. Das ist absolut nicht wahr, und man muss sich nur das oberste Risikoregister einer Organisation ansehen, in dem in der Regel 10 bis 12 strategische Risiken aufgeführt sind, die das Unternehmen absolut zu Fall bringen können, und das ist je nach Organisation, IT-Sektor usw. unterschiedlich. Es ist also völlig unterschiedlich, und es ist ziemlich üblich, dass zwei oder vielleicht drei Sicherheitsaspekte in diesem Risikoregister aufgeführt sind, aber es umfasst sicherlich nicht alle. Risiken sind also mehr als nur eine Angelegenheit des Sicherheitsteams, und es gibt einige andere sehr wichtige Akteure innerhalb der typischen Organisationsstruktur, die wir sehen. Wenn wir diese nicht nutzen und ihr Fachwissen und ihre Kenntnisse nicht einsetzen, dann haben wir meiner Meinung nach einfach keine ganzheitliche Sicht auf die Risiken, die wir alle zu erreichen versuchen.So einfach ist das. Die Kraft der Zusammenarbeit und des Wissensaustauschs geht über unsere internen Tools für die Zusammenarbeit hinaus. Das kann man nicht über Link und Zoom erreichen, egal welches Tool für die Zusammenarbeit man intern verwendet. Aber diese Beziehungen zu formalisieren, diese gemeinsamen Ansätze zu formalisieren und sie tatsächlich in Geschäftsprozesse einzubetten, ist sicherlich das, was ich zu erreichen versuche. Als ich Global Chief Information Security Officer war und mich mit meinen Kollegen aus den Beschaffungsteams zusammengesetzt habe, habe ich festgestellt, dass es erhebliche Überschneidungen gibt, als wir unsere verschiedenen Aufgabenbereiche untersucht haben. Tatsächlich können Beschaffungsteams die Arbeit des CISO erheblich erleichtern. Wie wir gerade besprochen haben, kann man vorschreiben, dass es innerhalb der Prozesse, die man durchführt, bestimmte Phasen gibt, die eine Art Sicherheitsfreigabe erfordern, um fortfahren zu können, weil man weiß, dass die Sicherheitsteams bei der Bekämpfung von Geldwäsche helfen können. Sie können herausfinden, wem Unternehmen tatsächlich gehören, und die Due Diligence und Akquisitionen durchführen, und das sind alles Dinge, bei denen wir zusammenarbeiten und an denen wir gemeinsam arbeiten können. Aber aus Sicht der Lieferanten ist es wichtig, dass diese Bewertungen und Risikobewertungen sehr schnell durchgeführt werden. Wir haben beide dasselbe Ziel. Was ich letztendlich sagen möchte, ist, dass wir alle die Bereiche innerhalb Ihres individuellen Unternehmens identifizieren müssen, die sowohl den Beschaffungs- als auch den Sicherheitsprozess ergänzen können, den wir beide so schnell, sauber und effizient wie möglich vorantreiben wollen. Und eigentlich können Sie nur dann alle Puzzleteile zusammenfügen, um aus Risikosicht das vollständige Bild innerhalb Ihrer Organisation zu erhalten.
Brian Littlefair: Okay, Alistister. Und wenn Sie einfach weitermachen, schaffen Sie eine zentrale Übersicht. Ich nenne das den Heiligen Gral. Aus organisatorischer Sicht ist das das Ziel, das viele Menschen anstreben, aber nur wenige erreichen. Ich sehe viele neue Tools in Unternehmen Einzug halten, aber ich sehe nicht, dass viele alte Tools verschwinden. Letztendlich tragen wir also zu dieser Komplexität bei, und ich denke, was wir tun müssen, ist, als Beschaffungsrisikomanagement und Sicherheitsfunktion zusammenzuarbeiten und tatsächlich zu entscheiden, wie wir zu dieser zentralen Übersicht gelangen können, die, die uns den richtigen Fokus auf die Erreichung dieses gemeinsamen strategischen Ziels gibt, um diese einheitliche Risikoperspektive auf einen Lieferanten zu erhalten. Das ist sicherlich machbar, und ich denke, die Vorteile liegen auf der Hand. Ich habe gesehen, dass es sehr gut gemacht wurde, aber ich habe auch gesehen, dass es sehr schlecht gemacht wurde. Aber Sie wissen, dass das Unternehmen von beiden Teams eine sehr klare Leitlinie braucht, mit wem sie zusammenarbeiten können und mit wem nicht. Die Sicherheit ist einer der wichtigsten Akteure. Die Beschaffung ist einer der wichtigsten Akteure, aber es gibt noch einige andere, die ebenfalls einbezogen werden sollten. Und ich denke, dass dieser gemeinsame Wissenspool, dieser Data Lake, wenn man so will – wir sind es gewohnt, in der IT und Technologie von Data Lakes zu sprechen, aber dies ist ein Knowledge Lake, wenn man so will, unabhängig davon, wie Sie es intern nennen und welche Abkürzungen Sie verwenden –, dassversuchen wir tatsächlich zu erreichen, und dann besteht die Herausforderung darin, dass es möglicherweise viele verschiedene Tools gibt, die zum Einsatz kommen. Sicherheitstools werden nicht alle Ziele des Beschaffungsteams erfüllen, und die Beschaffungstechnologie wird nicht alle Ziele des Sicherheitsteams erfüllen, aber die zugrunde liegenden Risikodaten werden, wie ich bereits gesagt habe, als Plattform für Geschäftsentscheidungen verwendet, also müssen wir diese gemeinsame Sichtweise, diese gemeinsame Perspektive erreichen, und ich denke,in vielen Unternehmen fehlt. Ich bin mir sicher, dass einige von Ihnen, die an diesem Gespräch teilnehmen, wenn Sie einmal über Ihr eigenes Unternehmen nachdenken und aus der Perspektive der Beschaffung überlegen, ob wir eine vollständig abgestimmte Sichtweise mit unseren Sicherheitsfunktionen hinsichtlich des Risikos einzelner Lieferanten haben, und ich kann mir vorstellen, dass einige von Ihnen dies bejahen und andere verneinen, aber diejenigen von Ihnen, diemüssen mit diesem Wandel beginnen, um zu verstehen, wie Sie das tatsächlich erreichen können. Wenn wir uns dann die nächste Folie ansehen, wissen Sie, dass die Abstimmung von Kennzahlen und Berichterstattung immer absolut wichtig ist. So kommunizieren und verbreiten wir Wissen an das gesamte Unternehmen und die relevanten Stakeholder. Ich bezeichne sie gerne als aussagekräftige Kennzahlen, und ich halte sie hier für wirklich wichtig, insbesondere in Sicherheitsfunktionen. Ich bin zwar weniger vertraut mit allen Kennzahlen, die aus einer Beschaffungsfunktion hervorgehen, aber Sicherheitsfunktionen verfolgen einen typischen Ansatz, um sehr komplexe, sehr technische Kennzahlen zu erstellen. Man muss fast schon ein Sicherheitsexperte sein, um zu beurteilen, ob diese Kennzahl steigen oder fallen sollte, ob sie nach links oder rechts gehen sollte, ob grün gut oder schlecht ist usw. Wir müssen also die Komplexität aus den Botschaften entfernen, die wir an das Unternehmen senden. Ich denke, Sie kennen sowohl die Beschaffung als auch das Risiko durch Dritte. Wenn man alles auf den Punkt bringt, was beide Teams tatsächlich tun, bleibt nur noch das Lieferantenleistungsmanagement und die Risikominderung übrig, worauf wir auf der nächsten Folie eingehen werden. Das sind so ziemlich einzelne Kennzahlen. Sie wissen, dass dahinter eine Menge Daten stecken, aber es sind tatsächlich sehr klare Kennzahlen, die in das Unternehmen einfließen, und auf einen Blick können Sie tatsächlich sehen, ob esProbleme gibt und man vielleicht tiefer einsteigen möchte, aber es geht eigentlich darum, zu verstehen, wie wir diese Botschaft aus Sicht der Kennzahlen vereinfachen und verdeutlichen können, und ich denke, Sie wissen, dass wir uns gemeinsam und kooperativ darauf konzentrieren sollten, diese sehr hochwertigen Erkenntnisse zu liefern, wo immer dies möglich ist, indem wir die gleichen Tools wie beispielsweise Prevalent verwenden, die wirklich bei der Analyse und der Auswertung von Zahlen helfen und einen sehr klaren Überblick darüber geben, ob sich das Risikoprofil dieses Lieferantensich das Bedrohungsprofil dieses Lieferanten geändert hat, müssen Sie sich das ansehen, und auch hier können Excel-Tabellen Ihnen nicht wirklich helfen, das ist also auch sehr wichtig. Alistister, möchten Sie noch etwas zu den Kennzahlen hinzufügen?
Alistair Parr: Ja, das ist sicherlich interessant, denn es knüpft an einige Ihrer früheren Beobachtungen an, nämlich dass die Herausforderung bei einigen dieser Kennzahlen darin besteht, dass wir versuchen, qualitativ hochwertige Daten von Drittanbietern in großem Umfang zu erhalten, und das ist sehr schwierig, da es keine überdimensionierten Beschaffungsteams oder Infoset-Teams gibt. Der Versuch, diese qualitativ hochwertige Datenmenge zu erhalten, wird daher von einem kontextbezogenen und angemessenen Risikomanagement bestimmt, das sicherstellt, dass Sie über die gesamte Lieferkette hinweg die erforderliche Breite und Tiefe haben. Das ist sehr problematisch. Ich finde es immer sehr interessant, wenn Leute über Kennzahlen und Berichterstattung im Allgemeinen sprechen und auch darüber, dass man ohne die von Ihnen zuvor erwähnte zentrale Übersicht keine kohärente und einheitliche Sicht auf die Daten von Drittanbietern erhalten kann. Nur mit dieser zentralen Übersicht und der Synchronität zwischen Beschaffung und Infoset verfügt man über alle notwendigen Fakten, um Entscheidungen zu treffen und damit natürlich auch Risiken zu reduzieren.
Brian Littlefair: Yeah, it’s very interesting. Brian Littlefair: I completely agree. So like as you just said reduce risk. So you know the next slide you know it’s all about reducing risk. I mean that’s fundamentally what you know I think security teams and procurement team shares you know you’re trying to derisk the supply chain we’re trying to derisk the supply chain. The you know some of the metrics and drivers and tools that we use in terms of you’re trying to leverage costs we’re trying to leverage security. So we recognize that There are differences but reducing risk is obviously the priority that we share between the two teams and and risk is the universal business language across all the departments. You know risk exists in HR, sales, finance at some level we’re all accountable for managing risk. So in this context of you know third party risk and procurement some of the key areas I’ve kind of pulled out that we should focus on and mapped out on this slide and I’m not going to go through all of them because there’s a lot of them but you know I’ll highlight a few. So mapping the global supply chain. I can’t emphasize this enough. We’ve discussed on it a little bit. But as a procurement function, I imagine you share the view of a security professional that is, you know, you want to understand where every dollar, every pound, every euro from your organization is being spent and whether you’re getting maximum benefit from that cost. I.e. do you centralize that cost down on a on a few suppliers to get that better leverage. From a security perspective, it’s really critical that we know every single supplier that you know, connected to our company from a financial perspective, a logical perspective or a physical perspective. Have they got staff coming into our our premises, etc. You know, a security professional needs to know all of that things to discharge their accountability and and fundamentally to do their job well. So, we need to know about everyone. That’s really, really important. It needs to be ongoing and it needs to be real time. And you know, that real time perspective is where organizations struggle. And I imagine if Some of you on the call went back to your companies and said, “Look, if we pick a particular supplier and we focus on them, you know, how near real time are we on changes, fundamental changes within their organization that might impact the security or the relationship with us?” You know, do we find out about it quickly? Do we find out about it in, you know, a monthly touch point? Do we find out about it at a quarterly business review? Do we find out about it every six months? Do we find out about it annually? And obviously that’s going to change depending on the importance of that supplier to you because you can’t sit down with every supplier every month. So it depends on the criticality of that organization to you. But the game changer are tools like prevalent that you know already have this information mapped within their platform. They can present that back to you. You don’t have to go and hunt it. You don’t have to come and find it. It comes through as alert to the right people within the right teams and actually saying, “Hey, something’s shifted. You need to take a look at this and understand the potential impact on on you and your organization going forward. And I think that’s that is the drastic shift from security teams and procurement teams having to go out to factf find to the facts coming in to you and your organization. So that time lag and that delay is drastically reduced. The risk window is reduced. So you know moving your processes forward and maturing them as the organization matures in general but focusing on getting as near real time as possible so that we both functions and teams have that near a real-time view of the risk going forward. So that’s really really important. We all need to be able to react to global events. You know, there’s been a few events recently which you know have really impacted some things. Think about the Suez Canal being blocked. Think about there was a shortage in in microchip supplies in coming out of China and and and Japan and Korea where typically they’re produced. There’s obviously been a large impact on suppliers in different geographies due to the COVID pandemic etc. So and certainly over in Europe we’re having issues in in in the UK at the moment with some of our typical products that we’d expect to see on our supermarket shelves like beer are noticeably absent because you know we haven’t got enough truck drivers because we’ve decided to reduce the number of people that can come into our country from Europe. So all of these things have an impact on some organizations depending on the sector that you’re in. But how effectively have they been planned out? How effectively have you, you know, worked through of how the likelihood of this occurring? ing and you know how do you mitigate that risk or deviate that risk how do you keep having those business continuity discussions so the focus in my opinion has to be even though I’ve mentioned it hundreds of times in this thing is is move away from supplier and move towards partner getting those strategic relationships in place with your key I’m going to say it again suppliers but you know getting into that you know we understand you you understand us you know you’re critically important to us we need to understand what’s going on within your business and anything that potentially might impact that. So, it’s getting that very close-knit community with your with your supply chain is the ultimate goal. And obviously in a large global organization, you can’t do that with all of your suppliers, but you certainly can with your strategic partners. Alistister, anything to add on that one?
Alistair Parr: Ja, Sie haben etwas gesagt, das mich sehr angesprochen hat, nämlich dass ein angemessenes Risikomanagement und angemessene Ausgaben untrennbar miteinander verbunden sind und Hand in Hand gehen. Das sehen wir sicherlich immer, auch wenn wir das Beispiel des Konzentrationsrisikos nehmen. Aus Risikosicht kann man natürlich anhand globaler Ereignisse usw. potenzielle Risiken und Auswirkungen erkennen, was sehr, sehr aussagekräftig ist, aber ebenso aus Sicht der Ausgaben und der Analyse kann man durch Konzentration Risikominderungen erzielen usw. Sie sind aufeinander abgestimmt, aber es gibt bestimmte Situationen, in denen sie sich nicht unbedingt ergänzen. Es ist also immer interessant zu sehen, wo Unternehmen diesen gesunden Mittelweg zwischen Kostensenkung durch Erhöhung der Ausgaben und dem Ausgleich des Konzentrationsrisikos finden. Es ist also ein interessantes Thema.
Brian Littlefair: Good. So, I have a slide here that I just used to wrap up, but you know, I’ve I’ve I’ve summarized enough on the the last few slides, I think, and I want to move on to to Alistister to give you a quick overview of, you know, the the prevalent platform. So, Alistister, over to you. Alistair Parr: Thank you very much, Brian. So, we’ve obviously talked about a lot of interesting things today, and it’s been very insightful for me, Brian. Thank you for that. But the way prevalent approaches and addresses these particular issues is that we we understand that there needs to be this cohesion between the respective teams and that third party risk management is a broader life cycle. So as you see the very very start there where you’ve got the sourcing and selection process intaking on a boarding process where you have procurement driving some of these these actions and then starts feeding into the ongoing risk management lenses inherent risk management assessing remediate ongoing monitoring data over points in time conducting validation exercises uh and then through to broader performance management of third parties, measuring SLAs’s etc. and then finally offboarding at the end of contract term. There’s a full life cycle of third party risk management and broad broadly speaking third party management that has multiple parties with an invested sense of what they have to do. And the way that prevent likes to approach this is we tend to split it between people, technology and processes to help drive that moving forwards. So using the core technology itself, the prevent platform, the SAS platform itself, we can accelerate streamline, as you rightly highlighted, Brian, whether you have those efficiencies by leveraging and tapping into intelligence networks, whether that’s pre-completed assessments or broader monitoring feeds and data to help you select and source up front through to the detailed focused uh risk management platform where you can use some of this monitoring insights in conjunction with assessments to drive remediation, track and audit any validations that you’ve been doing, track SLAs, etc., and provide that single pane of glass and that really becomes the backbone of a good effective program having something that can support and facilitate that entire life cycle. Of course, people need support in order to do that in order to drive it whether it’s internally through your own teams or of course we can support you using our managed service teams. So that’s a case of collecting data on boarding conducting analysis driving risk remediation and doing validation exercises. There’s a host of teams available there who are doing it at scale. So dealing with vendors globally across the board and understanding the nuances and with those we can certainly offset and support you in driving some of the challenges that you face for even a subset of those areas. Now a good program we see obviously incorporates program management program design. So something that we’re strongly focused on is that professional services element to understand how mature is the program from a procurement lens from an infosc lens helping define and refine that building things like third party policies which is something that’s interestingly often overlooked and involves multiple parties procurement in legal etc in that workflow through to optimizing whatever’s in place uh and then driving success through that and making sure it’s a a truly cohesive program end to end. So when we actually look at that as in who’s actually getting some tangible benefits from this uh the life cycle itself has multiple participants as I said you know you’ve got the uh you’ve got the business itself you’ve got procurement you’ve got IT SEC uh risk vendor management legal compliance. There’s multiple teams who are have a vested interest in making this all work. And the workflow that we follow is focused on trying to provide benefits to each of those. So they have a vested interest in driving that program. It’s about offering them something of value so that they interact and then drive that process forward. And then finally, when we actually start looking at what the prevalent TPRM process is, it’s fundamentally smart, unified, and prescriptive. We try and prioritize risk in the right way. We try and make the information that we collect contextual and comprehensive enough so that each team has some advantage and value and then ultimately make it prescriptive so we could be consistent with our risk ratings. So we could be consistent with our remediation plans and our workflows. Uh the platform itself and the methodologies we follow means that we want to try and take the the quality that we’re building in these silos of teams making it a single pane of glass and making it repeatable. So as people move around and situations change we can be consistent in our tracking methodologies. So, we have a couple of minutes left, so we’ll just take a a few questions. If you do have any questions, please feel free to ask away in the Q&A section. Uh, but I do have one question that’s coming through and I’ll present it to you, Brian, if if I may. So, the first question I’ve got here is CPOS and CRO’s, how do we actually get them to talk to one another?
Brian Littlefair: Ja, ich meine, das ist eine seltsame Frage, nicht wahr? Denn man unterhält sich, trinkt einen Kaffee, greift zum Telefon und so weiter, aber in großen Organisationen kommt das nicht vor, und es kommt nicht so oft vor, wie es eigentlich sollte. Aber ich hoffe, dass ich heute ein wenig verdeutlichen konnte, dass Risiko zwar die gemeinsame Sprache ist, es aber auch viele gemeinsame Ziele gibt, die beide Teams verfolgen, und ich glaube nicht, dass einige Sicherheitsleute, mit denen ich gesprochen habe, das sofort erkennen. Also heben wir das hervor und sagen: „Schaut mal, wir haben viel gemeinsam, wir haben viele gemeinsame Ziele, wir versuchen beide, dasselbe zu erreichen, lasst uns darüber reden.“ Aber ich habe gesehen, dass Unternehmen den Weg der gemeinsamen Ziele zwischen gemeinsamen Bereichen gehen. Vielleicht haben der CISO und der Chief Procurement Officer ja ein gemeinsames Ziel. Manchmal sind Menschen durch Bonuszahlungen oder die Leistung am Jahresende motiviert. Ich persönlich bin kein großer Fan davon, weil ich denke, dass die Beteiligten alle erwachsen sind. Wir sollten erkennen, dass wir zusammenarbeiten müssen, um effektive Ergebnisse für unser Unternehmen, aber auch für unsere Kunden und Lieferanten zu erzielen. Hoffentlich gab es heute ein paar Anregungen, die für die Aufnahme dieser Gespräche mit der Sicherheitsabteilung genutzt werden können. Und hoffentlich sind sie dafür empfänglich. Richtig. Also,
Moderator: Ja. Also, Brian, dann kam eine der Fragen herein. Sie sagten: „Wir haben einen CISO, also einen Chief Information Security Officer. Wir haben eine Risikoorganisation, und dennoch sagt die Beschaffungsabteilung, dass sie für Risiken durch Dritte verantwortlich ist. Wie passen diese drei Bereiche zusammen?“ Brian Littlefair: Ja, ich meine, in vielen Unternehmen spielt es meiner Meinung nach keine Rolle, wo die Funktion für Risiken durch Dritte tatsächlich angesiedelt ist, sondern es geht um dieses Dreieck. Diese drei Akteure bleiben dieselben. In einigen Organisationen ist der CISO für Risiken durch Dritte verantwortlich, in anderen der Chief Procurement Officer, in wieder anderen der CRO, und ich sehe diese Mischung häufig, aber das Dreieck bleibt dasselbe, oder? Es war auf meiner zweiten oder dritten Folie: Beschaffung, Sicherheit und Risiko. Die gleichen Gespräche müssen geführt werden, je nachdem, wer tatsächlich für die Umsetzung des Programms verantwortlich ist, richtig? Aber ich denke, sicherlich aus der Perspektive der Beschaffung. Wenn Sie für das Risiko durch Dritte verantwortlich sind, dann ist es umso wichtiger, diese anderen Personen und diesen Wissenspool zu nutzen, um sicherzustellen, dass Sie das richtige Ergebnis erzielen. Richtig.
Moderator: Gut. Dann haben wir noch Zeit für eine kurze Frage. Die Frage lautet: Glauben Sie, dass CISO CROs das Gefühl haben, dass sie strengeren Leistungsanforderungen unterliegen als CPOs? Könnte dies ein Faktor sein, der dazu führt, dass die Risikoseite leider distanziert und unkooperativ bleibt? Brian Littlefair: Ja. Nein, ich glaube definitiv, dass das in einigen Organisationen der Fall sein könnte, aber ich denke, man muss diese Barrieren und Mauern einreißen. Als ich meine erste CISO-Position antrat, hatte ich ein wirklich schönes, großes Büro mit Glaswänden, und mein Business Manager saß draußen, und dann gab es noch eine Schnellschleuse, die nur das Sicherheitsteam passieren konnte. Die Leute mussten also über ein Ticket-System oder per Telefon oder E-Mail mit mir kommunizieren und so weiter. Das erste, was ich tat, war, die Schnellschleusen abzureißen und alle aus ihren Büros zu holen. Ich bin ein großer Fan von Zusammenarbeit und Hoffnung, und ich sehe diese Veränderung bei den Sicherheitsexperten und in der Branche positiv. Aber viele Sicherheitsleute kommen aus dem Militär, viele kommen aus der Polizei und haben einen ähnlichen Hintergrund. Mit ihnen zusammenzuarbeiten und ihnen zu helfen, diese Qualitäten zu entfalten, ist meiner Meinung nach der Rat, den ich geben würde. Richtig. Also,
Moderator: Okay, unsere Zeit ist leider um, aber Brian, wir haben eine Anfrage erhalten, ob Sie sich klonen könnten. Wir hätten gerne einen von Ihnen hier bei uns, der uns jederzeit zur Verfügung steht. Brian Littlefair: Ja, okay, kein Problem. Gerne. Moderator: Also, Alistister und Brian, ich möchte Ihnen beiden für diese wunderbare Power Hour heute danken. Ich liebe dieses Thema. Ich bin begeistert von ihrem hübschen Handgelenk. Ich kann Prevalent nicht genug dafür danken, dass sie sowohl die großartigen Redner als auch die Inhalte bereitgestellt haben, und ich möchte Ihnen allen danken. Vielen Dank an Sie alle für Ihre Teilnahme. Wir werden einen Link zum heutigen Webinar verschicken. Er enthält alle Folien und die Aufzeichnung, die Sie in Ihrem Unternehmen weitergeben können, und wird außerdem für die nächsten zwei Jahre im SIG-Ressourcenzentrum gespeichert. Ihr könnt also jederzeit euer Team zum SIG-Ressourcenzentrum schicken, um es herunterzuladen und erneut anzusehen. In der Zwischenzeit, Brian, weiß ich, dass es für dich und Alistister schon spät ist. Ich wünsche euch einen schönen Abend. Den Rest von euch wünsche ich einen schönen Morgen oder Nachmittag. Alistar und Brian sind Genies. Das ist auch deutlich geworden. Das ist also eine gute Gelegenheit für euch, euch jetzt auf den Weg zu machen, vielleicht irgendwo ein Bier zu trinken und euch zu entspannen.
Brian Littlefair: Ich muss erst einmal eines in den Geschäften finden. Sie wissen ja, Probleme in der Lieferkette. Aber wie auch immer, vielen Dank an alle für Ihre Zeit, okay? Moderator: Vielen Dank an alle. Alistister, danke. Alistair Parr: Danke. Tschüss. Bis dann. Tschüss. Tschüss. Moderator: Tschüss, alle zusammen.
©2026 Mitratech, Inc. Alle Rechte vorbehalten.
©2026 Mitratech, Inc. Alle Rechte vorbehalten.