Die richtigen KRIs und KPIs zur Messung von Drittparteirisiken

Melissa: Hallo, herzlich willkommen, liebe Teilnehmer. Mal sehen. Ah, sie kommen gerade rein. Das wird bestimmt eine gute Veranstaltung. Einen schönen Donnerstag euch allen. Es ist toll, dass ihr alle dabei seid. Während wir darauf warten, dass alle die Verbindung hergestellt haben und sich eingerichtet haben, werde ich unsere erste von zwei Umfragen starten. Ähm, wenn ihr schon einmal an einem unserer Webinare teilgenommen habt, wisst ihr, wie es läuft. Wir sind immer neugierig zu erfahren, was Sie zum heutigen Webinar geführt hat. Ähm, ist es aus Bildungsgründen? Befinden Sie sich in der Anfangsphase Ihres Programms zum Management von Risiken durch Dritte? Aktuelle Prevalent-Kunden, lassen Sie es mich wissen. Ähm, ich lasse diese Umfrage dort stehen, während ich mit den Vorstellungsrunden beginne. Wir haben einen ganz besonderen Gast hier, Brian Littlefare, ehemaliger globaler CISO der Vodafone Group und Aviva. Außerdem ist Scott Lang dabei, unser Vice President of Product Marketing hier bei Prevalent. Und natürlich Amanda und ich, wir sind Wave, richtig? Ähm, wir sind in der Geschäftsentwicklung tätig und kümmern uns in der Regel um die Nachbereitung dieses Webinars. Mit einigen von Ihnen haben wir sicher schon gesprochen. Wenn nicht ich oder sie, dann werden Sie von Landon oder Null hören. Halten Sie also einfach Ausschau nach ihnen. Heute wird Brian sich mit dem Thema „Die richtigen KPIs und Kri zur Messung von Risiken durch Dritte” befassen. Er wird Ihnen zeigen, wie Sie Leistungs- und Risikokennzahlen miteinander verknüpfen können, um aussagekräftigere Berichte für Ihr TPRM-Programm zu erhalten. Da mein Hund gerade bellt, möchte ich Sie daran erinnern, dass wir Ihre Zeit schätzen. Um, stellen Sie also sicher, dass Sie ... Entschuldigung , Amanda, können Sie übernehmen und über den Chat sprechen?

Amanda: Ja, natürlich. Hunde, wisst ihr, heutzutage arbeiten ja alle von zu Hause aus. Ähm, ja. Wir möchten euch bitten, so interaktiv wie möglich zu bleiben. Wenn ihr also eine Frage habt, nutzt bitte den Q&A-Bereich. Wenn ihr eine Frage oder einen Kommentar habt, nutzt bitte den Chat. Aber wir möchten das wirklich organisieren und trennen, denn ich bin mir sicher, dass ihr Brian und Scott eine Menge Fragen stellen möchtet. Das war's auch schon. Das Ganze wird aufgezeichnet. Ihr bekommt es entweder heute oder morgen in eurem Posteingang und könnt es dann mitnehmen, Brian. Wir sind bereit.

Brian: Great. Cheers, Amanda. Thanks, Melissa. So, yeah, a really important topic today. How we get the right KPIs and KISS and it’s something, you know, strangely enough, I’m quite passionate about and something that I spend a lot of time advising, you know, boards and executive teams because not a lot of us get it right, myself included. Um, you know, it’s a it’s a hard area to to mature, to get the right KPIs and messagings from your security program up to the board, but it is critical to get correct so that we get that right engagement. So, you know, today I’m going to give you my views and I’m hopefully going to leave plenty of time after Scott’s done his section at the end where we can, you know, get into some of your questions and answers and hopefully I can give you the benefit of some of my experience. So, uh, please, as as Amanda said, use the the Q&A aspect so that we can get those questions flowing in. I think, you know, one really interesting dynamic that I observe and I’m asked to speak at a lot at the moment is you know if you look at all the security conferences around the world so whether you’ve got RSA or infosc over in in Europe there’s specific streams that are pulling uh some fairly big CISOs and leadership teams in security organizations into into focus groups and the topic it might have a different title but it’s focusing on how does the CISO communicate with the board uh and the word chasm is is often used because there’s a gap there’s a there’s a misunderstanding or a miscommunication or the CESU isn’t getting through to the board with the right level of information. So, the board are ultimately disengaging. I just find it’s really interesting that, you know, these discussion groups are happening. If they’re happening, it’s it says there’s a problem because obviously the industry’s kind of picked up on that and how do we resolve that and how do we take it forward? And a lot of that comes down to to the KPIs, how we present, you know, the effectiveness or uneffectiveness of our security programs up to our senior management for intervention for support for backing all of those aspects. So it’s a really key important aspect that we get right. So I think you know it’s not just large enterprises facing this problem. So not all of you on the call will you know have a an expansive global board and leadership teams around the world etc. But it still is important because all of us are on a security journey. No one in security is ever finished. It’s the job for life. You never actually get to tick that box at the end and say well security is done. We can move on. There’s, you know, constant challenges that arise. So, it’s relevant for all of us understanding, you know, how do we capture where we are on that maturity journey and and reach out for that help and support from from upper management. I think the one thing I see and I’ll try and highlight it later on is when security leaders are communicating upwards in the chain around third party risk but but equally more holistic around the security program, they forget the language of the board which is risk and finance. And all too often we’re talking, you know, what a board member would call technical mumbo jumbo, right? They’re they’re very clever people. Uh they certainly shouldn’t be put down because they don’t understand the nuances of security technology. Uh they wouldn’t be on the board if they if they couldn’t add value, but it’s up for us to translate our security technical lingo, if you like, into the language of the board, which is purely centered around risk and finance. So, we can’t go in there with raw security events, firewall logs, and all of those aspects. they’re rapidly lost when they’re not you’re not talking to a technical audience. So, we need to recognize that and you know I’ve coined the phrase meaningful metrics uh because they have to be meaningful to the recipient. They have to understand what you’re trying to tell them. They almost have to jump off the page in terms of clarity and conciseness and you know a lot I see aren’t there and hopefully we can have a good conversation today about how we mature from where everyone is today and and how we kind of get to where we need to be at the end goal. Sorry. So, you know, third party risk management, I’ve run security for numerous organizations, some very big and and some not so big. Uh, so I’ve got a, you know, very good exposure to third party risk. I’ve always managed it when I’ve been a CISA. Um, and certainly if you listen to, you know, the government organizations around the world, so whether it’s NSA in in the US or the NCSC in the UK and the various other bodies around the planet, Everyone is sending out the advice and guidance that it’s not sufficient just to secure your organization. We all have a distributed risk in terms of managing the risk that presents itself from our supply chain. We will all have different levels of suppliers from people that supply ingredients into the kitchens for our staff all the way through to people and organizations that manage our data centers when we outsource them uh to them. So there’s a different complexity in that risk model and in that picture. But we need to get better at, you know, understanding what that risk is and how can that mis risk materialize because we need to know that because we need to mitigate it and if we don’t know about it then it’s really hard for us to actually mitigate it going forward. But many organizations uh and thankfully this is starting to change but certainly when I started in security uh probably 20 25 years ago uh platforms like prevalent weren’t around so we had to do our third party risk on on Excel spreadsheets and similar database processes. But now platforms like Prevalent are around, we really shouldn’t be using Microsoft Excel. And and I apologize in advance if you are a Microsoft Excel user because I’m going to give it a bit of a bashing today because u you know Excel has its its place within an organization, but it it it’s not on managing third party risk and and I’ll get on to that in a few slides. We need to get, you know, our interaction with our customers and suppliers in near real time as possible. uh an Excel won’t allow you to do that. Um we can’t be in a world where we’re gauging risk in a in an annual cycle where we’re sending out questionnaires. Uh uh third party suppliers are filling in those questionnaires. They come back into our analyst teams who are massively overstretched. Uh and then obviously they have to diagnose those results and try and produce a risk position. But as soon as that’s done, it’s out of date. As soon as you get that, you know, questionnaire back, it’s it’s practically useless because we all think about our own organizations, how much management changes, how much strategy changes, how we release new products and services, new policies and procedures that are released internally. That’s exactly the same in in the supplier world. And if you’re just capturing that and analyzing that annually, then you know thousands of changes are going to happen and occur between those cycles and you’re just not going to know about it. So you might think that a supplier is pretty unrisky, but actually they’ve, you know, launched on a new venture or a new product But that actually really increases their risk profile. So it’s about focusing on getting that risk trigger about focusing on getting that information from your suppliers as near real time as as possible. And I think you know moving away from the Excel way of the world into platforms like Prevenant is hopefully why you’re all on the call today to understand how you can achieve that if you’re not already on that journey.

Brian: Sorry, wrong way. So three of the common challenges that you know, I think organizations face and hopefully some of you might resonate with this and again feel free to put any questions in the chat and we’ll get into that later on. But I’ve coined this really the the art quadrant. Uh what I see are challenges in third party risk management around the approach, the tooling that’s being used and the resource that’s within the team. So let’s I’m going to run through these and and they all have a slide each but you know that art quadrant if you if you don’t have the right strategy in place, if you haven’t adopted the right tooling and you’re not optimizing your resource and I use optimizing you know why ask for more people when when ultimately you haven’t optimized your tooling. So if you have those three things then it’s almost the perfect storm and you’re going to have a challenge around doing third party risk management correctly uh or being able to advise the business in the right way. So if you if you’re in the art quadrant your priority today is is how do I get out of that and and hopefully we can help give you some answers to that as well. So if we look at the approach, you know, the third party risk management needs to have a strategic approach and and what I mean by that is it has to be designed to assess, evaluate, capture and ultimately treat risk. It can’t be just to run an annual cycle that sends an auditor out to a tier one supplier and sends a questionnaire out to a tier three. The results are assessed. You know, just because you’re running that cycle doesn’t mean to say you’re doing third party risk management. The who is in the M. You’re managing that risk. You’re effectively capturing it. You’re understanding the potential impact on your parent organization. You’re advising the business about that risk. You’re putting in treatment plans. You’re having the dialogue with with the supplier and you’re mitigating or accepting those risks, but you have that informed position. That is, you know, the risk management aspect of of the third party program. It absolutely, you know, needs alignment with the the broader business. But it shouldn’t be driven by the business and and what I mean by that is you are the expertise in this space. You are the expertise in in risk. You are the expertise in security. So it needs to be you know the accountable person whether you’re in procurement or whether you’re in the security function. It doesn’t make much difference. But whoever’s owning and running this process needs to have that pure direction around we’re here to tackle risk. If the business is you know trying to dictate how it happens and you know which which supply buyers get which attention. They need to have that security background. They need to have that risk background to actually understand what the potential impacts on that will be. So you can’t just be purely driven by the business because it won’t lower your risk profile. So let’s look at resources. So when I look around organizations, I think that the third party risk uh uh risk management teams are, you know, often heavily underresourced. But then I start to ask the question, you know, Have you optimized the the resource? If you’re trying to run, you know, three and a half, four and a half thousand suppliers around the globe in 60 70 countries using an Excel-based process, that’s never going to work. It doesn’t matter how many people you throw at it. It doesn’t matter if you spin up a captive in India and put 100 people on it and things like that. It’s just not going to work. Um, so rather than just thinking we haven’t got enough people, we need more people. You need to step back from the problem and say this process isn’t working. Are in the our quadrant. So rather than just looking at resource, what can we do around the technology, what can we do around the process and how do we actually optimize the resource that is needed to run an effective third party risk management program. So I personally have ran um obviously I’m on this presentation because I’ve used preent extensively in my past but I’ve personally ran you know global multinational organizations with four and a half thousand suppliers with a team of six people. U so it absolutely can be achieved if you’ve optimized the process, the technology and you know the data flows that are coming in and out of the team. But you know it is focusing down on how do you support those people bestly you know you need the right resource they need right skill uh they need to be focused in you know tiering the the the companies that are within there effectively so they know who to spend the most time with um and equally they need to know the the global ramifications of those suppliers and I’ll get on to that a little bit later on so Optimization is the key thing about resource. Don’t just throw people at the problem. It’s it’s not going to fix it. And then if we look at the the sorry you keep going the wrong way. And if you look at the uh the tooling aspect so so we talked earlier on around innovation in this space and there’s a lot of innovation in this space because you know governments and organizations are recognizing that they can’t just secure the mothership. They have to effectively secure everything that is interconnected with that mothership. And you know We’ve talked around different suppliers, different criticalities to the organizations. Some might have, you know, physical connectivity into your networks. Some might have staff members on their sites that have virtual logical access into your networks. And we need to understand what that looks like. And that’s a very complex picture. You know, building all of those nuances together and then actually understanding the the global aspect of that. So, for example, if you are working for a large organization, you might have a supplier in one country that is fairly insignificant but actually in another one of your countries they’re major. So you have to actually understand the global ramifications of of your suppliers as well. So we need to we need to mature we need to move up that maturity scale recognizing that if we are looking at what you do today and you would view it as a manual process in terms of manually sending out questionnaires relying on individual analysts to actually interpret those results and you know they’re very skilled people and I’m not doing them a disservice. But the challenge is if you give a questionnaire to analyst A and give a questionnaire to analyst B, you’re going to get two answers coming back. Um, so use the analysts to actually interpret the results that the modern tools are giving you. That’s where, you know, the best use of their skill is. It’s like if we look at a security operation center, we wouldn’t put our level one, two, and three sock analysts on looking at the raw data flowing into the sock. We rely on the scene technology to do the analysis. and we present them with the issues that we think need investigation and that’s the innovation that’s happened in this space. Let the tools like prevalent absorb all the information analyze where the key risks are that you can set the parameters on and then give that information to the analyst. That’s where they can have maximum traction and you know use their skill set to to best effect.

Brian: Kommen wir nun zu den KPIs und KRIS. Ich möchte zunächst einmal klarstellen, was ich unter KPI und KIS verstehe. Das ist letztlich das, worüber ich spreche. Wir verwenden KPIs, um die Leistung zu messen. Der Schlüssel liegt also im Namen, richtig? Key Performance Indicator. Funktioniert etwas so, wie es vorgesehen war? Ist es effektiv gestaltet? Ist es richtig gestaltet? Ist es betrieblich effektiv? Betreiben wir es also auf die richtige Weise und erhalten wir die richtigen Datenflüsse? Aber das ist es, was wir aus KPI-Sicht suchen. Der KRI ist etwas ganz anderes. Wissen Sie, wie hoch ist unser Risiko? Es gibt das Bruttorisiko und das Nettorisiko. Wir haben eine Risikobasislinie. Wir wenden Maßnahmen darauf an und erhalten dann natürlich das daraus resultierende Nettorisiko. Das ist also die Basislinie. Darüber werden wir im weiteren Verlauf sprechen. Also aussagekräftige Kennzahlen. Dies ist ein Dashboard eines Kunden, der Excel verwendet hat. Zugegeben, das war vor einigen Jahren, aber ich sehe solche Dinge auch heute noch. Wie Sie sehen können, wurde dies einem Vorstandsmitglied vorgelegt. Es gab keine Analyse der Daten. Es gab keine Begleitdokumente. Es war nur eine Excel-Tabelle, in der links unsere Lieferanten aufgeführt waren. Ich glaube, es waren etwa 40 Zeilen. Oben standen unsere Informationssicherheitskontrollen. Und dann wurde hier gezeigt, wie ein Lieferant im Hinblick auf diese Sicherheitskontrollen abgeschnitten hat. Sie sehen also, dass es zwei Gelbtöne, zwei Grüntöne und zwei Rottöne gibt. Und ich fordere jeden auf, sich diese Matrix anzusehen und zu verstehen, wo die wichtigsten Problembereiche liegen. Wenn man sich die Informationssicherheitskontrollen etwa zu drei Vierteln ansieht, gibt es meiner Meinung nach einige Lieferanten, die rot bewertet sind. Und aus Erfahrung würde ich sagen, dass es sich dabei wahrscheinlich um physische Sicherheitsaspekte handelt, da nicht alle kleinen Lieferanten über Videoüberwachung, Umzäunungen usw. verfügen, die Sie möglicherweise in Ihren Sicherheitskontrollen haben. Aber unabhängig davon ist es komplex, es ist aufwendig, es ist statisch, da diese Bewertungen nur einmal im Jahr durchgeführt werden.

Brian: Und dann gibt es noch den Dialog mit dem Lieferanten, in dem es darum geht, dass man diese Kontrolle nicht bestanden hat und nun Abhilfemaßnahmen ergreifen muss, aber im Grunde bleibt alles monatelang unverändert. Wenn man dann einen Monatsbericht an den Vorstand vorlegt, sagen die Vorstandsmitglieder: „Nun, daran hat sich nichts geändert. Was bringt es Ihnen, heute hierher zu kommen, um etwas zu präsentieren, das sich in den nächsten 12 Monaten nicht ändern wird?“ Wir haben es letzten Monat gesehen. Und man kann nicht näher auf die Probleme eingehen. Es hängt davon ab, dass der Präsentierende das Problem oder die Herausforderung hinter jedem einzelnen dieser Quadrate tatsächlich kennt, denn wenn ein Vorstandsmitglied sich auf einen Lieferanten und die Kontrolle konzentriert und fragt, wie die Situation bei diesem ist, muss man in der Lage sein, darüber zu schwärmen, anstatt tatsächlich darauf zu klicken und es zu visualisieren, aber natürlich muss das nicht so sein.nicht so sein müssen, äh, Tools wie Prevalent, das ist offensichtlich das Dashboard auf der rechten Seite, das Sie tatsächlich verwenden können, was ich früher für die Kommunikation mit dem Vorstand gemacht habe, damit Sie nicht mit der Powerpoint-Präsentation hingehen, sondern mit einer Live-Website, Live-Daten, die tatsächlich die Dashboards zeigen, und tatsächlich in der Lage sind, sich damit auseinanderzusetzen und zu sagen: „Schauen Sie, hier sind die aktuellen Risiken, die wir innerhalb der Lieferkette verwalten. Hier sind die Bereiche, auf die wir uns unserer Meinung nach konzentrieren und die wir unterstützen müssen. Hier sehen wir eine Herausforderung. Lassen Sie uns kurz besprechen, was wir dagegen tun werden. Drillen Sie den Datensatz herunter. Alle sind informiert. Alle sind zufrieden. Machen wir weiter.“ Sie verstehen also, warum ich Microsoft Excel ein wenig kritisiere. Und entschuldigen Sie, wenn Sie es heute verwenden, aber wie gesagt, ich musste es in der Vergangenheit auch verwenden. Wenn Sie jedoch eine Plattform wie Prevalent in Ihrem Unternehmen einsetzen, ist das wirklich eine kleine Revolution. Damit können Sie als Sicherheitsverantwortlicher wirklich effektiver arbeiten, was letztendlich, glaube ich, das ist, was Sie alle erreichen wollen. Welche Kennzahlen sind meiner Meinung nach also Best Practice? Denken Sie daran, dass dies nur meine Meinung ist, und Sie können sie gerne hinterfragen. Ich mag gute Debatten, aber was sollten wir messen? Ich habe das Ganze in vier Kategorien unterteilt. Was das Risiko angeht, so decken wir das ziemlich gut ab.

Brian: Ich denke, es ist ziemlich offensichtlich, dass wir unsere Lieferkette aus Risikosicht bewerten müssen. Ein weiterer Vorteil von Prevalent ist die Bedrohungsanalyse. Eine Excel-Tabelle reicht nicht aus, um Bedrohungen zu erkennen. Man muss in der Lage sein, die potenziellen Bedrohungen für seine Lieferanten oder die Bedrohungen, denen diese ausgesetzt sind, zu visualisieren. Wenn man diese Bedrohungsinformationen, also Open-Source-Daten, die wir als OINT-Daten bezeichnen, über die Lieferantenbasis hinweg verfügbar macht, beginnt man, viel mehr über sie zu verstehen, und kann sie auch hinterfragen, richtig? Wenn also ein Lieferant Ihnen Daten vorlegt, die nicht mit seinen Bedrohungsinformationen übereinstimmen, können Sie ein fundiertes Gespräch über die Realität führen. Ähm, und ebenso muss eine Bedrohung nicht immer mit Cyber zu tun haben, und ein Risiko muss nicht immer mit Cyber zu tun haben. Ähm, Sicherheit ist ganzheitlicher als das. Wir werden also die Geschäftskontinuität einbeziehen. Wir werden die Notfallwiederherstellung einbeziehen. Wir werden all diese Komponenten in einem einzigen Dashboard zusammenführen, damit Sie verstehen können, was passiert, wenn dieser Lieferant nicht mehr da wäre. Denken Sie an die Organisationen auf der ganzen Welt, die Russland gerade aus der gesamten Gleichung herausnehmen mussten. Denken Sie an die Organisationen auf der ganzen Welt, die China beobachten und möglicherweise dessen militärische Aktivitäten in Bezug auf Taiwan verfolgen und verstehen, was passiert, wenn China wegfällt und wir es nicht mehr als Teil unseres Lieferanten oder unserer Lieferkette, unserer Entwicklung und unserer Code-Erstellung haben können. All diese Aspekte, die Modellierung dessen, was in Ihrer Lieferkette passieren würde, all diese Aspekte lassen sich viel einfacher umsetzen, wenn Sie ein Tool wie dieses verwenden. Auch die Einhaltung von Vorschriften wird viel einfacher. Ich werde auch darauf näher eingehen. Keine Sorge, ich überspringe nur die Schlagzeilen.

Brian: Die Einhaltung von Vorschriften wird also viel einfacher, denn statt einen Lieferanten tatsächlich auf die Einhaltung von Vorschriften zu überprüfen, sei es PCI, Sarbain, Oxley, California Act oder was auch immer, kann man diese Anforderungen durch Ankreuzen eines Kästchens kodieren und sagen, dass dieser Lieferant in Bezug auf unser Unternehmen in den Geltungsbereich dieser Vorschriften fällt. Man bewertet sie also anhand dieser Kriterien. Das ist wirklich wertvoll, um diese Bescheinigungen zu erhalten, die man einem Auftragsauditor vorlegen und sagen kann: „Hey, wir haben sie geprüft, hier ist unsere Einschätzung und hier ist die Einschätzung anderer Unternehmen in Bezug auf ihre Compliance, was ebenfalls sehr nützlich ist.“ Und dann gibt es noch die Abdeckung, und ich sehe das ständig, dass Unternehmen ein Programm für Risiken durch Dritte betreiben, aber keine vollständige Abdeckung haben, weil sienicht alle ihre Lieferanten kennen und Cloud Computing hilft hier nicht weiter, wenn man einen Dienst mit einer Kreditkarte in Betrieb nehmen kann. Schatten-IT ist auch ein Problem, bei dem das Unternehmen die normalen CIO- und CTO-Prozesse umgeht und selbst technische Umgebungen mit neuen Lieferanten aufbaut, aber es ist unsere Aufgabe, darüber hinauszugehen und das tatsächlich zu erfassen und sicherzustellen, dass wir einen guten ganzheitlichen Überblick haben, sodass wir alle Lieferanten in diesem Mix bewerten. Das ist eine Herausforderung. Ich habe das selbst schon mehrmals gemacht, und ehrlich gesagt ist das das größte Problem. Schauen wir uns also an, welche KPIs ich aus Risikosicht messen würde und ebenso einige der KRIS. Wir haben über die Abdeckung gesprochen, aber ich denke, dass dies der wichtigste Punkt ist.

Brian: Niemand möchte von einem unbekannten Lieferanten überrascht werden, der ein Problem hatte, das sich auf das Geschäft ausgewirkt hat, und der in den Nachrichten auf CNN oder anderen Medien aufgetaucht ist, je nachdem, wo auf der Welt Sie sich befinden, und von dem Sie nichts wussten, weil Sie keine Bewertung vorgenommen habenkeine Bewertung vorgenommen haben und dies Auswirkungen auf das Geschäft hat. Daher ist es absolut entscheidend, diese Berichterstattung zu erhalten, und dazu müssen Sie sich an die Beschaffungsabteilung wenden und darauf bestehen, dass nichts den Beschaffungsprozess von Anfang bis Ende durchläuft, ohne dass Ihr Due-Diligence-Prozess abgeschlossen ist. Und Sie kennen den dritten Punkt dort unten, das Potenzial von Lieferanten, die die Onboarding-Bewertung abgeschlossen haben, wenn Geld von Organisation A, also von Ihnen, an einen Lieferanten fließt und diese Bewertung nicht abgeschlossen ist, dann haben Sie ein Problem oder könnten ein Problem haben. Sie wollen natürlich keine Angst, Unsicherheit und Zweifel schüren, aber wenn es darum geht, Ihren Prozess für den Erfolg zu gestalten, sollte das zu 100 % gewährleistet sein. Sie sollten sicherstellen, dass Sie so früh wie möglich in den Prozess einsteigen, damit Sie Ihre Bewertung vornehmen können. Aber ich werde mich wieder einmal in Schwärmereien ergehen. Der Vorteil der Verwendung eines Tools wie Prevalent besteht darin, dass das Unternehmen zu Ihnen kommt und sagt: „Hey, Herr Minister und Frau CISO, wir brauchen Sie, um diesen neuen Lieferanten an Bord zu holen. Er ist für uns von entscheidender Bedeutung. Wir bringen ein neues Produkt auf den Markt usw. Wir müssen ihn sehr schnell verstehen. In der alten Welt mit Excel und Fragebögen wäre das nicht möglich gewesen. Das kostet Zeit, weil man nur das herausfindet, was man über ihn bei Google findet, richtig? Man kennt diesen Lieferanten also nicht. Man weiß überhaupt nichts über ihn.

Brian: Wenn Sie sich für Prevalent entscheiden, ist es sehr wahrscheinlich, dass jemand anderes auf der Welt diesen Lieferanten bereits genutzt hat und ebenfalls auf der Prevalent-Plattform ist. Prevalent wendet sich proaktiv an Lieferanten und sagt: „Kommen Sie auf unsere Plattform, füllen Sie hier Ihre Fragebögen aus.“ Dann erhalten neue Lieferanten natürlich Zugang zu diesen Informationen, sodass Sieprofitieren von diesem kollektiven Risikomanagement, Sie profitieren davon, was andere Organisationen diesen Lieferanten gefragt haben, und Sie können auf diese Informationen zugreifen, sodass Sie nicht auf eine leere Excel-Tabelle starren, sondern sehen können, dass wahrscheinlich 90 bis 95 % der Fragen, die Sie ihnen ohnehin stellen würden, auf der Plattform zu finden sind, sodass Sie wirklich sofort loslegen und das vorantreiben können. Aber ich denke, aus Sicht der KPIs sind das die wenigen, die ich dort herausgreifen würde. Aber das Einzige, was Sie messen müssen, und das Wichtigste, was Ihrer Reputation in Sachen Sicherheit wirklich schadet, ist, dass Sie zu einem Blockierer werden. Das haben Sie wahrscheinlich schon einmal gehört. Wir wollen uns nicht mit Sicherheit beschäftigen. Sie bremsen uns aus, oder die Beschaffung sagt, dass sie bei diesem Prozess nicht mit uns zusammenarbeiten will, weil er zu langsam ist. Verfolgen Sie also wirklich die Zeit, die dieser Prozess benötigt, um durch Ihre Sicherheitsorganisation zu laufen, und schauen Sie sich erneut an, was optimiert werden kann. Ich denke, wir gehen auch viel davon durch, und wenn wir uns dann die KRIS ansehen, schaue ich mir immer die Lag-Indikatoren und die Lead-Indikatoren an, also ist Lag das, wasin der Vergangenheit passiert ist, und Vorlaufindikatoren sind eine Art Blick in die Zukunft, auf die wir ständig ein Auge haben und uns konzentrieren müssen, damit wir immer die Vorfälle im Blick haben, die uns Probleme und Herausforderungen in unserer Lieferkette bereitet haben, und Sie wissen, dass das nicht unbedingt mit Cyber zu tun hat. Der Abwasserkanal war verstopft. Vielleicht hatten Sie Lieferungen auf einem dieser Boote, die nicht durchkommen konnten. Das ist ein Problem in der Lieferkette. Es ist kein Cyberproblem, sondern ein Problem in der Lieferkette. Und Sie müssen trotzdem verstehen: Kann dieses Risiko gemindert werden? Und können Sie das im Voraus durchdenken, bevor es tatsächlich eintritt?

Brian: Und Dinge wie die Anzahl der Lieferanten, die nach einer erfolgreichen Aufnahme weiterhin ein hohes Risiko darstellen. Auch wenn Sie den Prozess durchlaufen haben, stellen sie immer noch ein hohes Risiko dar, sei es aufgrund geopolitischer Faktoren oder aufgrund der von ihnen hergestellten Produkte. Das könnte Ihrem Ruf schaden oder sich auf Ihre Lieferkette auswirken, aber Sie müssen trotzdem mit ihnen zusammenarbeiten. Sie haben keine andere Wahl, oder Sie wissen, dass sich das Unternehmen für diesen Lieferanten entschieden hat. Sie werden ihn also sehr genau im Auge behalten. Sie werden ihn in die erste Stufe einordnen und möchten, dass dies auch so bleibt. Es geht also darum, Ihren Blick auf das Risiko zu fokussieren. Ihr Blick auf das Risiko sollte wie ein Vergrößerungsglas sein, mit dem Sie genau untersuchen, worum es sich handelt, richtig? Und dann betrachten Sie die Bedrohung. Die Bedrohung ist also entscheidend. Wenn Sie derzeit im Rahmen Ihres Risikomanagementprogramms für Dritte keine Bedrohungen berücksichtigen, müssen Sie unbedingt verstehen, wie Sie diese einbeziehen können. Natürlich ist dies Teil dieser Plattform. Aber ebenso müssen Sie es tun, wenn Sie es bisher nicht getan haben. Und dabei geht es wirklich darum, die Anzahl der Lieferanten zu betrachten, über die Sie Informationen zu Bedrohungen erhalten können. Die meisten Lieferanten in der gängigen Plattform sind bereits mit Bedrohungsinformationen vorbelegt. Aber letztendlich kommt es auf Ihre Compliance-Programme an und darauf, welche Informationen Sie tatsächlich über sie erhalten können, denn über das Risiko hinaus, das tatsächlich eintreten kann, gibt es noch etwas anderes. Eine Bedrohung ist etwas, das entweder bereits eingetreten ist oder kurz bevorsteht, und Sie erhalten frühzeitige Hinweise darauf, dass dies geschieht. Es ist also wirklich nützlich, diese Bedrohungsinformationen in Ihr Unternehmen einfließen zu lassen. Man muss das also wirklich genau unter die Lupe nehmen, es aus Compliance-Sicht betrachten, aber auch aus der Sicht der einzelnen Ebenen. Wenn Sie ein hohes Maß an Bedrohung haben, d. h. wenn in Ihrer Tier-1-Lieferantenbasis kurzfristig etwas passieren könnte, dann wissen Sie, dass dies ein Problem sein wird, und Sie müssen überlegen, wie Sie dieses Problem in Zukunft mindern können. Auch hier ist es wieder sehr nützlich, wenn man sich vorstellt, dass das Risiko die Lupe ist und die Bedrohung das Mikroskop.

Brian: Damit können Sie tatsächlich in Echtzeit nachvollziehen, was gerade passiert, und das kann sich ja erheblich auf Ihr Unternehmen auswirken, nicht wahr? Und wenn wir uns dann die Compliance ansehen, wird diese nur noch weiter zunehmen. Und wenn wir uns die Regulierungsbehörden auf der ganzen Welt ansehen, die beginnen, ihre Compliance-Programme anzugleichen, denn wenn man ein großes globales multinationales Unternehmen leitet, kann es wirklich komplex sein, mit den unterschiedlichen Compliance-Programmen auf der ganzen Welt, also beginnen sie, diese anzugleichen. Ich denke, wenn wir uns die Daten ansehen, gibt esgibt es weltweit etwa 63 verschiedene Anforderungen, die sich nur auf Daten beziehen. In Europa haben wir die DSGVO, in den USA gibt es das kalifornische Gesetz, Kanada hat sein eigenes, Südafrika hat sein eigenes usw. Und diejenigen, die noch keine haben, entwickeln sie gerade, aber wir beginnen, Gemeinsamkeiten in diesem Ansatz zu erkennen. Aber Compliance wird nicht verschwinden, insbesondere wenn Sie in einer regulierten Branche tätig sind. Der Grund dafür ist, dass die Regulierungsbehörden offensichtlich die Menschen in ihrem Sektor beobachten und nicht das Verhalten sehen, das sie gerne sehen würden. Deshalb treiben sie es durch Regulierung voran. Sie werden dies tun. So möchten wir, dass Sie vorgehen. Und sie werden dabei in Zukunft sehr präskriptiv vorgehen. Früher war die Einhaltung von Vorschriften eine echte Herausforderung. In einer manuellen Welt war es sehr schwierig, Sie mussten nicht nur versuchen, sie anhand Ihrer eigenen Sicherheitsrichtlinien zu bewerten, sondern Sie hatten auch all diese verschiedenen Compliance-Regelungen, anhand derer Sie sie nun ebenfalls bewerten mussten. Aber ehrlich gesagt kann das mit einem Klick erledigt werden. Ich möchte es nicht zu sehr vereinfachen, denn Sie müssen es gut in die Plattform integrieren und verstehen, wer in den Anwendungsbereich fällt und wer nicht. Aber es ist absolut ein Gamechanger in Bezug auf das Tempo und die Fähigkeit, diese Dinge so schnell wie möglich zu erledigen. So wird die Einhaltung von Vorschriften zum Kinderspiel. Und dann auch noch diese Lücke. Absolut. Das ist wirklich sehr, sehr wichtig. Wir müssen sicherstellen, dass wir das abgedeckt haben. Ich kann das gar nicht genug betonen.

Brian: Ich habe gesehen, dass dies insbesondere für größere Unternehmen ein echtes Problem darstellt, wenn sie ihr Risikomanagementprogramm für Dritte nach Ländern segmentieren. Sie verstehen einfach nicht, welche Bedeutung ein Lieferant für ihr Unternehmen haben kann. Und ebenso werden sie vom Lieferanten gespalten und beherrscht. Ein Lieferant wird Ihnen ohnehin nicht proaktiv mitteilen, dass er ein großes multinationales Unternehmen in all seinen verschiedenen Ländern mit unterschiedlichen Preisen und Verträgen beliefert. Es liegt also wirklich in der Verantwortung der Beschaffungsabteilung, sich im Rahmen des Risikomanagementprogramms für Dritte damit auseinanderzusetzen, um zu verstehen, welche Auswirkungen dies in Zukunft haben könnte. Und stellen Sie erneut sicher, dass kein Geld zwischen Unternehmen A und Unternehmen B fließt, bis dies tatsächlich abgeschlossen ist. Und natürlich sollten Sie auch diese Zeit in einer Kennzahl erfassen, um sicherzustellen, dass Sie wirklich verstehen, ob Sie ein Hindernis darstellen, weil Sie wissen, dass Ihr Prozess möglicherweise nicht optimiert ist, Sie nicht über die richtigen Tools verfügen und es sehr mühsam sein kann, einen Lieferanten durch dieses Programm zu bringen. Wenn dies der Fall ist, sollten Sie proaktiv erkennen, wo diese Herausforderungen liegen, sie beheben und dann natürlich sicherstellen, dass SieSie die KRIS haben, die sich auf Tier 1, Tier 2 usw. konzentrieren, also diejenigen, mit denen Sie tatsächlich Zeit verbringen möchten, und dass Sie deren Reichweite innerhalb Ihrer Organisation wirklich verstanden haben, und dann wissen Sie, dass Sie verschiedene Blickwinkel für verschiedene Zielgruppen einnehmen müssen, richtig? Das ist wirklich wichtig, und ein Tool wie Prevalent ermöglicht Ihnen dies wiederum, indem es Ihnen bewusst macht, dass Sie, als ich CESO einer Organisation war,ich glaube nicht, dass ich ein Kontrollfreak war, aber ich wollte viel mehr Informationen, als ich dem Vorstand zeigen würde. Ich wollte eine Perspektive, in die ich eintauchen konnte, die mir die technischen Details zeigte, die ich meinem technischen Team zuweisen konnte, um ein tieferes Verständnis zu erlangen. Es gibt also eine andere Perspektive, die ich als Sicherheitsverantwortlicher sehen möchte und die Sie als Sicherheitsverantwortlicher ebenfalls sehen möchten.

Brian: Und dann kann man verschiedene Szenarien durchspielen: Was wäre, wenn wir dies getan hätten? Was wäre, wenn wir das nicht getan hätten? Was wäre, wenn jemand anderes dies getan hätte und wir nicht? Man kann Szenarien modellieren und sich auch mit den Bedrohungsinformationen befassen und verstehen, was passiert wäre, wenn dies bei diesem Lieferanten eingetreten wäre. Was war unser Notfallplan? Haben wir einen Lieferanten B in diesem Bereich? Ein gutes Beispiel dafür sind derzeit Siliziumchips. Es gibt weltweit einen enormen Mangel an Siliziumchips, und Unternehmen, die sich speziell auf Lieferant A konzentriert hatten und noch keinen Backup-Plan hatten, als Probleme auftraten, um sofort mit der Beschaffung bei Lieferant B zu beginnen, haben den Anschluss verpasst, weil diejenigen, die dies bereits getan hatten, die Chips von Lieferant B erhielten. Sie waren also ebenfalls aus dem Rennen. Es geht also wirklich darum, nicht nur aus der Perspektive der Cybersicherheit zu denken. Ich sage immer wieder, dass Cybersicherheit absolut entscheidend ist. Das ist natürlich meine Erfahrung und mein Hintergrund, aber wir sprechen hier über Risiken in der Lieferkette, und das ist mehr als nur Cybersicherheit und Informationssicherheit. Der CISO braucht also eine Perspektive. Das Unternehmen braucht ebenfalls eine Perspektive. Wir können darüber diskutieren, aber meiner persönlichen Meinung nach sollte der CISO keine Risiken in Bezug auf Abhilfemaßnahmen tragen. Wir haben Geschäftsinhaber, oder Sie sollten Geschäftsinhaber haben, die für die Verwaltung dieser Partner innerhalb Ihres Unternehmens verantwortlich sind. Die Partner, die externen Dritten, gehen also keine Geschäftsbeziehung mit dem CISA ein. Sie gehen eine Geschäftsbeziehung mit einer Geschäftseinheit oder einer Abteilung innerhalb Ihres Unternehmens ein, und es sollte deren Aufgabe sein, diese Organisation und diesen Lieferanten in Zukunft zu verwalten. Ihre Aufgabe ist es, ihnen die Informationen dafür zur Verfügung zu stellen. Ermöglichen Sie ihnen also, Prioritäten zu setzen und sich mit den Details zu befassen, z. B. „Wir haben ein Problem mit diesem Lieferanten“ oder „Sie möchten diesen Lieferanten hinzuziehen, aber wir haben damit auch ein Problem“. Wir würden es sehr begrüßen, wenn Sie diese Option nutzen würden. Sie können jedoch die Informationen und Fakten präsentieren und ihnen die Möglichkeit geben, diesen Lösungsplan offensichtlich voranzutreiben.

Brian: Und noch einmal: Anstelle der sehr komplexen Excel-Tabelle, die ich Ihnen gezeigt habe, können Sie mit einem Tool wie Prevalent diese Aufgaben einfach verschiedenen Benutzern zuweisen. Sie tragen also nicht das Risiko, sondern diese Benutzer, aber Sie verfolgen die weiteren Abhilfemaßnahmen. Bei Problemen und Herausforderungen erhalten Sie entsprechende Hinweise. Auch aus dieser Perspektive ist das Tool also sehr leistungsstark. Und dann gibt es noch den Vorstand. Ich verwende hier die Begriffe „Vorstand” und „Führungsteam” synonym, aber was sie suchen, ist eine sehr allgemeine Übersicht, ein sehr allgemeines Bild. Wie sieht das konsolidierte Risikobild aus? Geben Sie mir den Elevator Pitch, die dritte 30.000-Fuß-Perspektive. Aber ich möchte in der Lage sein, Details zu sehen. Wenn Sie mir sagen, dass es ein Problem gibt, möchte ich in der Lage sein, auf diese Daten zuzugreifen, denn sie sind in vielen Bereichen persönlich und individuell für ein effektives Risikomanagement verantwortlich. Und wenn Sie in diesen Vorstand gehen und es gibt ein Problem oder eine potenzielle Herausforderung. Sie müssen ihnen die Informationen geben, aber sie können nicht Seite um Seite mit Daten durchforsten, sie müssen es auf dem Silbertablett serviert bekommen. Die Analyse muss für sie durchgeführt werden. Und was Sie eigentlich tun müssen, ist zu sagen: „Ich glaube, wir haben ein Problem. Ich glaube, wir haben ein Problem. Ich brauche Ihre Unterstützung.“ Und wenn Sie natürlich diese universellen Sprachen der Vorstandsetage in Bezug auf Risiken und Finanzen verwenden, dann werden Sie natürlich diese Vorstandsmitglieder für sich gewinnen und sie dazu bringen, Sie zu unterstützen. Das ist ebenfalls sehr wichtig. Warum plädiere ich also für aussagekräftige Kennzahlen und KPIs in diesem Bereich? Um Scotts Ausführungen zusammenzufassen, bevor ich das Wort an Scott übergebe, denn ich sehe, dass viele Fragen aufkommen: Dieser Prozess existiert aus einem bestimmten Grund, und wir müssen uns daran erinnern, dass ich so viele Menschen sehe, die diesen Zyklus durchlaufen, aber die Risikominderung findet nicht statt. Der Prozess läuft also, aber das Risiko sinkt nicht. Wir müssen uns also unbedingt darauf konzentrieren, dass er dazu da ist, Risiken zu reduzieren und sie in Zukunft effektiv zu managen. Und es ist völlig in Ordnung, Risiken zu akzeptieren. Ich sehe, dass Organisationen ständig Risiken akzeptieren.

Brian: Ich könnte Ihnen zahlreiche Beispiele nennen. Ich habe für ein großes Unternehmen gearbeitet, das viel in Drucker investiert hat. Diese Drucker hatten die Größe eines Lagerhauses, aber um die Verwaltungskonsole zu ersetzen, die auf Windows XP Service Pack 2 basierte, dessen Schwachstellen wir alle kennen, gab es keine andere Lösung, als 10 Millionen für einen neuen Drucker auszugeben, obwohl der alte Drucker einwandfrei funktionierte. Es gab keine andere Lösung, als 10 Millionen für einen neuen Drucker auszugeben, obwohl der Drucker einwandfrei funktionierte. Das Risikomanagementprogramm eines Drittanbieters würde vielleicht sagen: „Wir müssen den Drucker ersetzen.“ Das Unternehmen würde sagen: „Ich werde keine 10 Millionen für einen neuen Drucker ausgeben. Finden Sie eine andere Lösung.“ Wir werden also nicht das gesamte Risiko akzeptieren. Wir werden einen Plan zur Risikobehandlung erstellen. Wir werden das Risiko reduzieren, indem wir Sicherheitsmaßnahmen ergreifen. Aber wir haben das Problem aufgedeckt. Wir haben eine fundierte Diskussion geführt. Wir verstehen jetzt das Risiko und kommen an einen Punkt, an dem es besser zu bewältigen ist und wir es verstehen können. Das ist der Prozess, den wir in Zukunft vorantreiben müssen. Wie Sie dieses Risiko dem Unternehmen melden, ist ebenfalls von entscheidender Bedeutung. Ich sehe viele Stakeholder im Unternehmen, die diesem Prozess fernbleiben, weil sie seinen Wert nicht erkennen. Sie sollten eng mit diesen Stakeholdern, den Führungskräften der jeweiligen Bereiche in Ihrem Unternehmen, zusammenarbeiten und tatsächlich verstehen, ob dies einen Mehrwert schafft. Erhalten Sie aus diesem Prozess das, was Sie brauchen? Denn das ist mein Ziel in Bezug auf die Risikominderung, und ich muss mit Ihnen zusammenarbeiten, um dies effektiv umsetzen zu können. Erreichen wir also unser Ziel? Erhalten Sie, was Sie brauchen? Was brauchen Sie noch? Sie müssen sich auch an diese Anforderungen anpassen und sie wirklich berücksichtigen. Schotten Sie sich also nicht in Ihrem Sicherheits-Elfenbeinturm ab. Brechen Sie diese Mauern ein, arbeiten Sie mit dem Unternehmen zusammen und stellen Sie sicher, dass Sie einen qualitativ hochwertigen Service bieten, denn wenn Sie das nicht tun, werden sie sich diese Informationen woanders suchen. Und als Sicherheitsverantwortlicher wollen Sie das nicht.

Brian: Wenn Sie zurückdenken, wissen Sie, wenn Sie sich mein Excel-Tabellenblatt-Beispiel ansehen und denken: „Hey, das ist so ziemlich das, was ich gerade mache“, wissen Sie, dass ich dem Unternehmen keine Klarheit verschaffe, sie müssen die Analyse für mich durchführen, wenn ich es vorstelle, dann müssen wir verstehen, wie sich das ändern kann, wir müssen verstehen, wie wir es anwenden können, damit SieSie wahrscheinlich Ihre begrenzten Ressourcen aus Sicht der Personalabteilung innerhalb des Sicherheitsteams überbeanspruchen. Verstehen Sie also, was Sie tun können, um Ihr Risikomanagementprogramm für Dritte weg von Tabellenkalkulationen und Datenbanken zu entwickeln, und schauen Sie sich die innovativen Plattformen an. Wir haben in diesem Bereich viele Innovationen vorgenommen, weil wir erkannt haben, dass es ein Problem ist. Wir erkennen, dass es dort Herausforderungen gibt. Wir können Bedrohungen nicht in eine Excel-Tabelle einfügen. Das kann aufgrund der Natur der Sache nicht in Echtzeit geschehen. Wir müssen einen gemeinschaftsorientierten Risikoansatz verfolgen, damit wir die Fragebögen und die Bedrohungsinformationen sowie die Ansätze von Tausenden anderer Kunden dieses Anbieters nutzen können. Wir können all diese Informationen einsehen. Wir verlassen uns nicht nur auf unseren eigenen Datensatz. Darin liegt eine große Stärke. Kollektive Intelligenz, die man von Plattformen wie dieser erhalten kann. Denken Sie daran, dass ich meinen Sicherheitsteams immer gesagt habe, dass sieSie sind nicht für diesen Prozess von Anfang bis Ende verantwortlich, Sie müssen mit dem gesamten Unternehmen zusammenarbeiten. Ich habe viele Webinare für Prevalent durchgeführt, und eines der anderen, das ich Ihnen empfehle, ist, wie wir die Beziehung zu den Beschaffungsteams wirklich zum Funktionieren bringen, denn unsere Ziele stimmen absolut überein, aber wir brauchen diese klare Kommunikation im Unternehmen, wir brauchen diese aussagekräftigen Kennzahlen, damit wir die Stakeholder darüber informieren können, was vor sich geht. Es ist eine echte Herausforderung, all diese Daten zu sammeln und in einen Zusammenhang zu bringen, aber Tools wie Prevalent sind dabei eine große Hilfe. Ich übergebe nun das Wort an Scott, der Ihnen ein wenig über Prevalent erzählen wird, bevor wir zu Ihren Fragen kommen. Scott, bitte übernehmen Sie.

Scott: Vielen Dank, Brian. Das weiß ich zu schätzen. Ähm, wissen Sie, alles, worüber Brian heute gesprochen hat, drehte sich letztendlich darum, Ihren bestehenden Ansatz zu verfeinern, wie Sie die wichtigsten Kennzahlen verstehen, organisieren und kommunizieren, wissen Sie, sozusagen die Hierarchie hinauf oder die Kette in der Organisation hinauf. Das ist der Kernpunkt, warum wir unsere Lösung so konzipiert haben, wie wir sie konzipiert haben: um Sie von Punkt A zu Punkt Z, Punkt B oder was auch immer zu bringen, ganz gleich, wo dieser Punkt liegt. Wir bieten unseren Lösungsansatz auf drei verschiedene Arten an. Die erste besteht darin, Ihnen zu helfen, sich schnell einen Überblick über die wichtigsten Risikokennzahlen zu verschaffen, die für Sie von Bedeutung sind, indem Sie eine bereits abgeschlossene Risikobewertung aus unserer Bibliothek, unserem globalen Informationsnetzwerk, einsehen. Diese Bewertungen basieren auf branchenüblichen Bewertungstypen und können Ihnen dabei helfen, diese Informationen herunterzuladen und zu verarbeiten, sie in Ihre lokale Instanz zu laden, sodass Sie bereits über ein vollständiges Risikoregister verfügen und die Risiken für diesen Anbieter dann dem für Sie wichtigen Branchen- oder Sicherheitsrahmen zuordnen können. So können Sie Prioritäten setzen und dann Risiken berechnen. Dazu gehören auch inhärente Risiken, richtig? Also die Risiken, die der Anbieter für ein Unternehmen mit sich bringt, ohne dass irgendwelche Kontrollen, Ihre Kontrollen, durchgeführt werden, richtig? Die Kontrollen, die Sie speziell für Ihr Unternehmen benötigen. Und dann können wir Ihnen helfen, diese Risiken anhand der Wahrscheinlichkeit und der Eintrittswahrscheinlichkeit in einer sogenannten Heatmap zu quantifizieren. Der zweite Mechanismus, den wir einsetzen, um Ihnen zu helfen, die Kontrolle über Risiken zu erlangen, besteht darin, dass wir dies für Sie übernehmen. Wir haben drei verschiedene Risiko-Operations-Center, also Risiko-Operations-Experten, die in den USA, Kanada und Großbritannien ansässig sind und Ihnen dabei helfen, die richtige Bewertung zu entwerfen, diefür Sie wichtig ist, um diese Informationen von Ihren Lieferanten zu sammeln, zu analysieren und so zu präsentieren, dass Sie in Ihrem Unternehmen leicht berichten können, welche Lieferanten die risikoreichsten sind und in welchen Bereichen Kontrollen verstärkt werden müssen, und zwar für alles, vom Onboarding bis zum Offboarding in diesem Lebenszyklus. Wenn Sie die Lösung selbst nutzen möchten, können Sie das natürlich auch tun. Äh, also die Drittanbieter-Risikomanagement-Plattform ist äh unsere Kernlösung, die es Ihnen ermöglicht, ähm Lieferanten zu integrieren, Risiken zu identifizieren, die richtigen Inhalte zu erstellen, um diese Risiken nach der Durchführung der inhärenten Risikobewertung zu erfassen, ähm und dann die Risiken mit den in die Plattform integrierten Empfehlungen zu organisieren, zu analysieren und dann ähm zu beheben. All diese Funktionen sind durch einen roten Faden miteinander verbunden. Und dieser rote Faden sind die kontinuierlichen Cyber-, Geschäfts- und Finanzrisiken von Lieferanten, denn eine einmalige Erfassung der Risiken pro Jahr nützt niemandem etwas, da etwas passiert, sobald die Risikobewertung abgeschlossen ist. Aus diesem Grund haben wir neben der Erfassung und Analyse von Risikoinformationen ein Element der kontinuierlichen Echtzeit-Risikokontrolle in das Risikomanagement integriert. Nächste Folie, Brian.

Scott: Ähm, wie ich bereits erwähnt habe, ist es unser Ziel, Ihnen dabei zu helfen, von Punkt A nach Punkt X zu gelangen, und wir verfolgen dabei einen sehr präskriptiven Ansatz, um Sie dorthin zu bringen. Angenommen, Sie beginnen an einem Ort, an dem Sie noch nicht einmal alle Ihre Lieferanten an einem Ort versammelt haben, geschweige denn wissen, welche Kennzahlen Sie melden müssen. Ähm, wir können Ihnen dabei helfen, diese Lieferanten programmgesteuert zu integrieren und zu bewerten, damit Sie priorisieren können, welche Art von Risikomanagement für diese Lieferanten erforderlich ist. Als Nächstes möchte ich noch einmal auf das zurückkommen, was Brian vor ein paar Minuten gesagt hat, nämlich dass man Microsoft Excel nicht zu hart kritisieren sollte. Ich weiß, dass wir es alle in gewisser Weise nutzen, aber wenn Sie bereit sind, aus dem Spreadsheet-Gefängnis auszubrechen. Wir können Ihnen helfen, diesen Prozess zu automatisieren, um auf unserer Plattform die richtigen Inhalte zu erstellen, diese Inhalte an Ihre Lieferanten zu senden und sie dann automatisch auf der Plattform zu analysieren, ohne dass Sie sich um den Wechsel zwischen Tabellenkalkulationen kümmern müssen. Wir haben erwähnt, dass die Bewertungsergebnisse durch kontinuierliche Cyberüberwachung validiert werden. Intel ist der nächste Schritt in diesem Prozess. Wir helfen Ihnen, intelligentere Entscheidungen zu treffen, indem wir diese Daten aktuell, relevant und auf dem neuesten Stand halten. So wissen Sie, wenn Sie Informationen zu wichtigen Risiken oder sogar KPIs präsentieren, dass diese Daten aktuell sind, und das gibt Ihnen die Möglichkeit, diese Probleme mit integrierten Abhilfemaßnahmen und Best Practices in der Plattform zu beheben und dann schließlich diese Risiken proaktiv und kontinuierlich zu bewerten. Wenn Ihr Programm ausgereift ist, wird es von Natur aus weniger reaktiv und proaktiver. Ihre Transparenz steigt, Ihre Effizienz steigt, wenn Sie den richtigen Ansatz wählen, um dieses Ziel zu erreichen. Nächste Folie, bitte, Brian.

Scott: Ähm, wissen Sie, was uns unterscheidet, ist, wie wir Informationen sammeln und aus welchen verschiedenen Quellen wir sie beziehen. Dieser Starburst, wenn Sie so wollen, ist nur eine Auswahl der verschiedenen Datenquellen, die wir nutzen, um Informationen in das System einzuspeisen, damit Sie besser verstehen, wo Ihre größten Risiken liegen und wie Sie diese quantifizieren und kommunizieren können. Alles, von der Lieferantengemeinschaft über Crowdsourcing bis hin zu privaten Quellen, von denen wir Informationen aus der behördlichen Überwachung lizenzieren, die wir im System auf dem neuesten Stand halten, über Industriepartnerschaften, Integrationen in Systeme, die Sie wahrscheinlich bereits nutzen, abgeschlossene Bewertungen in unserem Labor oder Labor, unserer Bibliothek und schließlich öffentliche Quellen wie OSENT-Informationen, die wir ebenfalls sammeln. All diese Informationen sammeln wir für Sie, um Ihrer Bewertung, die Sie versenden, Kontext, Flair und Klarheit zu verleihen, damit Sie bei Ihrer Berichterstattung und der Definition Ihrer KISS und KPI nicht nur über die Informationen verfügen, sondern auch über den Kontext hinter den Informationen. Das ist jedenfalls unser Ansatz. Zurück zu Ihnen.

Brian: Danke, Scott. Nun kommen wir zum Frage-Antwort-Teil. Ich werde das Wort an Melissa und Amanda übergeben, damit sie uns Ihre Fragen vorlesen können. Aber zuerst gibt es noch eine Umfrage, stimmt's?

Melissa: Ja, wir haben gerade unsere zweite und letzte Umfrage gestartet. Ähm, wir sind einfach neugierig, wissen Sie, wenn Sie innerhalb eines Jahres ein Programm zum Management von Risiken durch Dritte einführen oder ausbauen möchten, seien Sie bitte ehrlich. Ähm, denn wir werden das weiterverfolgen. Wie ich bereits sagte, werden das ich, Amanda, Null und Landon sein. Also, ich meine, es wird einer von uns sein. Wir werden auf jeden Fall unsere Sorgfaltspflicht erfüllen. Aber lassen Sie uns jetzt mit den Fragen und Antworten beginnen. Es ist sehr viel los. Diese Frage ist vielleicht für Scott, aber ich überlasse die Entscheidung Ihnen. Die erste Frage lautet: Verfügt die vorherrschende Plattform über Informationen zu großen Unternehmen wie Microsoft?

Scott: Ja, das tun wir auf jeden Fall. Wir haben zwei kostenlose Informationsquellen über große Unternehmen wie Microsoft. Die erste ist eine abgeschlossene Bewertung, die über sie durchgeführt wurde. Sagen wir mal, eine Standardbewertung zur Informationsbeschaffung. Vielleicht ist es ein SOCK-2-Bericht. Und dann ergänzen wir das durch eine kontinuierliche Überwachung von Informationen zu Cybersicherheit, Geschäftstätigkeit, Finanzen, Reputation und Datenverstößen. Sozusagen, um das Anbieterprofil zu vervollständigen und der abgeschlossenen Bewertung zusätzliche Informationen hinzuzufügen. Also, ja, das tun wir.

Melissa: Verstanden. In Ordnung. Nächste Frage. Ähm, wie würden Sie Ihrer Erfahrung nach das gesamte jährliche Risiko aus Sicht des Risikomanagements von Dritten am besten berechnen und kommunizieren?

Brian: Wow. Wissen Sie, das ist eine der schwierigsten Aufgaben, die man gemeinsam bewältigen kann. Ich persönlich habe das immer in Stufen angegangen. Man schaut sich also die Lieferanten der Stufen eins, zwei und drei an und geht vielleicht bis zur Stufe vier. Denn wenn man beispielsweise Stufe vier und Stufe eins miteinander vermischt, verwirrt das nur das Gesamtbild. Man konzentriert sich also wirklich auf die Lieferanten, die für Sie, Ihre Kunden oder Ihren Geschäftserfolg absolut entscheidend sind. Vielleicht produzieren sie Dinge in Ihrem Auftrag. Und was die Wirksamkeit des Programms angeht, geht es darum, wo Sie angefangen haben. Was wollten Sie in Bezug auf die Risikominderung bei diesen Lieferanten erreichen? Und was haben Sie am Ende des Jahres erreicht? Aber Sie wissen, dass das ein iterativer Prozess ist. Ich würde das also nicht einmal im Jahr kommunizieren. Ich würde jeden Monat darüber sprechen, denn meiner Erfahrung nach möchte die Geschäftsleitung Sie bei diesen Herausforderungen in den Bereichen Sicherheit und Beschaffung unterstützen, und es geht darum, dass wir mit diesem Lieferanten zusammenarbeiten, der vielleicht nicht dies oder das erfüllt usw. Und darum, diesen Hebel ständig zu betätigen. Wenn Sie das also jährlich tun möchten, stellen Sie sicher, dass Sie dabei schrittweise vorgehen, aber teilen Sie es zumindest in 12-Monats-Zyklen auf, damit die Leute am Ende des Jahres nicht überrascht und schockiert sind. Sie erkennen, was Sie sagen, weil sie das ganze Jahr über Teil der Gespräche waren. Richtig.

Melissa: Perfekt. Danke. Okay. Nächste Frage. Ist die Bedrohungsanalyse für Lieferanten automatisiert, wie ein automatischer Feed, oder bietet Prevalent nur Felder an, in denen Unternehmen ihre eigene OS-Analyse für ihre Lieferanten durchführen können? Diese Frage ist vielleicht eher für Scott.

Scott: Ja. Ähm, wir bieten also unsere eigenen nativen, ähm, kontinuierlichen Überwachungs-Feeds an, richtig? Wir integrieren also Cyber-Feeds. Ähm, wir haben auch unsere eigenen Cyber-Feeds entwickelt, um Informationen zu sammeln und in die Plattform einzuspielen. Ähm, und dann haben wir noch Informationen zur Reputation von Unternehmen, die wir ebenfalls aus externen Quellen beziehen, sowie Finanzinformationen, ähm, äh. Es handelt sich also um eine Kombination aus Feeds, die wir erstellt haben, Informationen, die wir gesammelt haben, ähm, wissen Sie, die wir erstellt haben, und Informationen, die wir ebenfalls sammeln, aber wir haben auch eine offene API und einen Connector-Marktplatz, damit Sie eine Verbindung von der gängigen Plattform zu jedem anderen System herstellen können, das Sie derzeit dafür verwenden.

Melissa: Super. Danke, Scott.

Melissa: Okay, los geht's. Der Onboarding-Prozess für Lieferanten ist in vielen Unternehmen oft ein Rätsel, was die Inputs und Ergebnisse angeht, die von den Prozessverantwortlichen abhängen. Was sind die besten Vorgehensweisen für das Onboarding von Lieferanten, um einen robusten Prozess zu gewährleisten?

Brian: Ja. Also, ich denke, es ist wieder ein mehrstufiger Ansatz. Ich verwende immer ein Beispiel: Wenn Sie jemanden haben, der Zutaten für die Küche liefert, oder jemanden, der ein Rechenzentrum verwaltet, dann wäre der Onboarding-Prozess dafür etwas anders. Ich denke, alle Fragen, die Sie dem Küchenlieferanten stellen würden, würden auch für den Rechenzentrumslieferanten gelten, aber es kämen noch viele weitere hinzu. Ähm, ich halte es für einen komplexen Prozess, wenn für beide derselbe Onboarding-Prozess verwendet wird. Äh, und da fragt man dann jemanden, der Küchenzutaten liefert, ob er über Datenschutz, Videoüberwachung, äh, 24-Stunden-Bewachung, ähm, Speed Gates für den Ein- und Ausgang usw. verfügt. Es gibt eine Relevanz, die Sie Ihrem Lieferanten gegenüber ansprechen müssen. Also, noch einmal, nehmen Sie diesen mehrstufigen Ansatz. Ich denke, für die Onboarding-Phase ist es wirklich wichtig, den Lieferanten auf hoher Ebene kennenzulernen, welche Richtlinien und Verfahren er hat, wer die Leitung der Organisation innehat und wie die Finanzen der Organisation aussehen. Möglicherweise wissen Sie noch gar nichts über ihn. Sie müssen schnell Daten erfassen. Und hier habe ich gesagt, dass Sie, wenn Sie Excel verwenden, mit einem leeren Blatt Papier beginnen. Das ist schwierig. Wenn Sie etwas wie Prevalent verwenden, können Sie in der Regel einen Großteil der Informationen über diesen Lieferanten herausfinden. Die beste Vorgehensweise ist also, im Rahmen des Onboarding-Prozesses nicht alles zu fragen. Fragen Sie, was für die weitere Vorgehensweise entscheidend ist, und den Rest können Sie dann natürlich im Laufe der Beziehung herausfinden. Aber dann sollten Sie einen Prozess nutzen, mit dem Sie diese Informationen so schnell wie möglich erhalten, damit Sie nicht in den Hintergrund geraten.

Melissa: In Ordnung, perfekt. Mal sehen. Ich habe noch eine weitere Frage. Wie kann ein Unternehmen, das sein Budget streng verwalten muss, am besten den Spagat zwischen der Notwendigkeit, kleinere Lieferanten zu wählen, die den geschäftlichen Anforderungen entsprechen und das Budget einhalten, und der Risikominimierung, die eher bei größeren und teureren Lieferanten gegeben ist, schaffen?

Brian: Ja. Und das muss unbedingt geschehen, oder? Ich habe kleine Lieferanten gesehen, die durch den Risikomanagementprozess großer multinationaler Unternehmen und Dritter potenziell in den Ruin getrieben werden könnten, weil die Investition an Zeit, die sie aufwenden müssen, um alle Fragen zu beantworten und alle Daten einzugeben usw., eine echte Herausforderung sein kann und man durch einen zweistufigen Prozess tatsächlich Innovationen oder kleinere Unternehmen, die sich an einen wenden, behindern kann. Ich denke, wir müssen alle erkennen, dass selbst große multinationale Unternehmen mit kleinen innovativen Unternehmen zusammenarbeiten wollen, was für sie ein großes Unterscheidungsmerkmal sein kann. Wir müssen also in unserem Ansatz und unserem Prozess flexibel sein, und es geht nicht nur um die Bedeutung für das Unternehmen, sondern auch um die Größe und den Umfang dieses Unternehmens. Wenn Sie mit einem kleinen Start-up mit vier Mitarbeitern zusammenarbeiten, müssen Sie bei den Fragen, die Sie ihnen stellen, sensibel vorgehen, und Sie sollten in Ihrem Programm eine gewisse Flexibilität hinsichtlich der Größe und des Umfangs des Unternehmens einbauen, da viele Dinge, die Sie in einem großen Unternehmen erwarten würden, in einem kleinen Start-up oder einem Scale-up nicht vorhanden sind. Das bedeutet jedoch nicht, dass Sie nicht mit ihnen zusammenarbeiten möchten. Ähm, und noch einmal, Sie haben absolut Recht. Wissen Sie, man kann eine Menge interner Ressourcen verbrauchen, wenn man versucht, die Risiken einer großen Organisation zu erfassen, aber genau hier kommen Dinge wie Sock Two-, Sock Three- und Sock One-Berichte ins Spiel. Was Sie also letztendlich suchen, ist die Gewissheit, dass Sie Ihr Risiko managen können. Ob das nun persönlich und individuell von Ihrem Team getan werden muss oder ob Sie die verfügbaren Informationen nutzen können oder die Daten aus Sock-Two-Berichten und ähnlichen Quellen, die ebenfalls sehr nützlich sind. Also.

Melissa: Danke. Okay, machen wir weiter. Wir arbeiten uns wirklich durch all diese Fragen. Inwieweit werden kulturelle Nuancen in die Risikobewertung einbezogen, um die Auswirkungen einer Organisation auf etablierte Sitten und Gebräuche innerhalb einer Gemeinschaft, in der sie tätig ist, zu berücksichtigen?

Brian: Und was für etablierte Moralvorstellungen. Meinst du, das bedeutet oder?

Melissa: Ich denke schon. Ja. Nun, das kannst du davon ausgehen.

Brian: Ja. Ich denke, Sie wissen, dass Kultur ein sehr interessanter Blickwinkel ist, den wir immer berücksichtigen müssen. Dinge wie Anti-Korruption existieren aufgrund der Kultur, die in einigen Ländern herrscht, in denen einige von uns tätig sind. Es war ziemlich normal, dass bei Geschäftsabschlüssen ein Umschlag über den Tisch gereicht wurde. Wir müssen also die Kultur unserer Organisation verstehen und wissen, wie wir uns das Verhalten unserer Lieferkette vorstellen. Und Sie wissen, dass es sogar Organisationen geben kann, die in Ländern tätig sind, in denen bewährte Verfahren nicht eingehalten werden, und dass dies für sie vielleicht kulturell akzeptiert ist, aber wir unterliegen Vorschriften, die sicherstellen, dass dies in unserer Lieferkette nicht vorkommt. Wir müssen also ziemlich streng sein und wir müssen diese Aspekte in Bezug auf Geldwäschebekämpfung, Bestechungsbekämpfung und all diese Aspekte kontrollieren, um sicherzustellen, dass sie abgedeckt sind. Wir müssen also verstehen, dass kulturelle Unterschiede bestehen, und sensibel damit umgehen. Aber ebenso müssen wir verstehen, was die Kernkultur unseres Unternehmens ist. Wie erwarten wir von uns selbst, dass wir uns verhalten? Wie ziehen wir uns selbst zur Rechenschaft? Und das sind letztendlich die Anforderungen, die Sie an Ihre Lieferkette stellen, und dann setzen Sie die richtigen Kontrollen ein, um das auch messen zu können. Deshalb habe ich gesagt, dass es nicht nur um Cyberrisiken geht, sondern um Risiken, und dass die Kultur selbst ein Risiko darstellen kann. Man muss sich dessen einfach bewusst sein. Perfekt. Okay, los geht's. Wie beziffern Sie den Geldwert der Gesamtpunktzahl oder Bewertung eines bestimmten Drittanbieters?

Melissa: Tut mir leid, Leute. Gibt es noch mehr davon?

Melissa: Ähm, diese Frage ist vielleicht eher für dich oder Scott. Ich bin mir nicht sicher, wer diese Frage besser beantworten kann. Bitte sehr.

Brian: Wie bewertet man den Gesamtwert eines bestimmten Drittanbieters in Geld? Das ist immer schwierig. Es ist so, als würde man fragen, wie man die finanziellen Auswirkungen eines Sicherheitsvorfalls bewertet, der gerade in all diesen Bereichen aufgetreten ist. Scott, Sie können nach mir antworten, aber ich würde sagen, dass dies weitgehend subjektiv sein kann, man muss sein Geschäft verstehen. Ich arbeite zum Beispiel viel im Fertigungsbereich. Dort weiß man, wie viele Einheiten pro Tag, pro Stunde, pro Minute usw. in der Fabrik produziert werden. Wenn es zu einem Cybervorfall bei einem Lieferanten kommt und dessen Fabrik stillsteht, lässt sich sehr leicht quantifizieren, wie viele Produkte verloren gegangen sind und welche finanziellen Auswirkungen dies auf das Unternehmen haben wird. Es gibt immer noch eine andere Dynamik hinsichtlich der Kosten für die Wiederherstellung des Geschäftsbetriebs, denn braucht man neue Laptops, neue Server? Muss man die Mitarbeiter bezahlen, während sie nicht arbeiten können? Es gibt viele verschiedene Faktoren, die man durchdenken muss. Und ich sage nicht, dass man das für jeden einzelnen Lieferanten innerhalb seines Einflussbereichs tun kann. Aber auch hier gilt: Welche unserer kritischen Lieferanten müssen wir kartieren? Ich konzentriere mich immer darauf, wer uns Probleme bereiten kann, wer uns physisch oder logistisch daran hindern kann, unsere Kunden zu bedienen, und was wir tun können, um dies in Zukunft zu vermeiden. Es wird immer eine Bandbreite geben. Versuchen Sie also, diese Bandbreite so klein wie möglich zu halten. Aber gehen Sie nicht mit einer einzigen Zahl an die Sache heran. Es wird immer eine Bandbreite geben.

Brian: Scott, hast du dazu noch etwas hinzuzufügen oder?

Scott: Scottholt sich einen Kaffee? Nein.

Brian: In Ordnung, das ist gut.

Scott: Entschuldigung, ich spreche gerade in mein stummgeschaltetes Telefon. Ich bin noch im Urlaubsmodus. Ich bin gestern Nachmittag aus dem Urlaub zurückgekommen. Ähm, ehrlich gesagt ist das für jedes Unternehmen ganz individuell. Ich meine, es gibt einen allgemeinen Rahmen, um zu wissen, wie die Priorisierung erfolgt, basierend auf der Wahrscheinlichkeit und den Auswirkungen und der Bewertungsmethodik des Unternehmens, aber es gibt so wenig Standardisierung, basierend darauf, wie es sich auf Sie auswirkt, dass ich wirklich nichts anderes hinzufügen würde als das, was Brian gesagt hat.

Melissa: Großartig. Okay, ich habe noch Zeit für eine weitere Frage. Inwieweit hat es Ihrer Erfahrung nach einer Organisation geholfen, ihre Versicherungskosten so zu verhandeln, dass sie auch die Cybersicherheit abdecken, wenn die gesammelten Daten in einem besser verständlichen Format vorliegen?

Brian: Ja, das hilft sehr, denn es zeigt, dass Sie dieses Risiko verstanden haben und es effektiv managen. Cyber-Versicherungen werden immer schwieriger zu bekommen. Auch ihr Wert nimmt ab. Ich verstehe, dass es absolut angesagt ist, eine solche Versicherung zu haben, und dass es bewährte Praxis ist, sie abzuschließen, aber es gibt immer Auswege aus diesen Klauseln. Das ist richtig. Wenn Sie also nicht das Richtige getan haben, haben Sie vielleicht eine Cyberversicherung, aber wenn es um die Auszahlung geht und sie kommen und sagen: „Nun, Sie haben das Risiko in Ihrer Lieferkette nicht effektiv quantifiziert und gemanagt, dann bekommen Sie kein Geld, oder? Oder Sie haben Ihr Schwachstellenmanagement oder Ihre Patches nicht effektiv angewendet.“ Das ist so, als würde in Ihr Haus eingebrochen werden, aber Sie hätten die Vorder- oder Hintertür offen gelassen. Die werden nicht sehr glücklich mit Ihnen sein. Wenn Sie also von vornherein einen Überblick haben und tatsächlich zeigen, dass Sie, wenn Sie einen Makler beauftragen oder sich direkt an eine große Versicherungsgesellschaft wenden, dieses Risiko verstanden haben, bevor sie Ihnen die Versicherung geben, wird das tatsächlich eine Voraussetzung sein. Aber wenn Sie zeigen, dass Sie proaktiv sind und diesen Prozess effektiv verwalten, führt das zu einer günstigeren Prämie. Je mehr Fähigkeiten Sie haben und je besser Sie zeigen können, dass Sie die Sicherheit in Ihrem Unternehmen ernst nehmen, desto geringer werden die Prämien für Ihr Unternehmen in Zukunft sein. Das hat also auch Auswirkungen auf diese Seite.

Melissa: Großartig. Nun, das war alles, was wir für heute geplant hatten. Ich hoffe sehr, dass Ihnen das Webinar von Brian gefallen hat. Ich bin mir sicher, dass wir Ihnen viele Denkanstöße gegeben haben, und wir werden uns bald in Ihren Posteingängen wieder sehen. Machen Sie's gut. Tschüss.

Brian: Vielen Dank an alle.