Nachhaltiges Risikomanagement für Dritte Teil 3: Sichtung, Bewertung und Überwachung

Melissa: In Ordnung, willkommen, willkommen an alle. Äh, einen schönen Mittwoch. Es ist großartig zu sehen, dass Sie alle anfangen, mitzumachen. Ähm, während wir darauf warten, dass die Leute eintrudeln, werde ich unsere allererste Umfrage starten. Wenn das nicht Ihr erstes Rodeo ist, haben Sie das sicher schon mal gesehen. Aber wir wollen einfach wissen, was Sie zu unserem heutigen Webinar führt. Geht es um Bildung? Sind Sie in der Anfangsphase? Oder sind Sie bereits Kunde, dann lassen Sie es mich wissen. Ich werde die Umfrage noch ein oder zwei Minuten laufen lassen und dann mit der Vorstellung beginnen. Wir haben unseren ganz besonderen Gast hier, den Gründer und CEO von Cyber Marathon Solutions, Bob Wilkinson. Sagen Sie hallo, Bob.

Bob Wilkinson: Hallo, Bob.

Melissa: Wir haben auch unseren eigenen Scott Lang, äh, VP des Produktmarketings hier bei Prevalent, und auch mich. Mein Name ist Melissa. Ich arbeite in der Geschäftsentwicklung und bin normalerweise diejenige, die sich nach diesem Webinar mit Ihnen in Verbindung setzt, und mit einigen von Ihnen habe ich bereits gechattet. Sie haben also vielleicht meine Stimme gehört. Das tut mir leid. Und Sie haben wahrscheinlich entweder von ihr oder von Amanda oder Landon oder Null gehört. Also, haltet nach uns Ausschau. Heute wird sich Bob mit dem dritten Teil des Themas Triage-Bewertung und kontinuierliche Überwachung befassen. Wenn Sie die ersten beiden Teile leider verpasst haben, können wir Ihnen diese Aufzeichnungen zur Verfügung stellen. Zur Erinnerung: Wir wollen uns natürlich Ihre Zeit nehmen, also nutzen Sie bitte die Fragen und Antworten für alle Fragen, die Sie vielleicht haben. Sie werden im Chat verloren gehen, das verspreche ich. Stellen Sie also sicher, dass Sie die Fragen und Antworten so gut es geht nutzen. Auch dies wird aufgezeichnet, also keine Sorge. Ihr werdet es heute oder morgen in eurem Posteingang finden. Zu guter Letzt sind Sie alle stummgeschaltet, also benutzen Sie den Chat, wenn Sie etwas anderes als eine Frage- und Antwortrunde mitteilen möchten. Ansonsten unterbreche ich diese Umfrage und überlasse Bob das Wort.

Bob Wilkinson: Ich danke Ihnen vielmals, Melissa. Okay, wie Melissa schon sagte, ist dies der dritte Teil einer vierteiligen Serie über den Aufbau eines nachhaltigen Risikomanagementprogramms für Drittanbieter. Heute werden wir also eine Reihe von Themen behandeln, darunter das, was ich als Risikobereiche in der Lieferkette bezeichne, Triage, Risikobewertung, kontinuierliche Überwachung und die Checkliste für die Automatisierung des Programms für Dritte. Denn die Automatisierung ist ein Schlüsselfaktor für den Erfolg Ihres Risikomanagementprogramms für Drittanbieter. Wir beginnen also damit, über die Kritikalität von Drittparteien zu sprechen. Wissen Sie also, welche Ihrer Drittparteien und damit verbundenen erweiterten Lieferketten mit Ihren geschäftskritischen Dienstleistungen und Produkten verbunden sind? Und dann schauen wir uns die Dritten an und wie sie innerhalb Ihrer Organisation aufgegliedert und klassifiziert sind. Und was wir hier anstreben, unterscheidet sich von einer Kategorisierung im Beschaffungs- oder Liefermanagement, die auf Funktionen basiert. Hier geht es um das Risiko und darum, wie wir auf der Grundlage des Risikobereichs, in den ein Dritter fällt, eine Triage vornehmen können, um den Prozess des Onboardings von Dritten zu beschleunigen und zu vereinfachen. Dann werden wir ein wenig über regelmäßige Risikobewertungen und Ereignisse sprechen, die eine Neubewertung von Dritten auslösen, von denen es eine Reihe gibt, die wir alle kennen müssen. Dann werden wir uns ein wenig mit Datenwissenschaft und Analytik befassen und damit, wie diese eine entscheidende Rolle bei der Quantifizierung des Risikos in Ihrem Bestand an Drittanbietern spielen können und wie dies die Grundlage für Ihre künftigen Maßnahmen bilden kann. Danach werden wir uns mit der kontinuierlichen Überwachung von Drittanbietern befassen, wie Sie damit beginnen können, und eine Checkliste mit wichtigen Faktoren für die kontinuierliche Überwachung erstellen. Abschließend werden wir über die Rolle der Automatisierung in einem Risikomanagementprogramm für Drittanbieter und einige der wichtigsten Punkte sprechen, die bei der Automatisierung berücksichtigt werden sollten. Beginnen wir also mit der Kritikalität von Drittparteien. Je nach Größe Ihres Unternehmens können Sie zwischen einer kleinen Anzahl bis hin zu buchstäblich Zehntausenden von Drittparteien in Ihrer Lieferkette haben. Wenn man also darüber nachdenkt, wie man die mit ihnen verbundenen Risiken bewertet, wird es zu einer Übung darin, herauszufinden, welche die kritischsten für Ihr Unternehmen sind, und wie man sie identifiziert und sich auf sie konzentriert. Dabei könnte es sich um die Rolle eines Dritten in einigen Ihrer wichtigsten betrieblichen Prozesse handeln, um die Funktion, die der Dritte erfüllt, und um die Klassifizierung der Informationen, die er verarbeitet. Bei der Betrachtung dieser verschiedenen Dritten ist es sehr wichtig, einen Ausgangspunkt zu haben. Um eine Ausgangsbasis für eine Definition der Kritikalität zu finden, können Sie unter anderem mit Ihren Mitarbeitern für Disaster Recovery und Geschäftskontinuität zusammenarbeiten, denn diese verfügen in der Regel über eine Liste der kritischen Prozesse und Dienstleistungen, die Ihr Unternehmen anbietet, und das würde Ihnen einen ersten Einblick geben, welche Ihrer Drittparteien als kritisch eingestuft werden. Es gibt noch eine Reihe anderer Möglichkeiten, wie Sie das tun können. Aber für den Anfang ist das für mich oft der einfachste Weg, um an diese Informationen zu kommen. Wenn Sie wissen, welche Ihrer kritischen Drittparteien mit verschiedenen Geschäftsprozessen verbunden sind, sollten Sie nicht dabei stehen bleiben. Schauen Sie sich an, welche vierten, fünften und sechsten Parteien möglicherweise ebenfalls Dienstleistungen für diese dritte Partei erbringen, die an Ihrem kritischen Geschäftsprozess beteiligt ist. Denn es kann der Fall eintreten, dass die dritte Partei Zugang zu Ihrer Infrastruktur hat oder Ihre vertraulichen Informationen mit vierten, fünften und sechsten Parteien teilt, ohne dass Sie sich dessen voll bewusst sind, und das wiederum erweitert das Risiko für diese kritischen Geschäftsprozesse weiter in Ihre Lieferkette hinein. Wenn Sie sich also überlegen, welche Auswirkungen diese kritischen Dritt- und Drittparteien auf Ihr Unternehmen haben könnten, haben Sie eine gute Grundlage, um das Risiko von Drittparteien in Ihrem Programm zu berücksichtigen.

Scott Lang: Hey Bob.

Bob Wilkinson: Ja.

Scott Lang: Ich habe schon ein paar Fragen. Das ist gut.

Bob Wilkinson: Okay, fangen wir an.

Scott Lang: Sie sind bereit, zu reden. Wie viel Wert sollte man also auf die Überprüfung von vierten Parteien legen? Sollten sie ebenfalls einer Risikobewertung unterzogen werden oder wie viel Due-Diligence-Prüfung bzw. laufende Überwachung sollte erforderlich sein?

Bob Wilkinson: Okay, das ist eine wirklich schwierige Frage, denn sagen wir, Sie fangen mit 100 Drittanbietern an, gehen Sie zu den vierten Anbietern, haben Sie vielleicht tausend, gehen Sie zu den fünften Anbietern, haben Sie vielleicht 5.000. Die Zahl wird also unüberschaubar, und das stellt in Verbindung mit dem normalen Wachstum der Zahl der von Ihrem Unternehmen genutzten Drittanbieter eine große Herausforderung dar. Im Laufe der Präsentation werden wir noch mehr darüber sprechen. Aber die Bindung von Drittanbietern an die kritischen Dienstleistungen und Produkte, die Ihr Unternehmen anbietet, ist der Schlüssel, auf den Sie sich konzentrieren müssen. Und wenn wir im weiteren Verlauf der Präsentation über die Rolle der kontinuierlichen Überwachung sprechen, haben wir die Möglichkeit, diese vierten und fünften Parteien wirklich zu nutzen und weiter zu überwachen. Das ist also eine Teilantwort, die ich im Laufe der Präsentation noch erweitern werde.

Melissa: Okay. Und was ist dann mit der vierten, fünften und sechsten Partei? Wie würden Sie das definieren?

Bob Wilkinson: Das sind die Unterauftragnehmer für Ihr Unternehmen oder für Ihre Drittpartei. Angenommen, Sie arbeiten mit IBM zusammen und IBM lagert einen Teil der Funktionalität an AWS aus, das das Hosting für die Software oder Anwendung übernimmt, die IBM verwendet. In dieser Konversation wäre AWS also eine vierte Partei für Sie. Für IBM wäre es eine dritte Partei.

Melissa: Verstanden. Gut. Und haben dritte und vierte Parteien irgendwelche Verpflichtungen, auf eine Informationsanfrage zu antworten?

Bob Wilkinson: Nun, das hängt alles davon ab, ob Sie einen Vertrag haben, der sie dazu verpflichtet. Wichtig ist dabei, inwieweit Sie Ihre Vertragssprache mit Dritten standardisieren können und wie Sie Dritten mitteilen, dass alle anderen vierten, fünften und sechsten Parteien, die sie einschalten, an die Bedingungen des Vertrags gebunden sind, den Sie mit Ihrer dritten Partei haben. Wenn wir uns also mit Verträgen beschäftigen, gibt es drei wichtige Dinge zu tun. Der erste ist das Recht auf Prüfung, das sich mit diesem Thema befasst. Sie wollen sicherstellen, dass Ihre Drittpartei eine ausreichende Due-Diligence-Prüfung bei diesen vierten Parteien durchführt, um zu gewährleisten, dass sie sich an die Standards des Vertrags halten, den die Drittpartei mit Ihnen geschlossen hat. Das ist also ein wichtiger Aspekt, dass Sie sie vertraglich verpflichten, denn wenn Sie das nicht tun, können sie sagen, dass Sie kein Recht haben, das zu tun, und dass es nichts im Vertrag steht. Das ist also eine Möglichkeit, das Problem anzugehen.

Melissa: Got it. Okay. Thank you. Okay. So let’s talk about risk domains. Now when I talk about risk domains, I’m differentiating from uh product domains, if you will. So it’s not uncommon in procurement organizations that they would come up with classifications of third parties based on the services provided. This is a similar concept, but the important differentiator is it’s based on risk. So when we think about this, there are numerous ways and it will to some extent be driven by the type of business your organization is in how you would classify that. But you could do it based on functions, products, services. Um so some examples might be uh you classify all of your call centers that provide customer support. It might be payment processors. It might be software developers which is very very important and I’ll talk about more in this presentation. You also might have risk domains that are structured based on the information that you share with your third parties. You might also do um and some companies in fact do this. You might have a risk domain based on employee information that’s shared with third parties because you want to get that granular. You might do it based on those companies that have access to your infrastructure. The point being that there are numerous ways to classify risk domains, but by doing it that way, um, as you’ll see in another slide or two, you have the opportunity to focus on the controls that are most critical for that risk domain. And that’s where you can really leverage the process to be more efficient. Now, one of the challenges that all third part risk management programs have these days is the organic growth in the number of third parties. Many of the companies I talked to say that their third parties increase uh anywhere up to and above 10% a year. Now, if you think about that, if you have a thousand third parties and you’re getting 100 new ones a year, how is your organization prepared to do the due diligence? and incorporate and onboard all of those new third parties. That in itself becomes a challenge. If you go back to your management and say, “Well, the program’s growing 10% a year, so I need 10% more a year in my budget.” Well, good luck with that because that’s uh not a high likelihood that you’re just because the program is growing that you’re going to get that additional funding. So, we have to work smarter about how we deal with the risk. And that ties back to the criticality of the service provided. But by focusing on risk domains, you are better able to manage the volume of third parties and third party due diligence that you need to manage. Now, there are two important factors here. By more efficiently managing your third-party inventory, you’re able to better manage the costs associated with the program. But the other point is by defining um into risk domains who your third party third parties are, you’re also able to see where you have duplication. So, and I’ve talked about this before, the the key point when a business unit comes to you and says they want to onboard a new third party, the first question you should always ask is, well, do we already have a third party that provides the service that you’re looking for because if we already have a third party that provides the service that you’re looking for, you can eliminate the due diligence. You’re likely going to get better pricing because you’re expanding the relationship with an existing third party and it just makes everything more efficient. And in the process of doing that, you’re also decreasing risk. So from my perspective, this is a win-win. You manage the number and the total cost of doing the due diligence on the third parties while you’re also li limiting the amount of risk. So how do we do this? Um this is what I call risk triage. So when we have third parties categorized by risk domains, we can focus on those specific controls which are most important to the type of work and the risk that’s involved with that particular risk domain. So what I’m saying is you can ask a smaller number of questions and you can focus on the key controls that are involved with a particular risk uh domain to determine whether you need to go deeper. So what we’re trying to do here u when we when we take a step back and we look at our third party risk programs is we’re trying to be more efficient. We’re trying to help the businesses because if the businesses aren’t being successful in getting the third parties on board that they need to do their business and take advantage of opportunities, then it’s not going to be too long before that we don’t need a third party risk management program because the business is not successful. So, in streamlining our approach to how we manage the third parties we have to deal with and by focusing on the key controls that are involved In managing risks associated with those risk domains, we can be much more efficient in how we onboard and how we manage on an ongoing basis the risk that’s associated with using third parties. Now, that ties directly into data science and analytics. So, everyone hears that, you know, we’re doing more things with data science and analytics. Here’s a way that it converts into how you manage your third party risk management program. So if I have a a a set of questions that I apply to a specific risk domain, say I’m looking at uh third parties who use confidential information. What are the what are the critical controls, the key controls that I care about there? Well, how is that information being transmitted? What is that volume of information that’s being shared um what do we know about the third party and their level of security? …

Bob Wilkinson: Indem wir das tun, konzentrieren wir uns auf die wichtigsten Aspekte der Beziehung. Und mit Hilfe der Datenwissenschaft ermitteln wir einen gewichteten Wert für diese Schlüsselfragen, auf die wir uns konzentrieren. Wenn ich mich beispielsweise für vertrauliche Informationen interessiere, wie viel Gewicht lege ich dann darauf, wie sicher diese Informationen weitergegeben werden? Wie viel Gewicht messe ich dem Umfang der ausgetauschten Informationen bei, und wie unterscheidet sich dieser Prozess von der Art und Weise, wie viele Dinge heute gehandhabt werden? Die Schlüsselkontrollen, die mit einem Risikobereich verbunden sind, bestehen in der Verknüpfung unserer internen Daten mit Daten aus externen öffentlichen Quellen, wie z. B. einige der Cyberüberwachungs-Tools und einige der umfassenderen Risikomanagement-Tools, die sich nur auf öffentlich verfügbare Daten konzentrieren. Wenn wir öffentlich zugängliche Daten mit internen Informationen kombinieren können, erhalten wir einen klaren Überblick über das Risiko, das eine bestimmte dritte Partei für ein Unternehmen darstellt. Dadurch erhalten wir die Möglichkeit, Schwellenwerte dafür festzulegen, wie viel Risiko wir in unseren verschiedenen Risikobereichen zu akzeptieren bereit sind. Auf einer Skala von eins bis fünf, bei der fünf gut und eins schlecht ist, würden wir zum Beispiel den Schwellenwert für die Verwendung vertraulicher Informationen auf vier festlegen. Wenn wir also bei den Fragen zu den Schlüsselkontrollen im Rahmen der Risikoeinstufung eine Punktzahl von weniger als vier erhalten, müssen wir aufgrund der Sensibilität der Informationen und der offensichtlichen Lücken, die ein Dritter hat, wirklich genauer hinsehen und eine größere Sorgfalt walten lassen. Jetzt können wir das auf individueller Ebene tun. Bei der Bewertung einer einzelnen Drittpartei können wir das Risiko auf der Ebene des Risikobereichs bewerten. Alles, was wir tun, ist, die Anzahl der Drittparteien in einem Risikobereich zu nehmen und den Durchschnittswert zu ermitteln, oder wir können das Risiko für unser gesamtes Drittparteienportfolio, den gesamten Bestand, bewerten. Und sobald wir Data Science einsetzen, können wir zu jedem beliebigen Zeitpunkt die Risikobewertung für unseren Bestand an Drittanbietern berechnen.

Bob Wilkinson: Und das Wichtigste daran ist, dass wir dadurch sehen können, wie sich das Risiko durch den Einsatz von Dritten für unsere Organisation entwickelt. Das ist sehr viel komplexer, und in diesem Webinar haben wir nicht die Zeit, dieses Thema zu vertiefen, aber ich versuche, Ihnen einen Eindruck von einer anderen und quantitativeren Art und Weise zu vermitteln, wie man das Risiko einrichtet und misst und in der Lage ist, dies den verschiedenen Stakeholdern mitzuteilen, um zu sagen: Okay, das Risiko im Portfolio steigt oder das Risiko in diesen Bereichen steigt oder das Risiko mit diesem einzelnen Dritten steigt. Es hat also Vorteile, Risiken nach Bereichen zu definieren und sich nur auf die wichtigsten Kontrollen zu konzentrieren. Anstatt jede mögliche Kontrolle zu betrachten, die mit einem Dritten verbunden sein könnte, wenn Sie entweder Ihre anfängliche Unternehmensauswahl für Dritte treffen oder wenn Sie eine bestimmte Organisation in Ihr Unternehmen aufnehmen wollen, nachdem Sie diesen Prozess durchlaufen haben. Wenn wir zu dem Schluss kommen, dass die Risikogrenze für ein bestimmtes Unternehmen in einem bestimmten Risikobereich überschritten wurde, sollten wir uns das genauer ansehen. Und das ist der Punkt, an dem wir, sagen wir mal, eine umfassende Risikobewertung eines Unternehmens durchführen, bei der die Antworten der Drittpartei auf die Schlüsselkontrollen in einem Risikobereich so viele Fragen aufgeworfen haben, dass Sie das Bedürfnis haben, tiefer zu gehen, weil es offene Fragen über die Haltung des Unternehmens in Bezug auf das Management der Schlüsselrisiken für diesen Risikobereich gibt. Wenn Sie sich das ansehen, müssen Sie entscheiden, welchen Fragebogen Sie verwenden wollen. Haben Sie einen eigenen Fragebogen oder verwenden Sie einen der verschiedenen branchenüblichen Fragebögen, die zur Verfügung stehen, aber Sie sollten ihn auf eine standardisierte Weise erstellen. Der zweite Punkt ist: Wie werden Sie diese Risikobewertungen durchführen? Werden Sie sie vor Ort durchführen? Nun, das ist seit der COVID-Phase nicht mehr so oft geschehen. Oder werden Sie sie aus der Ferne durchführen oder eine Mischung verwenden? Werden Sie für die Durchführung der Risikobewertungen Ressourcen Ihrer eigenen Organisation einsetzen? Werden Sie Personalverstärkung einsetzen und diesen Prozess auslagern?

Bob Wilkinson: Sind Sie bereit, Offshore-Ressourcen einzusetzen, weil Sie versuchen, die mit dem Programm verbundenen Kosten effizienter zu verwalten. Werden Sie Risikobewertungsdienste in Anspruch nehmen, von denen es eine Reihe gibt, die die Risikobewertung durchführen und Ihnen einen Bericht vorlegen, auf den Sie sich dann verlassen können. Dann kommen Sie an den Punkt, an dem in Ihren Risikobewertungen Probleme festgestellt werden, die behoben werden müssen. Und lassen Sie mich in diesem Punkt ganz klar sagen, dass der Grund für die Risikobewertung darin besteht, dass wir, wenn wir sie erkennen, sie beheben und das Risiko für unsere Organisation mindern können. Aus meiner Sicht besteht der Sinn eines Risikomanagementprogramms für Dritte also darin, Risiken zu erkennen und zu mindern, und allzu oft betrachten die Beteiligten in der Organisation das Risikomanagement für Dritte als eine Übung zur Einhaltung von Vorschriften. Okay, wir bewerten das mit einem Lieferanten verbundene Risiko. Wir können das Kästchen ankreuzen und sagen, wir sind konform, weil wir die Risikobewertung durchgeführt haben. Das hilft aber nicht bei der Risikoverwaltung oder -minderung. Es ist eine Übung zur Einhaltung von Vorschriften. Und die Einhaltung von Vorschriften unterscheidet sich grundlegend vom Risikomanagement. Konzentrieren Sie sich also auf die Risiken, ihre Ermittlung und ihre Minderung, und überprüfen Sie dann, ob die ermittelten Risiken tatsächlich gemindert wurden. Das ist der entscheidende Schritt zur Risikominderung. Nachdem Sie einen Dritten bewertet und an Bord geholt haben, gibt es eine Reihe von Ereignissen, die dazu führen können, dass Sie den Dritten, mit dem Sie Geschäfte machen, erneut bewerten müssen. Das offensichtlichste Ereignis ist eine Datenpanne. Bei jeder negativen Nachricht dieser Art müssen Sie sicherstellen, dass Ihr Dritter oder Vierter bzw. Fünfter die entsprechenden Maßnahmen ergriffen hat, um das Risiko zu mindern, das zu der Datenschutzverletzung oder dem Ransomware-Angriff oder was auch immer geführt hat.

Bob Wilkinson: Andere Ereignisse, die möglicherweise eine Neubewertung auslösen können, sind ein Eigentümerwechsel, eine Fusion oder eine Übernahme. Wenn Sie sich mit potenziellen regulatorischen und Reputationsrisiken befassen, die sich aus neuen Gesetzen und Vorschriften ergeben, die von den Aufsichtsbehörden in verschiedenen Branchen eingeführt werden, müssen Sie sicherstellen, dass auch Ihre Drittparteien die Vorschriften einhalten, denn die Nutzung von Drittparteien entbindet Sie nicht von der Verantwortung für Kunden, die die gesetzlichen Vorschriften einhalten. Weitere Ereignisse, die eine Neubewertung auslösen können, sind die Verlegung eines Rechenzentrums an einen anderen Standort oder die Auslagerung von Dienstleistungen Dritter oder die zunehmende Verlagerung von Anwendungen in die Cloud, was zu einem wichtigen Bereich wird, in dem Sie die vorhandenen Kontrollen genau kennen müssen. Ein weiterer Aspekt ist, dass Sie bei der regelmäßigen Überprüfung Ihrer Drittparteien, wenn die Beziehung entweder durch neue Funktionen oder durch einen erheblichen Anstieg des Informationsvolumens, das mit der Drittpartei geteilt wird, ausgeweitet wurde, sich dessen bewusst sein müssen, was an sich schon eine weitere Risikobewertung erforderlich machen könnte. Wenn Sie also eine Beziehung zu einem Dritten hatten, bei der Sie 100 Kundendatensätze gemeinsam nutzten, und dann ein Jahr später 10 Millionen gemeinsam nutzen. Die Dinge haben sich grundlegend geändert, und das Risikoprofil und die Risikovertretung, die diese dritte Partei für Sie darstellt, sind sehr bedeutend. Und dann kommt noch hinzu, dass sich die finanzielle Situation eines Dritten verschlechtert, denn wenn sich die finanzielle Situation eines Unternehmens verschlechtert, müssen Sie zu einem neuen Dritten wechseln oder eine Dienstleistung wieder ins Haus holen. Das lässt sich nicht von heute auf morgen bewerkstelligen. Und das bringt einen weiteren wichtigen Punkt zur Sprache: Wenn Unternehmen bestimmte Funktionen an Dritte auslagern, sind sie verpflichtet, sich das Wissen zu bewahren, dass sie diese Funktion bei Bedarf wieder ins Haus holen können, und dass kritische Dienstleister einen Plan haben, um dies zu tun.

Bob Wilkinson: Und wenn Sie keinen Plan haben, dann sind Sie potenziell anfällig, wenn ein Dritter in Konkurs geht oder ein anderes Ereignis eintritt. Wechseln wir also ein wenig den Gang und sprechen wir über die kontinuierliche Überwachung von Dritten. Die Realität beim Management von Drittparteirisiken ist, dass sie sich täglich ändern. Und wenn Sie an eine regelmäßige Risikobewertung denken, bedeutet das, dass Sie an einem Tag im Jahr wissen, wie es um die Risikolage Ihres Dritten bestellt ist, aber an den anderen 364 Tagen im Jahr haben Sie keinen guten Einblick. Und mit der Zunahme der Risiken, die wir beobachten, geht es nicht mehr nur um Cyberrisiken, sondern wir müssen auch über das Risiko von Betriebsunterbrechungen, die betriebliche Widerstandsfähigkeit und alles andere nachdenken, einschließlich ESG-Risiken. Nun müssen Sie zumindest Ihre kritischen Dienstleister auf einer höheren Ebene überwachen als mit einer jährlichen Risikobewertung, die im Hinblick auf das Risikomanagement einfach keinen Sinn mehr macht. Für die Implementierung einer kontinuierlichen Überwachungslösung gibt es eine Vielzahl von Tools. Die verschiedenen Tools bieten unterschiedliche Funktionen, aber der wichtigste Punkt ist, dass Sie, wenn Sie eine kontinuierliche Überwachung implementieren wollen, verstehen müssen, wie das Produkt oder die Plattform, die Sie möglicherweise verwenden, in Ihrem Unternehmen implementiert werden soll, damit die Ergebnisse der kontinuierlichen Überwachung in den richtigen Geschäftsprozess einfließen und von den Personen, die Maßnahmen ergreifen müssen, auch umgesetzt werden, denn ich würde behaupten, dass es schlimmer ist, wenn Sie mit der kontinuierlichen Überwachung beginnen und sich niemand um die Ergebnisse kümmert, als wenn Sie überhaupt keine kontinuierliche Überwachung haben, weil Sie es wussten und nichts unternommen haben. Wenn Sie also Produkte zur kontinuierlichen Überwachung evaluieren, müssen Sie sich die Zeit nehmen, um zu verstehen, wie Sie diese in die betrieblichen Abläufe Ihres Unternehmens implementieren wollen. Das ist ein absolut entscheidender Schritt. Der andere Punkt ist, dass die kontinuierliche Überwachung weitgehend auf der Überwachung öffentlich zugänglicher Datenquellen basiert. Wie sieht also Ihre Internetpräsenz aus Sicht der Öffentlichkeit aus und welche Schwachstellen gibt es möglicherweise? Aus dieser Perspektive also.

Bob Wilkinson: Sie können Ihnen zwar sagen, wo Sie aus der Sicht der Öffentlichkeit verschiedene Schwachstellen haben, aber das deckt nicht die internen Schwachstellen ab, die diese kontinuierlichen Überwachungslösungen nicht erkennen können. Außerdem müssen Sie bedenken, dass die Mitarbeiter, die sich mit der kontinuierlichen Überwachung befassen, in gewisser Hinsicht andere Fähigkeiten haben als diejenigen, die eine regelmäßige Risikobewertung durchführen. Sie müssen also sicherstellen, dass Sie über Ressourcen verfügen, die wissen und entsprechend geschult sind, wie Sie die Vorteile einer kontinuierlichen Überwachungslösung nutzen können. Wenn wir also mit der kontinuierlichen Überwachung beginnen, kommen wir zu einer der früheren Fragen und beginnen darüber zu sprechen, wie wir Sichtbarkeit für die vierte, fünfte und sechste Partei erhalten können. Wenn Sie also Ihre kontinuierliche Überwachungslösung einrichten. Oftmals legen Sie in Ihrem Vertrag mit einem Anbieter einer kontinuierlichen Überwachungsplattform fest, wie viele Drittparteien Sie überwachen möchten. Einige Unternehmen überwachen alles. Wenn Sie dann Ihr Inventar an dritten, vierten, fünften und sechsten Parteien aufbauen, haben Sie die Möglichkeit, diese vierten, fünften und sechsten Parteien, die zunächst mit Ihren kritischen Geschäftsprozessen verbunden sind, hinzuzufügen, so dass Sie sie täglich zusammen mit Ihren dritten Parteien überwachen können, und das ist der Vorteil und die Lösung für die Frage, was Sie hinsichtlich der Überwachung der vierten, fünften und sechsten Parteien tun sollten. Wenn Sie eine Lösung für die kontinuierliche Überwachung haben, können Sie täglich dieselben Informationen über die vierten und fünften Parteien sehen, die Ihnen wichtig sind, wie über Ihre dritten Parteien. Wenn Sie sich also in Richtung einer kontinuierlichen Überwachung Ihrer Drittparteien und deren Unterauftragnehmer, der vierten, fünften und sechsten, bewegen, haben Sie eine Möglichkeit, dies zu tun. Das Schöne an einigen der Lösungen zur kontinuierlichen Überwachung ist, dass sie Ihnen einen breiteren Blick auf das operative Risiko ermöglichen.

Bob Wilkinson: Traditionell konzentriert sich das Risikomanagement von Drittanbietern auf Cyberrisiken und auf die Geschäftskontinuität, die Wiederherstellung im Katastrophenfall und die Auswirkungen auf die operative Belastbarkeit. Tatsache ist jedoch, dass wir die finanzielle Gesundheit Dritter, das geografische Risiko und das Konzentrationsrisiko sowie die Einhaltung von Vorschriften und negative ESG-Nachrichten überwachen müssen und dass wir eine ganzheitliche Sicht auf das operative Risiko benötigen. Das ist keine Frage der Cybersicherheit. Das ist keine Frage der Geschäftskontinuität. Dies ist eine Frage des operationellen Risikos. Und um diese Risiken effektiv zu managen, muss man diese ganzheitliche Sichtweise einnehmen. Sie müssen sich auch darüber im Klaren sein, dass Ihre Drittparteien im Laufe der Zeit andere Beziehungen eingehen und andere Unternehmen übernehmen werden, was sich auf vierte, fünfte und sechste Parteien auswirken wird, und dass Sie sich dessen bewusst sein müssen. Sie müssen sich auch darüber im Klaren sein, wie sich die Beziehungen ändern, ob es sich um mehr Daten handelt oder um zusätzliche Funktionen, die dritte und vierte Parteien Ihrem Unternehmen zur Verfügung stellen, das müssen Sie berücksichtigen. Wenn man also eine ganzheitliche Sichtweise auf die operationellen Risiken einnimmt und diese aus der Perspektive mehrerer Faktoren und einer kontinuierlichen Bestandsermittlung betrachtet, kann man die Vorteile der kontinuierlichen Überwachung voll ausschöpfen. Ich habe hier eine Checkliste mit einigen der wichtigsten Punkte zusammengestellt, an die Sie denken sollten, wenn Sie ein kontinuierliches Überwachungsprogramm einführen wollen. Wie vollständig ist Ihr Drittanbieter-Inventar? Haben Sie einen Einblick in Ihre vierten und fünften Parteien und wer diese sein könnten? Wenn Sie über die Überwachung nachdenken, die Sie durchführen wollen, sollten Sie Ihre Dritt- und Viertparteien an dem Ort überwachen, an dem sie die Dienstleistung für Sie erbringen. Viele Programme von Drittanbietern haben bei der Erstellung ihres Inventars keine guten Daten darüber, wo sich der Drittanbieter befindet oder wo die Dienstleistung - und das ist das Entscheidende - für Ihr Unternehmen erbracht wird. Sie wollen also nicht mit einem Verzeichnis von Drittanbietern enden, das eine Liste aller Firmensitze aller Unternehmen enthält, mit denen Sie Geschäfte machen. Sie wollen die Adressen wissen, wo diese Dienstleistungen erbracht werden.

Bob Wilkinson: Haben Sie es also wirklich mit der IBM Corporation in Armon, New York, zu tun, wo sich die Unternehmenszentrale befindet? Haben Sie es mit einer IBM-Tochtergesellschaft zu tun, die Ihnen beispielsweise in Chennai, Indien, Dienstleistungen erbringt? Wie haben Sie die Prozesse für die kontinuierliche Überwachung konzipiert, entwickelt, implementiert und dokumentiert, um sicherzustellen, dass Ihr Unternehmen die gewonnenen Informationen verarbeiten und nutzen kann, wenn die Plattform für die kontinuierliche Überwachung eingeschaltet wird? Wie sieht es dann mit der Transparenz der erweiterten Lieferkette aus, die von Ihren Drittanbietern genutzt wird? Beginnen Sie also wieder mit Ihren kritischen Prozessen, wer sind die vierten und fünften Parteien, die mit diesen Drittparteien verbunden sind, und bauen Sie mit der Zeit ein Inventar auf und verstehen Sie, welche Informationen ausgetauscht werden. Haben Sie also einen Einblick in die Bereiche, in denen Ihr Unternehmen Informationen austauscht, den Umfang der Informationen und wie sich dieser im Laufe der Zeit mit Ihren Drittanbietern verändert, weil Sie sich zunächst auf den Austausch von Daten und dann auf den Zugang zu Ihrer Unternehmensinfrastruktur konzentrieren wollen? Welchen Zugang haben diese dritten und möglicherweise vierten und fünften Parteien zu Ihrer Infrastruktur, und sind Sie damit einverstanden, und sind Sie sich dessen überhaupt bewusst? Ich habe bereits über die physischen Standorte gesprochen, aber ich kann das nicht genug betonen. Sie müssen wissen, wo in Ihrem Namen Geschäfte mit Dritt- und Viertparteien getätigt werden und welche dieser Dritt-, Viert- und Fünftparteien Zugang zu Ihren sensiblen Daten haben. Und haben Sie aktuelle Kontakte zu Ihren kritischen Dritt- und Viert- und Fünftparteien, damit Sie wissen, an wen Sie sich wenden können, falls etwas in der Nacht schief geht. Wer sind also Ihre wichtigsten Ansprechpartner? Wie regelmäßig überprüfen Sie Ihren Prozess, um sicherzustellen, dass Sie die richtigen Kontakte haben? Ständig kommen und gehen Leute. Haben Sie eine Möglichkeit, sich im Krisenfall mit Ihrem Dritten in Verbindung zu setzen, um die benötigte Antwort zu erhalten oder einen Prozess für das Vorfall- und Krisenmanagement in Gang zu setzen, wie es die Umstände erfordern könnten?

Bob Wilkinson: Und schließlich: Wurden Ihre Mitarbeiter darin geschult, wie sie die Ergebnisse einer kontinuierlichen Überwachungslösung nutzen können? Denn sie müssen auf der Grundlage der Informationen, die ihnen die kontinuierliche Überwachungsplattform liefert, Maßnahmen ergreifen. Die Rolle der Automatisierung in einem Risikomanagementprogramm für Dritte. Die Automatisierung ermöglicht es Ihnen also, durch Dinge wie kontinuierliche Überwachung und Bestandsmanagement eine einzige Quelle der Wahrheit für Ihr Lieferantenrisiko zu haben, die alle wichtigen operativen Risiken abdeckt, die Sie angehen müssen. Sie ermöglicht es Ihnen, Informationen über Ihr Risikoprogramm für Dritte zu sammeln und auch die Minderung der identifizierten operationellen Risiken zu verfolgen und voranzutreiben und gleichzeitig Trends aufzuzeigen und Risiken zu identifizieren, die sich aus der Nutzung von Dritten ergeben. Es reicht also nicht aus, dass wir uns ansehen, was wir haben, das Risiko einschätzen und sagen, das ist unser Plan, um es zu bewältigen. Wir müssen auch wissen, welche Risiken in der Zukunft auf uns zukommen werden, und die sind heutzutage rasend schnell. Wir verwenden den Begriff "schwarze Schwäne", um Ereignisse zu beschreiben, die mit einer geringen Wahrscheinlichkeit eintreten. Und was wir heute sehen, ist, dass sich all diese schwarzen Schwäne als regelmäßige Ereignisse herausstellen und viel zu häufig auftreten, ob es sich nun um Sonnenwinde casa log 4j oder den Krieg in der Ukraine handelt. All diese Dinge wirken sich auf unser Risikomanagement für Dritte aus. Wir müssen also über eine Automatisierung verfügen, um diese Risiken zu erkennen und zu bewältigen, soweit dies möglich ist. Es ist auch wichtig, dass Sie nicht wöchentlich, monatlich und vierteljährlich Brandschutzübungen durchführen müssen, um die Informationen zusammenzutragen, die Sie für die Berichterstattung an Ihren Vorgesetzten benötigen. Automatisierung ist also ein Schlüsselfaktor für die Verwaltung und Minderung dieses Risikos. Hier habe ich also eine Checkliste mit einigen der Dinge, die Sie bedenken sollten, wenn Sie über TPR und Programmautomatisierung nachdenken. Der erste Punkt ist die Frage, ob Sie ein zentralisiertes Inventar Ihrer Drittparteien haben oder ob Ihr Unternehmen in einem föderierten Modell arbeitet, bei dem jede Geschäftseinheit für die Verwaltung ihres eigenen Inventars an Drittparteien verantwortlich ist, was die Sache ein wenig erschwert.

Bob Wilkinson: Ein wichtiger Aspekt des Risikomanagements bei Dritten ist heutzutage die Softwareentwicklung. Einige der größten Probleme, die wir im letzten Jahr erlebt haben, betrafen Schwachstellen in Software. Wie können wir also feststellen, ob es sich bei der Software eines Drittanbieters, die wir verwenden, um die Software handelt, die von einem möglichen Vorfall betroffen ist? Die meisten Unternehmen haben ein Inventar der von ihnen verwendeten Software. Wie können wir das Softwareinventar mit dem Inventar von Drittanbietern abgleichen, um eine bessere Zuordnung und ein besseres Verständnis dafür zu erhalten, dass wir, wenn bei einem Drittanbieter etwas passiert, wissen können, ob es sich um ein Softwareproblem handelt und ob der Drittanbieter von dieser Software betroffen war? Das vereinfacht unser Leben erheblich. Nutzen Sie also Ihr Softwareinventar als Ressource neben Ihren Drittanbietern. Gibt es dann einen einheitlichen Prozess für das Onboarding von Drittanbietern in Ihrem Unternehmen? Oftmals sehe ich bei Unternehmen, dass es Ausnahmeprozesse gibt. Es könnte auf den Ausgaben basieren. Es könnte auf einer Reihe von Dingen beruhen, die es Dritten ermöglichen würden, Ihren Standard-Onboarding-Prozess zu umgehen. Wenn das passiert, müssen Sie wissen, wo sie sich befinden und welches Risiko mit ihnen verbunden ist. Verfügen Sie über eine zentralisierte und automatisierte Datenbank für Verträge mit Dritten? Können Sie also auf die Verträge, die für Ihre Dritten bestehen, zugreifen und diese verstehen? Gibt es einen automatisierten Prozess-Workflow für die Due-Diligence-Prüfung beim Onboarding, der den Prozess rationalisieren und Ihre Organisation effizienter machen kann? Das ist also ein weiterer Aspekt der Herausforderung und wie Sie die Vorteile, die sich für Ihr Unternehmen ergeben, automatisieren können. Haben Sie ein bestehendes Problemverfolgungssystem für alle Probleme, die für Dritte identifiziert werden? Und ist das automatisiert oder verfolgen Sie es auf einem Stück Papier oder in einer Excel-Tabelle?

Bob Wilkinson: Sie wollen die Probleme mit den Unternehmen, die diese Probleme haben, in Verbindung bringen und diese Unternehmen regelmäßig über den Stand der Problembehebung informieren, denn wie ich schon sagte, der Schlüssel zu einem erfolgreichen Risikomanagementprogramm für Dritte ist die Fähigkeit, das Risiko zu mindern und das Risiko für Ihr Unternehmen zu senken. Der gesunde Menschenverstand sagt Ihnen, dass Sie die Leistung Ihrer Drittparteien verfolgen sollten. Wie das geht, wird normalerweise von einem Geschäftskundenbetreuer erledigt. Aber es gibt, insbesondere im Bankwesen, vierteljährliche Anforderungen, um die Leistung Ihrer kritischen Drittparteien zu verfolgen und zu sehen, wie sie abschneiden. Sie müssen also an diesen Aspekt der Dinge denken, um für kontinuierliche Überwachungsprogramme über den Prozess-Workflow nachzudenken, den Sie implementiert haben, und dass es sich dabei um einen automatisierten Prozess handelt, so dass Informationen schnell zu den Leuten gelangen können, die sie benötigen, so dass sie die dafür erforderlichen Maßnahmen ergreifen können. Und schließlich, haben Sie sich Gedanken über die Struktur und die Anforderungen an das Management-Reporting gemacht? Haben Sie also darüber nachgedacht, welche KPIs und Kri Sie messen müssen und welche Teile Ihrer Organisation in welcher Häufigkeit berichtet werden müssen, wenn Sie vorankommen? Und damit komme ich zum Schluss meines Vortrags. Ich möchte sagen, dass diese Fragen zu KPIs, Kri, ähm, Managementberichterstattung und wie Sie all diese Dinge tun und, äh, wie sich einige der Änderungen im regulatorischen Umfeld auf das Risikomanagement für Dritte auswirken, einen großen Teil des nächsten Webinars ausmachen werden, das wir durchführen, Webinar 4, das für den 9. Juni geplant ist. An dieser Stelle würde ich gerne das Wort an Melissa weitergeben, um zu sehen, ob wir Fragen haben.

Melissa: Ähm, okay, ich mache eine und dann lasse ich Scott einspringen und sein Ding machen. Ähm

Scott Lang: Nun ja, aber es sind so viele gute Fragen gestellt worden. Ich denke, wir sollten zuerst auf diese eingehen, bevor wir zu meinem Teil übergehen. Ich denke, damit sollten wir das Gespräch am Laufen halten, und dann werde ich einfach am Ende einspringen.

Melissa: In Ordnung. Normalerweise ist es tot und jetzt haben wir all diese Fragen. Es ist großartig.

Scott Lang: Ich weiß. Das ist großartig.

Melissa: Okay. Ich fange an. Sie haben ihm eine Menge zu knabbern gegeben, schätze ich, oder? Ähm, ich habe eine, die fragt: "Wie gültig ist ein Bericht vom Typ Socke 2, da es sich um einen Zeitraum handelt?"

Bob Wilkinson: Nun, ein Sock 2 Typ zwei hat seine Berechtigung, und es ist eine umfassende Bewertung der Risikolage der Organisation, für die es durchgeführt wurde. Aber ich komme auf meinen Punkt zurück: Es ist ein sehr nützliches Dokument an dem Tag, an dem es Ihnen zur Verfügung gestellt wird, aber was passiert morgen und übermorgen? Und wie oft wird eine Socke vom Typ zwei durchgeführt? Sind Sie sich also sicher, dass das Produkt oder die Dienstleistung, die von einem Dritten bereitgestellt wird, auf der Grundlage dieser Socke auch in den nächsten ein oder zwei Jahren gut genug für Sie sein wird? Das ist immer meine Sorge, denn wir leben in einer Welt, die sehr transaktionsorientiert ist und in der wir die ganze Zeit Auswirkungen sehen. Es ist eine absolut nützliche Dokumentation, aber was passiert dann morgen? Sie werden nicht erfahren, dass Ihr SOCK 2 Typ zwei nicht aktualisiert wird, und das 365 Tage im Jahr. Das ist die Herausforderung.

Melissa: Verstanden. Ähm, okay. Ich habe noch eine Frage für Sie. Sind die Regulierungsbehörden kritisch gegenüber Unternehmen, die viele Anbieter haben, die ähnliche Dienstleistungen anbieten, d.h. einen Anbieter, der mehrere Geschäftsbereiche bedienen kann? Warum sollte man also vier Anbieter haben, die dasselbe tun, denn das erhöht ja das Risiko.

Bob Wilkinson: In Ordnung. In diesem Zusammenhang stellt sich aus geschäftlicher Sicht die Frage: Warum vier, wenn man auch einen oder zwei haben kann? Man muss immer an eine ausreichende Redundanz denken. Wenn Sie also einen kritischen Prozess haben und nur einen Anbieter dafür haben und dieser Anbieter sich verabschiedet, haben Sie ein Problem. Daher sollten Sie von vier auf zwei Anbieter umstellen. Aus Sicht der Aufsichtsbehörden würde dies bedeuten, dass Sie bei einer Vielzahl von Anbietern, mit denen Sie Informationen austauschen, möglicherweise ein unangemessenes Risiko eingehen oder Ihr Unternehmen finanziell nicht so verantwortungsvoll führen, wie es möglich wäre. Aber ich denke, um an diesen Punkt zu gelangen, müssten Sie wirklich einige extreme Dinge tun. Ich denke also, es geht weniger um die Regulierung als vielmehr um den gesunden Menschenverstand der Unternehmen. Warum wollen Sie diese Duplikation? Sie haben Ihr Risiko erhöht. Das ist es, worauf der Anbieter und die Regulierungsbehörden ihr Augenmerk richten werden. Warum teilen Sie Ihre Daten mit vier Unternehmen, wenn Sie sie nur mit zwei teilen müssen? Unter diesem Gesichtspunkt ist es aus geschäftlicher Sicht und aus Sicht des Risikomanagements sinnvoll, nicht mit so vielen Unternehmen Daten auszutauschen, wenn eine geringere Anzahl ausreicht.

Scott Lang: Äh, eine andere Frage an Sie ist, was ist die Lösung, wenn sock 2 das ganze Jahr über nicht gültig oder wichtig ist? Welche anderen Dokumente sollten wir bei slashdepend anfordern?

Bob Wilkinson: Sehen Sie, das ist das Problem mit der Dokumentation, nicht wahr? Die Dokumentation ist ein Moment in der Zeit, und sie ist nützlich, und historisch gesehen ist das die Art und Weise, wie Risikomanagement für Dritte praktiziert wurde, aber da wir immer mehr Dinge ins Internet verlagern, weil wir unsere Nutzung von Dritten ausweiten, sind wir im Nachteil, wenn wir keinen kontinuierlichen Informationsfluss zu unserer Organisation haben. Es geht also um mehr als nur kontinuierliche Überwachung. Wie binden Sie also Ihr Risikomanagementprogramm für Drittanbieter in andere Schlüsselbereiche Ihres Unternehmens ein? Wie binden Sie es in Ihre Cyber Intelligence ein? Wie binden Sie es in Ihre Sicherheitszentrale ein, so dass sie sich bei einem Vorfall an Sie wenden und sagen können: "Hey, Protokoll 4J ist gerade passiert. Welche unserer kritischen Drittparteien verwenden diese Log-4J-Software und wie können wir das Problem auf diese Weise lösen? Die sich verändernde Landschaft in diesem Bereich, der zunehmende Einsatz von Drittanbietern, die Nutzung des Internets und der langsame Niedergang der traditionellen Rechenzentren zwingen uns dazu, nach Lösungen zu suchen, die kontinuierlich und zeitnah Informationen liefern. Mit Dr. Dokumentation kann man sich also nicht wirklich einen Überblick darüber verschaffen, was auf einer kontinuierlichen Basis vor sich geht. Das ist eine Herausforderung.

Melissa: Perfekt. Ich danke Ihnen für Ihr Wissen. Ich werde jetzt an Scott weitergeben. Wir haben noch ein paar Minuten. Ich weiß, dass er noch ein paar Dinge sagen möchte. Schießen Sie los.

Bob Wilkinson: Okay, Scott.

Scott Lang: Hey, ich habe noch ein paar weitere Fragen, die ich gesehen habe, die ich ehrlich gesagt, ich schwöre, dass ich meinen Teil der Präsentation hier nicht verrate. Ich freue mich einfach auf diese Art der Interaktion mit den Zuhörern. Das ist fantastisch, Leute. Eine andere Frage, die mir gestellt wurde, war: Können Sie das ESG-Risiko erklären? Wissen Sie, ESG scheint ein relativ neues Konzept zu sein. Haben Sie einen Rat, wie man dieses Konzept in die regulären Due-Diligence-Prozesse einbeziehen kann?

Bob Wilkinson: Nun, die kurze Antwort lautet: Kommen Sie am 9. Juni wieder, wenn Prevalent ein ESG-Webinar veranstaltet, und ich werde dann viel ausführlicher darüber sprechen.

Scott Lang: Ich habe dich da reingelegt, Bob.

Bob Wilkinson: Brillant. Ja, die kurze Antwort ist, dass es von der geografischen Region abhängt, in der Sie tätig sind. Es gibt einen Unterschied zwischen den USA und Europa, aber in den USA konzentriert man sich bei ESG wirklich darauf, dass die Unternehmen ihren Anlegern Informationen über das sogenannte Konzept der Wesentlichkeit zur Verfügung stellen. Es geht also darum, ob das Umwelt-, Sozial- oder Governance-Risiko so groß ist, dass es einen wesentlichen Einfluss auf die Entscheidung eines Anlegers hat, wie er seine Aktien eines Unternehmens abstimmt oder ob er Aktien des Unternehmens kauft. Darauf konzentriert sich die Securities and Exchange Commission in den USA. Wenn wir nach Europa, ins Vereinigte Königreich und in andere Regionen gehen, stellen sich andere Fragen. Also, wie gesagt, am 9. Juni werden Sie viele Details erfahren.

Scott Lang: Äh, und ich möchte auf eine Frage eingehen, die wiederholt im Chat und in den Fragen und Antworten aufgetaucht ist. Ja, die Aufzeichnung dieser Sitzung wird verfügbar sein, ebenso wie die Aufzeichnungen der Sitzungen eins und zwei, und diese Präsentationen werden morgen verschickt, damit jeder Zugang zu den großartigen Inhalten hat, die Bob mitgeteilt hat. Ähm, eine letzte Frage an Sie. Ich glaube, Sie haben das bereits angesprochen. Ich bitte um Entschuldigung. Äh, aber die unterschiedlichen Faktoren, die Sie bei der Due-Diligence-Prüfung von On-Prem-Anbietern und Cloud-Anbietern berücksichtigen müssen. Ähm, ja.

Bob Wilkinson: Nun, das ist keine kurze Antwort, und ich versuche nicht, das Thema zu umgehen, aber Sie wissen, dass On-Prem-Lösungen, ähm, Sie haben es mit jemandem zu tun, der speziell Sie wissen, dass das Problem mit der Cloud darin besteht, dass immer mehr Dinge in die Cloud verlagert werden, wie redundant ist die Cloud? Die Cloud ist ziemlich redundant. Sie ist ein kritischer Teil des Geschäfts geworden. Aber wenn die Cloud ausfällt, fällt sie nicht nur für mich oder dich aus. Sie fällt für alle aus. Und wir haben diese AWS-Ausfälle gesehen, bei denen die Ostküste oder die Westküste ausfällt. Das ist eine erhebliche Auswirkung. Und wenn Sie mit der Cloud zu tun haben, müssen Sie sich mit einer ganzen Reihe anderer Fragen befassen und diese verwalten, einschließlich der Frage, wie Ihre Daten verwaltet werden. Was ist Ihre Rolle? Werden Sie der Administrator sein? Wird AWS zum Beispiel der Administrator sein? Es gibt viele, viele Aspekte, die Sie berücksichtigen müssen, und Scott ist vielleicht reif für ein Gespräch an einem anderen Tag.

Scott Lang: Ja, einverstanden. Ja, gute Entscheidung. In Ordnung, ich möchte, dass Sie für den Rest des Tages pünktlich sind. Ich bin etwa eine Minute vor Beginn der vollen Stunde dran. Ich möchte Ihnen nur ein kurzes Dia über Prevalent zeigen und was wir tun können, um Ihnen bei der Bewältigung einiger Ihrer Herausforderungen im Risikomanagement für Dritte zu helfen. Ich werde also eine Umfrage starten, während Sie das tun, und die Teilnehmer können antworten, während sie Ihnen zuhören. Danke. Machen Sie weiter.

Bob Wilkinson: Ja. Ja, klar doch. Ähm, alles klar. Also, wenn ihr meinen Bildschirm sehen könnt. Ähm, wisst ihr was? Was ist? Oops. Ich glaube, ihr seht wahrscheinlich den falschen, oder? Huch. Gebt mir eine Sekunde, Leute. Entschuldigen Sie das.

Melissa: Großartig.

Scott Lang: Melissa, bestätigen Sie bitte, dass Sie meinen Bildschirm sehen können. Großartig. Wissen Sie, alles, worüber Bob heute gesprochen hat und was Sie selbst tun, und all die Fragen, die Sie gestellt haben, bestätigen mir, dass das Risiko von Dritten noch in den Kinderschuhen steckt. Es gibt noch so viel zu klären in Bezug auf das Risikomanagement von Prozessen, Bibliotheken für die Risikoaufklärung, um gute Fragen zu stellen, dass es ein absoluter Albtraum ist, dies allein zu tun oder sich auf manuelle Tools wie Tabellenkalkulationen zu verlassen. Wir haben uns darauf spezialisiert, eine Plattform anzubieten, die all diese Inhalte in einer einzigen Lösung zusammenführt. Sie haben also eine umfangreiche Bibliothek von Fragebögen und Bewertungen, auf die Sie zurückgreifen können. Sie haben automatisierte Empfehlungen für Abhilfemaßnahmen, die Ihnen helfen, Ihre Dritten auf einen Weg zu einem akzeptablen Risikoniveau zu führen. Eingebaute Risikoberichterstattung, die mit verschiedenen gesetzlichen Regelungen und Anforderungen übereinstimmt. Fragebögen für ISO, NIST, Kuchen, Sie wissen schon, all diese verschiedenen Anforderungen. So können Sie das Risiko nicht nur zu einem bestimmten Zeitpunkt, sondern ganzheitlich über den gesamten Risikolebenszyklus des Anbieters hinweg betrachten. Und auch das verpacken wir in eine Plattform, die Ihnen Zugang zu einer unbegrenzten Anzahl von Fragebögen zu Risikomanagementthemen gibt, die Möglichkeit, Ihren eigenen Fragebogen zu erstellen, und dann können Sie den Risikokreislauf bei Bedarf mit diesen Dritten schließen. Wir würden gerne mit Ihnen darüber sprechen, was wir tun können, um Ihnen zu helfen, Ihr individuelles Risikoniveau in Ihrem Unternehmen zu erreichen. Melissa wird sich mit einer Aufzeichnung der heutigen Sitzung, der Präsentation und mehr an Sie wenden. Sie können sich gerne mit uns austauschen. Wir würden uns gerne mit Ihnen darüber unterhalten, wo Sie derzeit stehen, was die nächsten Schritte für Sie sein könnten und wie wir Ihnen dabei helfen können. Das ist alles, was ich hier sagen werde. Ich weiß, dass die Stunde schon um ist. Melissa, ich gebe das Wort an Sie zurück, um es zu beenden.

Melissa: Perfekt.

Bob Wilkinson: Melissa, nur ein einziger Punkt, wenn ich darf, bevor

Bob Wilkinson: ähm der vierte Teil, das vierte Webinar ist für den 9. Juni geplant, glaube ich. Nicht der 9. Juni, was ist es dann? Juni Entschuldigung, 15. Juni. Also, der vierte Teil, in dem wir über eine Reihe von anderen Themen sprechen werden, ist für den 15. Juni mittags angesetzt. Und wenn Sie Fragen zu den Themen haben, die ich heute vorgestellt habe, finden Sie meine Kontaktdaten auf dem Bildschirm. Sie können sich gerne an mich und auch an das Prevalent-Team wenden, und wir werden uns gerne bei Ihnen melden.

Melissa: Das ist so ziemlich alles, was ich sagen wollte. Ich wünsche euch einen schönen Tag, Leute, und wir sehen uns beim letzten Teil. Passt auf euch auf. Tschüss.

Bob Wilkinson: Okay. Auf Wiedersehen.