Demandez une démo

TAG Cyber Interview : Gestion du risque lié aux tiers à l'aide de Prevalent

Entretien avec Brad Hibbert, Prevalent CSO & COO, tiré du dernier rapport trimestriel de TAG Cyber .
Par :
Brad Hibbert
,
Directeur général des opérations et directeur de la stratégie
14 juillet 2022
Partager :
Balise blog cyber entretien trimestriel 0722

Note de l'éditeur : L'entretien suivant avec Brad Hibbert de Prevalent a été initialement publié dans le TAG Cyber 2022 Security Annual - 3rd Quarter et est reproduit ici avec l'autorisation de l'auteur.

Les équipes des entreprises sont confrontées à d'importants défis en matière de cybersécurité, notamment des préoccupations opérationnelles et des problèmes de conformité. Un problème fondamental est que les entreprises ne peuvent pas s'attendre à une visibilité parfaite de l'écosystème de sécurité des fournisseurs et des partenaires, ce qui entraîne des risques pour les données, les systèmes et les ressources partagées. ressources partagées.

Prevalent est un leader dans la fourniture de solutions commerciales pour la gestion des risques de tiers en matière de sécurité et de conformité. TAG Cyber voulait en savoir plus sur la façon dont cette capacité de sécurité de tiers pouvait être déployée pour réduire le risque cyber .

Quels sont les principaux risques auxquels les équipes d'entreprise sont confrontées avec les vendeurs, fournisseurs et partenaires tiers ?

Nos clients voient les risques dans six grandes catégories. Tout d'abord, il y a la cybersécurité, qui comprend les risques pour les données et les systèmes via des intrusions extérieures par un tiers. Viennent ensuite les risques commerciaux, tels que le manque de résilience d'un tiers face à des défis opérationnels ou à des perturbations dues à des pandémies ou à des catastrophes naturelles. Les risques financiers surviennent lorsque des vendeurs et des fournisseurs tiers connaissent des difficultés financières, font faillite ou ont une mauvaise cote de crédit. Parmi les risques environnementaux, sociaux et de gouvernance (ESG), citons le fait qu'un fournisseur ait un mauvais bilan environnemental, soit accusé d'avoir recours au travail illégal ou ne pratique pas une gouvernance d'entreprise globalement efficace. Les risques de réputation, tels que lesnouvelles négatives, les rappels de produits, les fautes des dirigeants et les sanctions, peuvent également être une source de préoccupation. Enfin, les risques de conformité comprennent des éléments tels que les résultats du GDPR, les audits ratés, les pots-de-vin, la corruption ou les problèmes éthiques. Si les risques liés à la cybersécurité et à la protection des données retiennent le plus l'attention, bon nombre des autres types de risques ont également un poids réglementaire.

Comment votre plateforme fonctionne-t-elle pendant le cycle de vie de la gestion des risques des tiers (TPRM) ?

Nous commençons par automatiser le processus d'appel d'offres en ajoutant des informations démographiques, de quatrième partie, ESG, commerciales, financières et relatives à la réputation, afin d'aider les équipes d'achat à intégrer des informations sur les risques dans les décisions de sélection des fournisseurs et dans les contrôles préalables aux contrats. Ensuite, nous automatisons la migration d'un fournisseur sélectionné vers un contrat en centralisant le suivi de tous les contrats et attributs avec un flux de travail et un contrôle de version. Une fois qu'un fournisseur est sélectionné et sous contrat, nous émettons des évaluations de profilage et de hiérarchisation pour calculer les scores de risque inhérent. Grâce à ces données, les entreprises peuvent classer les fournisseurs par catégorie et décider de l'étendue des contrôles préalables à effectuer.

Nous proposons également une bibliothèque de plus de 100 modèles de questionnaires et d'enquêtes personnalisées pour évaluer les tiers sur un large éventail de critères - de l'InfoSec et la confidentialité des données à l'ESG et la solvabilité financière. Nous prenons les réponses de ces enquêtes et alimentons un registre central des risques qui peut être utilisé pour visualiser et agir sur les risques. Nous fournissons également des rapports par réglementation et par cadre afin de simplifier la présentation des données et de gérer les mesures correctives jusqu'à un niveau acceptable de risque résiduel.

Parce que beaucoup de choses peuvent se passer entre les évaluations régulières, nous suivons et analysons en permanence les menaces observables de l'extérieur pour les fournisseurs et autres tiers. Nous aidons les organisations grâce à des tableaux de bord centralisés qui gèrent et suivent les performances des tiers par rapport aux exigences contractuelles. Enfin, nous automatisons les évaluations des contrats et les procédures de désengagement afin de réduire le risque d'exposition post-contractuelle d'une organisation.

TAG Cyber Sécurité annuelle - Q3 2022

Le TAG Cyber Quarterly comprend des travaux originaux des analystes du TAG, notamment des entretiens avec des icônes du secteur de la cybersécurité. Obtenez un accès gratuit au rapport de 112 pages.

Lisez le rapport à l'adresse suivante : Tag-Cyber.com
Étiquette caractéristique cyber sécurité annuelle q3 2022

Quel est le rôle de la visibilité dans la gestion des risques liés aux tiers et comment votre plateforme optimise-t-elle cette visibilité ?

La vieille maxime est vraie : on ne peut pas gérer ce que l'on ne peut pas mesurer. Et j'ajouterais : Vous ne pouvez pas mesurer ce que vous ne pouvez pas voir. La visibilité des risques de l'entreprise est au cœur de notre plateforme. Elle commence par l'approvisionnement - en obtenant unevisibilité précontractuelle des risques tels que les finances des fournisseurs, les violations de données ou les problèmes de conformité - et s'étend à l'offre d'une plate-forme unique basée sur les rôles que plusieurs équipes d'entreprise peuvent utiliser pour visualiser les risques qui leur importent. Nous y parvenons grâce à des tableaux de bord et des rapports personnalisés et adaptés aux rôles.

Dites-nous en plus sur la façon dont vous soutenez TPRM par l'utilisation de votre réseau de risque fournisseur.

Nos réseaux sont des bibliothèques à la demande contenant des milliers de rapports sur les risques liés aux fournisseurs qui sont continuellement mis à jour et étayés par des preuves. Les clients utilisent les réseaux - Exchange, Legal Vendor Network et Healthcare Vendor Network - pour prendre un bon départ dans leur processus de diligence raisonnable des fournisseurs en obtenant un accès immédiat à des évaluations complètes, ce qui les aide à étendre leurs programmes afin qu'ils puissent consacrer leur temps et leur énergie à identifier et à corriger les risques plutôt qu'à harceler les fournisseurs.

Pouvez-vous nous donner un aperçu de l'avenir de TPRM dans les années à venir ?

Nous voyons TPRM évoluer vers des niveaux d'externalisation plus importants, impliquant davantage d'équipes d'entreprise et de types de risques, ainsi que vers un modèle plus continu et plus profond dans certains secteurs verticaux. Tout d'abord, les entreprises s'appuient sur un réseau de plus en plus étendu de tiers, tout en faisant face à un réseau croissant de risques géopolitiques, d'exigences réglementaires et de menaces de cybersécurité. Malheureusement, la plupart des entreprises gèrent ces risques en utilisant des processus manuels qui mettent davantage l'accent sur l'identification des risques que sur leur remédiation. Au cours des prochaines années, les entreprises qui tenteront de mettre en place des programmes de gestion des risques TPRM efficaces se heurteront à un mur, ce qui les amènera à adopter des approches plus automatisées et proactives, telles que le recours à des sociétés externes d'externalisation des processus commerciaux et/ou à des logiciels TPRM externes spécialisés.

Ensuite, les entreprises subissent la pression de toute une série de parties prenantes - dont les régulateurs, les investisseurs et les consommateurs - pour améliorer la visibilité et la surveillance de leur exposition aux risques liés aux tiers. Alors que les organisations peuvent commencer par se concentrer principalement sur les menaces cyber , elles verront la nécessité de permettre des décisions basées sur le risque en évaluant et en surveillant de manière proactive un profil de risque plus complet tout au long de la relation avec les tiers. Cela nécessitera la rationalisation et l'harmonisation de la technologie, des processus (workflow) et des personnes.

Les départements et les équipes devront prendre en compte le risque dans toutes les activités et prises de décision, y compris les activités qui sont actuellement plus axées sur l'efficacité opérationnelle. Les équipes responsables de tous les aspects, de la recherche et de l'intégration de nouveaux fournisseurs à la gestion de leur performance au fil du temps, continueront à consommer des renseignements sur les risques provenant de sources de données similaires (p. ex. un profil de risque complet) et commenceront à tirer parti des connaissances de leurs pairs pour soutenir les négociations et les discussions contractuelles liées à leurs domaines de travail respectifs.

Les entreprises continueront également à améliorer les programmes de tiers en utilisant l'intégration, l'automatisation, les réseaux d'intelligence et l'analyse pour évaluer et surveiller de plus près leurs chaînes d'approvisionnement étendues. Enfin, les entreprises de certains secteurs verticaux continueront d'adopter des réseaux de partage pour accélérer l'identification des risques et mettre davantage l'accent sur la remédiation des risques. Ces réseaux de partage évolueront au-delà du partage d'évaluation pour devenir un partage d'intelligence, les entreprises et les tiers concevant, adoptant et appliquant une communication ouverte pour partager de manière proactive les informations relatives à cyber, à la conformité, aux incidents, aux performances, etc.

Tags :
Partager :
2014 04 10 Headshot Brad Suit
Brad Hibbert
Directeur général des opérations et directeur de la stratégie

Brad Hibbert apporte plus de 25 ans d'expérience de direction dans l'industrie du logiciel, en alignant les équipes commerciales et techniques sur la réussite. Il a rejoint Prevalent après avoir travaillé pour BeyondTrust, où il a assumé la direction de la stratégie des solutions, de la gestion des produits, du développement, des services et du support en tant que COO et CSO. Il a rejoint BeyondTrust via l'acquisition d'eEye Digital Security par la société, où il a contribué au lancement de plusieurs premières sur le marché, notamment des solutions de gestion de la vulnérabilité pour les technologies de cloud computing, de mobilité et de virtualisation.

Avant eEye, Brad a occupé le poste de vice-président de la stratégie et des produits chez NetPro avant son acquisition en 2008 par Quest Software. Au fil des ans, Brad a obtenu de nombreuses certifications industrielles pour soutenir ses activités de gestion, de conseil et de développement. Brad a obtenu un baccalauréat en commerce, une spécialisation en systèmes d'information de gestion et un MBA de l'Université d'Ottawa.

Postes connexes
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo