In deze podcast opgenomen op RSA-conferentie 2020, Sean Cronin, CEO van ProcesEenheid, vertelt over het belang van risicobeheer door derden en hoe bedrijven aan de slag kunnen met een bewezen proces dat werkt.
Hier is een transcript van de podcast voor uw gemak.
We zijn hier met Sean Cronin, CEO van ProcessUnity. Kunt u mij iets vertellen over het bedrijf en wat voor soort diensten en producten u aanbiedt?
Allereerst, leuk je te ontmoeten. Bedankt dat je de tijd voor ons hebt genomen. Bij ProcessUnity hebben we een platform voor governance, risico's en compliance dat een SaaS-gebaseerd platform is. Ons vlaggenschipproduct is een product voor leveranciersrisicobeheer dat zich echt richt op risicobeheer en leveranciersbeheer van derden.
Tegenwoordig beginnen zeker veel sterk gereguleerde industrieën, financiële dienstverleners, gezondheidszorgbedrijven, farmaceutische bedrijven, zich zorgen te maken over wie hun verkopers zijn, hun leveranciers, hun derde partijen en hoe hun gegevens worden blootgesteld of hoe ze ' die gegevens opnieuw gebruiken. We helpen ze die relatie te begrijpen.
Op dit moment groeien we vrij snel omdat het zeker een hete ruimte is. We hadden het er eerder over, het risico van derden wordt voor veel organisaties een soort eerste prioriteit. En nu zien we dat organisaties, die niet zo streng gereguleerd zijn, beginnen te zeggen: "Het is logisch dat we begrijpen met wie we zaken doen". En terwijl we die voetafdruk uitbreiden, helpen we ook mensen in andere risicopijlers, dingen buiten de risico's van derden, zoals beleid en procedures, contractbeheer. We doen meer op tangentiële gebieden van risico's van derden.
Vertel onze luisteraars waarom bedrijven aandacht moeten besteden aan risicobeheer door derden?
Derden hebben tegenwoordig zeker veel te maken met datalekken. Als je een studie leest, Deloitte, Ernst & Young, een van de onbevooroordeelde studies die er zijn, een aantal van de datalekken zijn eigenlijk afkomstig van derden en verkopers, zodat we erkennen dat je misschien je vier muren of je firewalls onder controle hebt , maar wat u doet met andere leveranciers en andere mensen in uw toeleveringsketen, brengt uw gegevens zeker in gevaar. Dat vinden wij zeker belangrijk.
Veel van deze zwaar gereguleerde industrieën worden daadwerkelijk gecontroleerd en onderzocht om te begrijpen hoe zij het ecosysteem van derden begrijpen. Maar we zien het ook down-market gaan. Niet alleen de zwaar gereguleerde sectoren, maar ook andere gebieden en andere branches beginnen echt na te denken over hoe ze omgaan met derde partijen, welke gegevens ze delen en ook wat voor soort waarde ze zouden kunnen krijgen van die derde partijen.
Begrijpen ze de statistieken, de metingen waarop ze die leveranciers meten? Krijgen ze waar ze voor betaald hebben? Krijgen ze het prestatieniveau dat ze verwachten? En daarom denk ik dat we veel van die relaties kunnen optimaliseren en hen kunnen helpen het ecosysteem waarin ze zich gedragen beter te begrijpen.
Nou, het klinkt als een erg populaire industrie. Dus, hoe zie je ProcessUnity zich onderscheiden in de markt?
Eerst en vooral hebben we echt de tijd genomen om vakexperts in onze branche in te huren. We hebben veel beoefenaars met jarenlange expertise op het gebied van governance, risico's en compliance. Ze hebben risicoprogramma's van derden uitgevoerd voor enkele van de grootste banken en financiële instellingen ter wereld. Ze hebben risicoprogramma's uitgevoerd bij zwaar gereguleerde industrieën. Onze mensen zijn in de eerste plaats een enorme onderscheidende factor.
Nummer twee, onze producten. Het is ongelooflijk configureerbaar, ongelooflijk eenvoudig te gebruiken. Maar dat is zo gewoon dat mensen beweren. Ik zeg eigenlijk graag dat het gemakkelijk te beheren is. Enkele van de platforms waarmee we, zo u wilt, concurreren. U kunt die dingen doen, maar u moet IT-ontwikkelaars of andere ontwikkelaars of zelfs het bedrijf waarvan u het systeem koopt, betalen om het voor u te configureren. Vanuit ons perspectief stellen we onze klanten graag in staat om de programma's echt zelf uit te voeren en de applicaties te configureren. En dus, vanuit dat perspectief, zeg ik graag, administratiegemak.
Het is ook gemakkelijk te gebruiken. In de eerste plaats niet alleen voor onze klanten, maar ook voor de leveranciers. Dus denk er eens over na, als u een belangrijke leverancier bent in een branche zoals financiële dienstverlening, krijgt u een miljoen van deze vragenlijsten. Zou het niet mooi zijn als het bij binnenkomst een eenvoudig te volgen enquête was waarop u kunt klikken en beleid en procedures kunt toevoegen, en alles heel eenvoudig en gemakkelijk kunt verbinden?
En dat is een van die dingen waar ik trots op ben, want eens in de zoveel tijd zeggen sommige van mijn grote klanten "Hé, ik kreeg net deze e-mail van een leverancier" en ze zeiden: "Hé, we hebben net je vragenlijst ingevuld, en het is was een van de makkelijkste systemen om te gebruiken”. En ik denk vanuit mijn perspectief dat wij goede rentmeesters zijn voor onze compadres die verkopers zijn. We zijn ook een verkoper. We helpen leveranciersmoeheid te elimineren omdat het het gewoon gemakkelijker maakt, zodat mensen naar binnen willen gaan, hun informatie willen invullen, proactiever willen zijn met hun eindgebruiker en daadwerkelijk de juiste informatie willen verstrekken. Dat is zeker een punt van trots voor mij, dat leveranciers en andere derde partijen de informatie graag invullen en het erg intuïtief vinden.
Wat voor advies zou u, gezien dit alles, geven aan een bedrijf dat een risicobeheerprogramma van een derde partij wil starten?
Eerst en vooral, of het nu met ons product is of met andere producten, bedenk waarom je het doet, toch? Denk na over wat u doet met uw risicoprogramma van derden. Wat je wilt bereiken. En veel mensen zeiden me vanuit het perspectief van governance, risico en compliance: “Ik wil graag mijn examen halen. Dat is niet goed genoeg. Vertel me wat je wilt begrijpen.” En sommige van mijn CISO's, CIO's, chief procurement officers zeggen: “We willen graag een geografische weergave van onze leverancierspopulatie. Laten we eens kijken hoe de geografische concentratie eruit ziet. Laten we eens kijken naar de leveranciersinventaris. Hebben we overlap? Hebben we te veel leveranciers in een bepaald gebied of derden in een bepaald gebied, waar we ons kunnen verenigen met de best practices?”
Ik heb zojuist best practices uitgelicht. Ga met iemand die de risico-uitdagingen van derden begrijpt. Tegenwoordig zeggen veel mensen, omdat het zo'n hete ruimte is, mensen: "Oh, ik doe risico's van derden!" Maar als je wat dieper graaft, merk je dat ze niet de diepgaande expertise hebben. En dus wilt u dat iemand met wie u wilt samenwerken, echt in staat is om best practices toe te passen op uw organisatie. Want als u een zeer volwassen organisatie bent, hebben we een heel krachtig product en kunnen we het configureren voor uw exacte gebruiksscenario's en we kunnen het voor u laten werken.
Maar wat gebeurt er als u wat onvolwassener bent op dit gebied van leveranciersbeheer en risico's van derden? Maak je geen zorgen. We hebben een best practices-product. Het is eigenlijk een soort kant-en-klare oplossing, die echt al vooraf geconfigureerde workflows, gebruiksscenario's, alle gebruikersrollen en alle vragenlijsten voor u heeft opgesteld. Dus als u gewoon aan de slag wilt en u een meer prescriptieve best practices-mogelijkheid tot uw beschikking wilt hebben, kunnen wij u daar ook bij helpen.
Als je net begint in dit gebied, zou ik zeggen, kijk eens rond. Het is belangrijk. En kijk dan echt naar de mensen met wie u probeert te werken en de diepte waarin zij het risicobeheer van leveranciers en risicobeheer van derden begrijpen. En als het logisch is, is een kant-en-klaar programma zoals wij dat hebben een heel goed begin.
Wat is het belangrijkste aan het kant-en-klare product, en mijn productstrategen en productmanagers laten me altijd beloven dit te zeggen: het is vooraf gebouwd, maar u kunt het configureren en verbeteren. U kunt het dus laten rijpen terwijl uw eigen programma dat niveau van volwassenheid krijgt, dat het naar het volgende niveau brengt.
Bedankt voor de inzichten Sean! Is er nog iets dat u wilt delen met de Help Net Security-doelgroep?
Ik denk dat aan het eind van de dag, ik heb het er eerder over gehad, het risico van derden een eerste wereldprioriteit is, het is een eerste type risicoprioriteit. Het is niet langer "nice to have". De realiteit is dat het nooit uit de mode zal raken om te begrijpen met wie u zaken doet en waar uw gegevens, uw klantgegevens, als u in de gezondheidszorg zit, uw patiëntgegevens zijn.
Het is dus erg belangrijk om dat ecosysteem te begrijpen, te begrijpen hoe u omgaat met die derde partijen. Dus benadrukken we dat maar. Denk er eens over na, of je nu in een sterk gereguleerde branche zit of in een andere branche, het is echt belangrijk om na te denken over hoe dat ecosysteem eruit ziet.
Ik zou graag willen dat u afsluit door luisteraars uit te nodigen om naar uw website te komen voor informatie over uw producten en oplossingen. Geef gewoon de URL en nodig ze uit om naar de website te komen.
We stellen uw tijd zeker op prijs en verwelkomen iedereen om onze website te bezoeken - www.processunity.com. We hebben veel informatie, materialen om u te helpen de ruimte te begrijpen. Het is zowel educatief als zeker veel informatie over al ons productaanbod en zeker veel van onze use cases van onze klanten en andere gebieden.
Bron: https://www.helpnetsecurity.com/2020/03/16/third-party-risk-management-program/
