Kontinuierliche Lieferantenüberwachung: Das Ziel vollständiger Transparenz

Drittanbieter und Dienstleister reagieren oft sehr schnell auf anfängliche Anfragen nach Einzelheiten zu ihren Praktiken. Aber sobald der Vertrag unterzeichnet ist, können Informationen weniger bereitstehen.

Die laufende Lieferantenüberwachung ist jedoch ein entscheidender Bestandteil des Risikomanagements von Drittanbietern. Änderungen in den Praktiken oder Lieferketten von Anbietern können Ihr Unternehmen unerwarteten Risiken aussetzen.

PrivSec Third-Party Risk untersucht, wie Sie Ihre Beziehungen zu Drittanbietern kontinuierlich effektiv überwachen und eine nahezu vollständige Transparenz gegenüber Drittanbietern erreichen können.

Transkription

Robert Bateman:

Hallo und willkommen bei PrivSec Focus Third-Party Risk. Ich bin heute Ihr Gastgeber, Robert Bateman, Head of Content hier bei GRC World Forums. Und ich freue mich, heute hier zu sein, um ein Livestream-Erlebnis zu präsentieren und hochrangige Fachleute und Experten willkommen zu heißen, um alle Aspekte der Erstellung und Aufrechterhaltung eines robusten, effizienten Risikomanagementprogramms für Dritte zu erkunden. Daher wird diese Veranstaltung Präsentationen und Podiumsdiskussionen beinhalten, die einige wirklich faszinierende Inhalte und einige praktische, umsetzbare Einblicke für Datenschutz- und Sicherheitsexperten bieten.

Wir haben heute eine fantastische Aufstellung führender Redner, die eine ganze Reihe von Themen, Herausforderungen und Chancen erörtern werden, mit denen Datenschutz, Sicherheit und Risikoverantwortliche derzeit konfrontiert sind.

Im Namen von PrivSec und von uns hier bei GRC World Forums, den Organisatoren dieser Veranstaltung, möchte ich unserem Hauptsponsor ProcessUnity danken. Um mehr über die Initiativen von ProcessUnity zu erfahren, gehen Sie zur Menüleiste auf der linken Seite und besuchen Sie ihre Seite, auf der Sie auf einige exklusive Inhalte zugreifen können.

Was steht heute auf der Agenda? Wir haben viele Themen vor uns, darunter die laufende Lieferantenüberwachung, eine Sitzung darüber, ob Sie sich auf Fragebögen zur Risikobewertung von Drittanbietern verlassen können oder nicht, eine Risiko-Meisterklasse von Drittanbietern zur Berechnung des inhärenten Risikos und einige Themen zur Lieferkette Management, einschließlich ethischem Lieferkettenmanagement, und auch die Vermeidung von Lieferkettenangriffen.

Sie können auf all dies und mehr zugreifen, indem Sie das Menü auf der linken Seite besuchen und die Agenda anzeigen. Stellen Sie sicher, dass Sie sich für die von Ihnen gewählte Sitzung registrieren, damit Sie auch auf On-Demand-Versionen zugreifen können.

Im Namen der GRC World Forums muss ich Sie auch nur über einige unserer Pläne für das kommende Jahr informieren, zumindest einige davon. Wir haben unser komplettes globales PrivSec-Event am 29. und 30. Juni und einige PrivSec Focus-Events, die sich vier Jahre später mit spezifischen Themen wie Datenschutz- und Sicherheitsgesetzen im asiatisch-pazifischen Raum, Unternehmensrisikomanagement und GDPR befassen. Außerdem stehen dieses Jahr einige sehr aufregende persönliche Veranstaltungen an. Im Juni und Juli besuchen wir im Rahmen von Digital Trust Europe London, Dublin und Amsterdam. Wir werden uns auch mit anderen Bereichen befassen, die das GRC World Forum bei diesen Veranstaltungen abdeckt, darunter FinCrime, ESG und Cloud-Modernisierung.

Zu guter Letzt haben wir gerade eine unserer größten Veranstaltungen des Jahres mit dem Namen Hashtag Risk gestartet. Dies ist eine zweitägige persönliche Messe, die am 16. und 17. November im ExCel in London stattfindet. Es wird die sich verändernde Risikolandschaft in einer inhaltsreichen Umgebung zum Wissensaustausch untersuchen. Wenn Sie also mehr über diese aufregenden Veranstaltungen und all die anderen erfahren möchten, die anstehen, besuchen Sie bitte grcworldforums.com.

Kommen wir nun zu unserem ersten Panel des Tages, Laufende Lieferantenüberwachung, Ziel totaler Transparenz. Unser Gastgeber für diese Sitzung ist Gareth Oldale, Partner, Leiter für Daten, Datenschutz und Cybersicherheit bei TOT, LLP. Zu Ihnen, Gareth.

Gareth Oldale:

Danke, Robert, und guten Morgen zusammen. Ich freue mich, hier zu sein, und freue mich, heute Morgen die erste Sitzung zu leiten, die sich, wie Robert erwähnte, auf die laufende Lieferantenüberwachung konzentriert und auf vollständige Transparenz abzielt. Wir werden vielleicht in Kürze etwas genauer darauf eingehen.

Ich freue mich, heute Morgen von einem wirklich fantastischen Panel begleitet zu werden. Wir haben Jelle Groenendaal, Senior Associate Researcher bei Crisis Lab und auch Chief Product Owner bei 3rdRisk. Vielleicht sehr gut aufgestellt, um über diese Angelegenheiten zu sprechen.

Puja Verma, Rechts- und Datenschutzberaterin bei Phillips, mit Sitz hier im britischen Unternehmen. Dann haben wir Keitumetsi Tsotetsi, einen leitenden Spezialisten für Group Governance Risk and Compliance, aber mit einem besonderen Fokus auf Cybersicherheit, was wiederum großartig sein wird, um es im Laufe der Sitzung ausführlicher auszupacken. Keitumetsi kommt von Vodacom zu uns. Und nicht zuletzt Sumeet Kukar, der CEO von Aracina, das sich sehr darauf konzentriert, Cyber für Nicht-Techniker bereitzustellen, was meiner Meinung nach sicherlich etwas ist, bei dem ich mich anmelden kann, Sumeet. Also, vielen Dank an alle, die heute Morgen dabei waren.

Ich schätze, um den Ball ins Rollen zu bringen, Jelle, komme ich vielleicht zuerst zu dir. Der Titel dieser Sitzung spricht über das Streben nach totaler Transparenz. Ich schätze, ein guter Anfang wäre, sich die Frage zu stellen: Ist das möglich, totale Transparenz? Und wenn ja, ist es überhaupt erstrebenswert? Jelle, was denkst du?

Jelle Groenendaal:

Hallo Gareth. Danke für diese Frage. Ich denke, es ist eine wirklich gute Frage, und nun, ich habe eine unverblümte Aussage, aber meine Position ist, dass das Streben nach vollständiger Transparenz nicht wirklich wünschenswert und in der Praxis sogar schwer zu erreichen ist. Was ich denke, was Sie in der Praxis erreichen wollen, basierend auf meinem Verständnis der wissenschaftlichen Literatur, weil ich neben einem Product Owner auch ein Forscher bin, ist, dass Vertrauen zwischen Ihnen und Ihren Lieferanten besteht, Sie wollen Vertrauen haben. Und Sie müssen eine Umgebung schaffen, in der sich Ihre Lieferanten wohlfühlen, um Ihnen potenzielle Probleme und Vorfälle rechtzeitig zu melden.

Nehmen wir ein Beispiel, wie die kritische Schwachstelle als [unverständlich 00:07:27]. Sie möchten von Ihren Lieferanten wissen, ob diese betroffen sind und haben entsprechende Maßnahmen ergriffen, insbesondere natürlich diejenigen Lieferanten mit Anschluss an Ihr Unternehmensnetzwerk.

Und ich denke, dass das Streben nach totaler Transparenz kontraproduktiv sein kann, um Vertrauen zu schaffen. Mehr Transparenz führt nicht automatisch zu mehr Vertrauen. Es kann sogar zu einem Vertrauensverlust führen, und es gibt viele Forschungsergebnisse, die dies unterstützen. Daher wäre ich nicht dafür, totale Transparenz anzustreben.

Und darüber hinaus denke ich, dass totale Transparenz auch ein Hindernis sein kann, um ein gutes Verständnis der Risiken Ihrer Lieferkette zu erlangen. Ich bezweifle zum Beispiel, ob Sie viele Informationen von Ihren Lieferanten haben, denn was bedeutet das, totale Transparenz? Das bedeutet, dass Sie eine vollständige Offenlegung aller Arten von Informationen erhalten. Und je mehr Informationen wir über etwas haben, desto weiter entfernen wir uns von dem, was vor sich geht, und desto weniger können wir seine volle Komplexität verstehen.

Totale Transparenz bedeutet also meiner Ansicht nach ja, dass man mit Informationen überhäuft wird. Und ich denke, es gibt viele Untersuchungen, die zeigen, dass Menschen nicht wirklich gut darin sind, große Mengen an Informationen zu verarbeiten, also möchte man das verhindern. Kurz gesagt, ich bin nicht wirklich für totale Transparenz. Für mich geht es mehr um die Rechenschaftspflicht der Geheimdienste. Sie möchten sicherstellen, dass diese gefährdete Vertrauensbeziehung besteht, und dafür brauchen Sie meiner Meinung nach keine vollständige Transparenz. Ich denke, Sie müssen andere Dinge haben.

Gareth Oldale:

Vollkommen die Agenda sprengen, Jelle, direkt aus der Fledermaus. Das ist fantastisch.

Ich sollte sagen, ich freue mich, sagen zu können, dass wir bereits eine Frage gestellt haben, und wir werden sicherlich zu [Crosstalk 00:09:12] kommen, aber wir möchten unbedingt versuchen, am Ende der Sitzung etwas Zeit zu lassen Fragen. Aber wenn es welche gibt, die sich natürlich in den Diskussionsfluss einfügen, werden wir diese unbedingt auch im Flug aufgreifen. Senden Sie diese Fragen also bitte durch.

Bevor wir zur nächsten Frage übergehen. Ich weiß nicht, ob irgendjemand auf dem Podium irgendwelche Gedanken zu Jelles Argument hatte, zu den Risiken oder Einschränkungen, die totale Transparenz mit sich bringen kann? Sumeet, ich sehe, dass du stumm geschaltet hast. Ich weiß nicht, ob das Zufall ist oder ob Sie Jelle auf das eingehen wollten, was er gesagt hat.

Sumeet Kukar:

Nein, nein. Eigentlich war ich Jelles Meinung. Mir war nicht klar, dass ich vergessen hatte, die Stummschaltung aufzuheben, also kam ich nicht wirklich aus. Aber ja, nein. Schau, ich schätze, während ich auf laut bin, schlechte Wahl, aber egal. Schauen Sie, ich denke, dass das, was Jelle tatsächlich beschrieben hat, ziemlich genau auf den Punkt kommt. Ich denke, es geht wirklich darum, abzuwägen, wie viel zu viel ist? Und ich denke, das führt auch in eine ganz eigene Wurmkiste, bzw. eine eigene Diskussion darüber, wie viel Berichterstattung und wie viel Information zu viel ist, so dass man das eigentlich nicht grundsätzlich durchsehen kann. Und ich denke, es wird wirklich zu diesem ganzen Balanceakt.

Gareth Oldale:

Ja. Ich denke, das ist der Schlüssel, oder? Es ist auffällig, das richtige Gleichgewicht zwischen ausreichend Informationen zu haben, um das Gefühl zu haben, die richtigen Informationen zu haben, um fundierte Entscheidungen zu treffen, und nicht alle fünf Minuten mit Tabellenkalkulationen und MI-Berichten überschwemmt zu werden.

Und es erübrigt sich zu erwähnen, dass es viele und wirklich gute Tools gibt, die ständig auftauchen, um den Prozess des Risikomanagements in der Lieferkette zu optimieren, insbesondere im Zusammenhang mit Daten. Und das Cyber-Risiko ist etwas, bei dem wir derzeit viele Innovationen in diesem Bereich sehen, was sehr gut ist.

Puja, aufbauend auf dem Punkt, den Jelle besprochen hat, denke ich, ist die natürliche Folgefrage, wenn man sich Transparenz ansieht, wie sieht sie in der Praxis aus? Was sollten Organisationen tun? Wie können sie proaktive Überwachung und Transparenz in ihren Lieferketten angehen? Und ich denke, der letzte Teil davon, wenn das nicht zu viel ist, um es in eine Frage zu packen, ist, welche Teile des Unternehmens Ihrer Erfahrung nach in die Erstellung dieses Risikoprofils einbezogen werden müssen?

Puja Verma:

Ja, gute Frage, Gareth. Schön fleischig für mich. Zuerst möchte ich nur sagen, dass es eine absolute Ehre ist, hier zu sein. Und „Hallo“ an alle, die zuschauen.

Ich denke also, dass Sie bei Organisationen wirklich definieren müssen, was Sie unter Transparenz verstehen und was Sie davon erwarten. Ist es also transparent, Ihren Due-Diligence-Fragebogen zu haben, ihn einzugeben, alle Kästchen zuzustimmen, weil Sie eine schöne Excel-Tabelle erstellt haben, die aufleuchtet? Und dann bist du glücklich, du bist zufrieden, dass diese Zusicherungen da sind. Und dann verfolgen Sie wirklich einen Ansatz, der einem versicherungsbasierten Ansatz sehr ähnlich ist, damit Sie wissen, wohin Sie Ihre Haftung verschieben können. Sie wissen, dass Sie Rückgriff auf diesen Lieferanten haben, und Sie ziehen wirklich eine Art Profit-vor-Schutz-Ansatz. Und es gibt Organisationen, die das tun. Es gibt Organisationen, die finden das absolut in Ordnung, wenn man das juristisch wirklich kritisch angeht.

Aber dann haben Sie einen anderen Ansatz, der eigentlich der GDPI ist, und UKGDPI sagt, dass Sie Ihre Anbieter überwachen müssen. Also, wie willst du das machen? Werden Sie einen kollaborativen Ansatz verfolgen, der im Wesentlichen auf dem aufbaut, was Jelle gesagt hat, nämlich dieses Vertrauen zu haben, diese Art von echter Transparenz, bei der Ihr Lieferant zu Ihnen kommen und sagen kann: „Hey, wie haben wir tatsächlich gemacht ein Fehler. Etwas ist schief gelaufen. Es liegt ein menschlicher Fehler vor.“

Wir wissen alle. Da sind wir alle Profis. Wir wissen, dass eine Datenschutzverletzung kein böswilliges Hacking-Ereignis sein muss. Es kann ein echter Fehler sein. Also ist es wirklich, wirklich wichtig, diese echte Beziehung zu haben.

Aufbauend auf dem zweiten Teil Ihrer Frage: Wer macht das? Heute sind wir wahrscheinlich eine der wenigen Personen in einem Unternehmen, die sich um Datenschutz und Cybersicherheit kümmern müssen. Und etwas, es ist buchstäblich nur eine Person. Es ist also nicht immer praktikabel für Ihren Datenschutzbeauftragten, Ihren Datenschutzrat, wer auch immer, tatsächlich hineinzugehen und zu versuchen, all die verschiedenen Anbieter zu bewerten, die Sie möglicherweise haben.

Ich persönlich denke, dass der beste Weg, dies zu tun, wenn wir uns wirklich auf gute Beziehungen und eine qualitativ hochwertige Beziehung konzentrieren, der beste Weg ist, dies mit der Person zu tun, die den Lieferanten hinzugezogen hat. Also, ob das ein Innovationsteam ist , egal ob es sich um ein Beschaffungsteam oder sogar um ein Verkaufsteam handelt, wer auch immer den Lieferanten hinzugezogen hat, muss sich um ihn kümmern und ihn babysitten, genau wie Sie es mit einem Kunden tun würden. Wenn Sie ein Account Manager sind, wissen Sie, Sie arbeiten mit Account Managern zusammen, Sie werden verstehen, was ich sage. Sie greifen zum Telefon und rufen sie an und möchten wissen, wie es ihnen geht und ob sie zu einer Veranstaltung kommen. Ein bisschen Sorgfalt gegenüber unseren Lieferanten könnte ebenso ein wirklich gutes Umfeld des Vertrauens und der Transparenz schaffen, dass das tatsächlich praktikabel ist.

Um Ihre Frage zu beantworten, denke ich, dass Sie definieren müssen, was Transparenz in Ihrer Organisation bedeutet. Aber ich ziehe es vor, die Wurzel zu nehmen, um diese Beziehung tatsächlich mehr zu pflegen.

Gareth Oldale:

Fantastisch. Danke Puja. Ich denke, ich stimme absolut zu. Wir sehen wieder einmal, dass Organisationen ziemlich viel in das Lieferantenmanagement und das Risikomanagement in der Lieferkette investieren, es gibt verschiedene Namen für diese Teams. Und wie Sie sagen, denke ich, dass es zwangsläufig ziemlich stark auf die Schultern der Datenschutzfunktion fällt, sei es das Büro des Datenschutzbeauftragten oder eine Datenschutzberatungseinheit, je nach Größe der Organisation. Und dito InfoSec. Das ist eine Menge zusätzlicher Due Diligence, die in die tägliche To-do-Liste für die Teile der Organisation fällt, die vielleicht nicht einmal vor fünf oder zehn Jahren der Fall war.

Keitumetsi, ich denke, die logische Folge all dessen, was Puja dort gerade beschrieben hat, ist, dass sich bei Compliance-Aktivitäten ein gewisses Maß an Selbstzufriedenheit einschleichen kann, und vielleicht das Gefühl, dass die Leute manchmal nur so tun, als würden sie es tun. Welche Risiken sehen Sie im Zusammenhang mit Compliance-Selbstzufriedenheit? Und was können Organisationen Ihrer Meinung nach tun, um zu verhindern, dass dies ihrem Unternehmen Schaden zufügt?

Keitumetsi Tsotetsi:

Okay. Vielen Dank für diese Frage. Wenn wir uns also Compliance-Selbstzufriedenheit ansehen, haben wir gerade von den großartigen Excel-Tabellen gehört, die überall grün sind. Und das ist etwas, das sehr riskant ist, glaube ich, weil dann der Fokus darauf liegt, auf dem Papier gut auszusehen. Und ein Großteil des Vertrauens ist etwas sehr Wichtiges, das meiner Meinung nach häufig auftauchen wird, wenn es um das Risiko von Drittanbietern und das Management von Drittanbietern geht.

Aber der Grund, warum wir uns tatsächlich an Dritte wenden, ist, dass wir uns auf unser Kerngeschäft konzentrieren können, richtig? Das Element Vertrauen kommt also ins Spiel, wenn wir sagen: „Wir vertrauen darauf, dass Sie tun, was Sie tun müssen. Und hier sind ein paar Dinge, die Sie sich ansehen sollten.“

Was wir feststellen, ist, dass es so viele Frameworks und so viele Standards gibt und die Organisation bestimmte Erwartungen hat und die Drittpartei ihre eigenen Erwartungen hat, also wird es zu dieser großen Aktivität von uns, zu beweisen, dass wir dies tun, und der Anbieter beweist, dass er das tut, und stimmen diese Dinge alle überein? Und das lenkt vom eigentlichen Risikomanagement zu diesem Zeitpunkt ab.

Woran wir uns also bei Kontrollen erinnern, selbst wenn sie effektiv sind, ist, dass es sich um eine Bewertung zu einem bestimmten Zeitpunkt handelt. Und es ist fast unmöglich, jederzeit einen vollständigen Überblick über alles zu haben, was vor sich geht, ohne zu planen und zu verstehen, welche hohen Risiken innerhalb der Organisation bestehen.

Ich denke also, dass es wichtig ist, dass die Organisation einen Kontext hat, was sie tut und was ihre Rolle ist, die Länder, in denen sie tätig sind, sogar unter Berücksichtigung der gesetzlichen Rahmenbedingungen. Und damit der Drittanbieter oder Anbieter versteht, was er tut, in welchen Ländern er tätig ist, in welchem gesetzlichen Umfeld und welche Erwartungen er hat. Und zweitens, die Organisation und der Drittanbieter kommen dann zusammen, um zu sehen, wo es möglicherweise größere Lücken geben könnte, aber auch nur, um zu rationalisieren und zu verstehen, wie die Dinge gemacht werden.

Ich denke, manchmal zwingen wir Unternehmen vieles von dem auf, was wir wollen, anstatt darauf zu vertrauen, dass der Anbieter das tut, was er tut. Und es geht zurück auf das, was Jelle über Transparenz gesagt hat. Wenn Sie zu viel von dem sehen, was Ihr Anbieter tut, werden Sie versuchen, die Kontrolle darüber zu übernehmen.

Aber ich denke, der Weg, dies anzugehen, besteht darin, sich nur Ihrer Risiken bewusst zu sein. Führen Sie ein aktives Risikoregister, das Sie verfolgen. Verstehen Sie, wie sich die Einführung dieses Drittanbieters auf Ihr Risiko auswirken könnte, und verstehen Sie auch, wie Ihr Drittanbieter dieses Risiko aus seiner Perspektive handhabt.

Und aus Sicht der Sicherheit und des Datenschutzes ist es so weit gefasst, und manchmal haben Sie Due-Diligence-Fragebögen, die etwa 180, 190 Fragen umfassen. Es ist wichtig, einen Drilldown durchzuführen und zu verstehen, was wichtig ist. Machst du die Basics? Housekeeping, Patch-Management, Vulnerability-Management, Zugriffskontrolle, Backups zur Reaktion auf Vorfälle? Es gibt einige Dinge, die sehr wichtig sind, und es gibt einige Dinge, von denen ich nicht sagen werde, lass sie gehen, aber vertraue darauf, dass dein Drittanbieter seine Arbeit macht. Ich meine, ich bezweifle, dass sie auch gehackt werden wollen, oder?

Gareth Oldale:

Ja, es ist ziemlich beruflich peinlich für jede Organisation, nicht wahr? Es verursacht ein enormes Reputationsrisiko, ganz zu schweigen vom finanziellen Risiko und dem Bereitstellungsrisiko von Dienstleistungen.

Wir haben ein paar Fragen bekommen, gerade während wir dort reden, Keitumetsi, von denen ich denke, dass sie in diesem Stadium nützlich sein könnten. Eine dieser Art baut auf dem auf, was Sie gerade gesagt haben, nämlich, wenn Ihr Unternehmen derzeit keine Aufsicht über seine Lieferanten hat, was wäre Ihrer Meinung nach der erste Ort, um die Transparenz der Informationen zu erhalten? Würden Sie sich eine Art Risikobandierung ansehen? Beginnen Sie also zuerst mit Ihren Hauptlieferanten und arbeiten Sie sich von dort aus vor? Gibt es praktische Hinweise, die Sie Kollegen zu diesem Punkt geben können?

Keitumetsi Tsotetsi:

Es ist nie einfach. Aus Sicht der großen Lieferanten ist es auch anders, wie Organisationen dies bestimmen. Sind es die Menschen, die das meiste Geld einbringen? Oder sind es die Leute, die die meisten Daten haben, wissen Sie? Sie haben also bereits ein Verständnis dafür, wo Ihr Risiko liegt, welches bei jedem der Lieferanten. Und dies noch vor der formalen Bewertung. Sie wissen fast schon, wer seine Hand sehr tief in der Organisation hat. Und hier können Sie dann damit beginnen, sich Ihre Risikobewertungen anzusehen. Und wieder eine sehr detaillierte Version dessen, was kritisch und wichtig ist. Und geben Sie den Anbietern auch die Möglichkeit, zu sagen, wo sie Probleme haben könnten, damit Sie dies sehen und verstehen können, wie das gelöst wird.

Ich denke, der Fehler, den wir oft machen, ist, von Anfang an Perfektion zu erwarten. Es ist viel einfacher, Dinge zu beginnen und unterwegs zu beheben, als mit einem vollständigen Gesamtbild zu beginnen. Und aus Sicht der Transparenz halte ich das, was Puja gesagt hat, für sehr wichtig. Sie müssen wissen, was Sie wissen wollen. Und auf diese Weise kann der Lieferant, der Verkäufer, der Drittanbieter Ihnen die … Nun, nicht die Antworten geben, die Sie suchen, sondern die Fragen beantworten, die Sie stellen, und hoffentlich ehrlich auch.

Und [Crosstalk 00:22:01] sobald du ein … Tut mir leid, ich schließe es einfach ab. Denn sobald Sie ein System von Anbietern haben und ein Gesamtrisiko haben, welche Anbieter möglicherweise ein höheres Risiko darstellen als andere, wissen Sie eigentlich auch, wie Sie Ihre Aufmerksamkeit aus einer Business-as-usual-Perspektive auf bestimmte Aktivitäten lenken können.

Gareth Oldale:

Ja. Absolut. Kann nicht mehr zustimmen. Ich denke, dass dieser Ansatz, wenn Sie so wollen, Ihre Lieferanten mit höherem Risiko zu identifizieren, aber anzuerkennen, dass dies möglicherweise nicht nur der Wert des Vertrags oder die Art der Dienstleistungen ist. Aber es könnten Dinge sein wie, offensichtlich im Moment ein heißes Thema, gibt es internationale Datenübertragungen, und wenn ja, wohin gehen sie und von wo aus? Werden besonders sensible Daten verarbeitet? Etwas, das ein ziemlich kleiner Vertrag sein könnte, wie beispielsweise Ihr potenzieller Arbeitskrankenvertrag, oder etwas, das zum Beispiel ziemlich große Mengen an medizinischen Daten umfasst, und dennoch der Vertragswert ziemlich niedrig ist, könnte ziemlich weit nach oben in Ihre Risikotriage eskaliert werden System ziemlich schnell und sitzen ganz bequem neben einigen Ihrer eher megalithischen Verträge, wenn Sie möchten. Ihre ERP-Lösung zum Beispiel, die wahrscheinlich diese höhere Priorisierung auslöst.

Aber sicherlich Organisationen, mit denen wir gearbeitet haben, die Person, die diese Frage gestellt hat, ich denke, wenn Sie von einer grünen Wiese aus starten, wenn Sie so wollen, dann ist es sicherlich absolut sinnvoll, Ihre Energie auf diejenigen zu konzentrieren, die die präsentieren zuerst das höchste Risiko und bewegen Sie sich dann in der Kette nach unten, insbesondere wenn Sie in einer Situation sind, in der Sie mit einem begrenzten Budget oder einer begrenzten Menge an Ressourcen arbeiten. Dies scheint ein Ansatz zu sein, den Organisationen bevorzugen, und auch etwas, mit dem ich denke, dass die Regulierungsbehörden mit ihm sympathisieren können.

Puja, es gab tatsächlich eine andere Frage in ähnlicher Richtung, die fast zur gleichen Zeit hereinkam. Was halten Sie in Bezug auf das Überwachungselement, von dem Sie gesprochen haben, für bewährte Verfahren im Hinblick darauf, was in den Verträgen angegeben werden sollte? Sollten Sie also beispielsweise Audits in Ihre Vertragsbestimmungen aufnehmen?

Puja Verma:

Ja. Prüfungsrechte sind … ich denke, sie sind der Fluch meines Lebens in der Rolle, in der ich mich befinde. Ich werde einfach ganz offen und ganz ehrlich sein. Sie müssen wirklich darüber nachdenken, ob Sie das Recht auf Prüfung haben möchten, und ich weiß, dass die DSGVO davon spricht, Rechte zu haben, die Praktiken Ihrer Unterauftragsverarbeiter und Ihrer Auftragsverarbeiter zu beobachten. Die Herausforderung bei Prüfungsrechten besteht darin, wenn ich einen Vertrag mit Amazon abschließe, ich keinen Flug nach Seattle oder wo auch immer sie ihren Sitz haben, nehme und sie mich nicht einlassen werden. Wahrscheinlich werden sie es tun Sag mir, ich soll gehen. Und es ist sehr, sehr schwer, diese Rechte zu bekommen.

Sie müssen also wirklich darüber nachdenken, wenn ich Audit-Rechte möchte, wofür möchte ich Audit-Rechte? Und wen frage ich eigentlich, und bekomme ich das eigentlich? Vieles davon ist kämpferisch, denke ich.

Wenn ich mir größere Unternehmen anschaue, sehe ich, dass sie jährlich einen Auditbericht bereitstellen, auf den Sie sich vielleicht bei einer Plattform anmelden und auf den Sie zugreifen können. Wird dich das zufriedenstellen?

Und dann rückwärts, wir sprachen über Vertrauen. Wenn Sie sich eine Organisation ansehen, vertrauen Sie ihr wirklich, dass sie die Arbeit macht? Wenn Sie ihnen nicht vertrauen, dass sie die Arbeit erledigen, für die Sie sie einstellen, warum stellen Sie sie dann überhaupt ein?

Und wenn wir uns dann vielleicht etwas kleinere Organisationen ansehen, welche Art von Last legen Sie ihnen auf, wenn Sie sagen: „Hey“, in meinem Fall: „Ich bin Phillip. Ich werde einfach in Ihre Büros schaukeln und einfach anfangen, alles zu bewerten.“

Ich handhabe das also so, dass ich sage: „Okay, es entstehen uns alle hier Kosten, wenn wir diesen Weg der Prüfungsrechte wirklich hart durchgreifen. Nehmen wir an, wenn es zu einer Datenschutzverletzung kommt, möchte ich in der Lage sein, dies ordnungsgemäß zu untersuchen, und ich möchte mich davon überzeugen können, dass Sie alles getan haben, was Sie konnten, ich alles getan habe, was ich konnte, und wir tatsächlich mit der Aufsichtsbehörde sprechen können passend.”

Wenn Sie also bereit sind, in diesen Weg zu investieren, erfüllt eine Art der Beziehung tatsächlich die Aufgabe, die Ihre Prüfungsrechtsklausel erfüllen soll. Wenn nicht, dann können Sie von Anwalt zu Anwalt kämpfen und sagen: „Nun, ich möchte in der Lage sein, mit einer Frist von fünf Tagen einzusteigen.“ Es ist eigentlich eine große Herausforderung für jede Organisation, ob groß oder klein. Und Sie belasten sie mit Kosten, und Sie belasten Sie mit Kosten.

Ich weiß nicht, ob das die Frage beantwortet, Gareth. Ich könnte den ganzen Tag über Revisionsrechte schimpfen.

Gareth Oldale:

Ja ich glaube schon. Es ist sicherlich einer von denen, die in Großbritannien und der EU ansässig sind, wenn es um Verhandlungen geht [unverständlich 00:26:49], dann wissen Sie, wenn es um Verhandlungen geht, die Bestimmungen von Artikel 28, auf die eingegangen werden muss ein Vertrag, Prüfungsrechte gehören sicherlich zu denjenigen, die zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter noch eine Meinungsverschiedenheit erfordern, da dies ziemlich tiefgreifende Kostenauswirkungen haben kann.

Wissen Sie, wir haben zum Beispiel für einige der größeren Verarbeiter Bestimmungen eingeführt, die besagen: „Sehen Sie, wir freuen uns, wenn Sie ein Audit durchführen, aber wenn wir gleichzeitig ein laufendes Kundenaudit haben Zeit. Wir bitten Sie, sich daran auszurichten, damit wir nicht jeden zweiten Tag mit einem neuen Audit beginnen müssen.“ Und auch andere Verhandlungen über die Kosten für die Durchführung dieser Audits. Also, ja, immer noch sehr einer dieser Bereiche.

Robert sprach zu Beginn der Sitzung über den Blick auf die DSGVO vier Jahre später, und ich denke, eine der Lektionen, die ich vier Jahre später gelernt habe, ist, dass wir als Branche immer noch nicht ganz bei einigen dieser Begriffe zusammengewachsen sind die Sie in Verträge einbetten möchten.

Wir hatten eine Flut von Fragen, was fantastisch ist. Wir werden auf jeden Fall versuchen, all das vor Ablauf unserer Zeit zu erreichen, aber Sumeet, nur um Sie einzubeziehen. Zunächst einmal gibt es ziemlich viel Fokus, wenn wir uns mit Risiko- und Anbieterüberwachung befassen. Verständlicherweise liegt der Fokus stark auf Cyber, und ich denke, die größte Sorge besteht oft darin, wie wir davon betroffen sind, wenn irgendwo in der Lieferkette ein Cyber-Vorfall auftritt, der letztendlich dem Endkunden Schaden zufügt Organisation?

Haben Sie eine Anleitung, Sumeet, zu der Strategie oder den Governance-Strukturen, die Sie Unternehmen empfehlen würden, um das Risiko von Cyberangriffen innerhalb ihrer Lieferkette zu managen und zu mindern?

Sumeet Kukar:

Ja, definitiv. Und genau richtig, Gareth. Ich denke, Sie haben es in Bezug auf die Cyber-Komponente des Drittanbieter-Risikomanagements der Lieferkette auf den Kopf getroffen. Kurze Antwort, wenn ich es nur in drei Worten zusammenfassen kann, ist die Integration der Cyber-Strategie, Punkt. Aber, okay, ich lasse Sie nicht alle dort hängen. Wenn wir das ein wenig erweitern, versuche ich hier eigentlich, Ihre Cyber-Governance-Prinzipien auf den Lebenszyklus der Lieferkette abzubilden. Und dann verfolgen Sie einen Ansatz zur Minderung des Cyber-Risikos.

Persönlich wäre das meine Meinung. Und so würde ich es wirklich empfehlen. So habe ich vielen anderen geraten, in diesem Sinne ist dies ein möglicher Ansatz, den Sie wählen können.

Aber die Folgefrage, die ich immer bekomme, und ich gehe davon aus, dass mir das jeder im Webinar stellen wird, lautet: „Nun, das ist alles in Ordnung. Das ist die Theorie. Wie gehe ich eigentlich vor und wende das an? Was ist praktisch?“ Also dachte ich, ich könnte diese Antwort in eine kleine praktische Übung umwandeln, die jeder zu Hause machen kann, während wir weitermachen.

Es sieht aus wie das. Schritt eins der Lieferkette, Onboarding. Also, wenn es um Ihr Onboarding geht, was müssen Sie eigentlich tun? Sie müssen Ihre Drittanbieter auf ihre bestehende Cyber-Haltung überprüfen. Und ich weiß, dass es eine Frage aus dem Publikum gibt, die dies berühren wird. Aber ein Blick auf ihre aktuelle Standortbewertung, ihren Reifegrad oder ihre aktuelle Cyber-Einstellung ist ein guter Indikator dafür, wie sie mit zukünftigen Cyber-Vorfällen umgehen können, falls und wenn sie passieren.

Aber was das tut, ist, dass es Ihnen einen Weg ebnet, die Cyberkontrollen zu überprüfen. Die Cyber-Kontrollen, die die Drittanbieter tatsächlich eingerichtet haben, werden Ihnen also eine kleine Chance geben: „Okay, wie gehen Sie eigentlich vor, um das zu mildern?“ Was ist der Rest, auf den Sie tatsächlich stoßen, anstatt alles nur auf das inhärente Risiko zu stützen, zu bewerten und zu priorisieren?

Die Erkenntnis aus dem ersten Schritt ist, dass Sie Ihr Cyber-Risiko durch Due Diligence reduzieren. Das ist so ziemlich der Take-Away.

Der zweite Schritt ist Ihre kontinuierliche Beeinflussung des Lebenszyklus. Hier betrachten Sie also die Meldung von Sicherheitsvorfällen im Vergleich zur Meldung von Sicherheitstestergebnissen. Meine Frage an alle Zuhörer hier lautet: Was berichten sie Ihnen für das Supply Chain Management von Drittanbietern, das Sie tatsächlich überprüfen, oder für jeden, mit dem Sie tatsächlich zu tun haben? Melden sie Ihnen Sicherheitsvorfälle? Oder melden sie tatsächlich die Ergebnisse der Sicherheitstests, die sie durchgeführt haben, sei es ein Sicherheitsaudit, sei es ein [unverständlich 00:31:08], sei es ihre interne Risikobewertung oder ihr eigenes Cyber Bedrohungsanalyse. Sind das die Ergebnisse, die mit Ihnen geteilt werden? Oder ist es nur etwas, das durchkommt? Was also ein Beinahe-Miss und was ein echter Hit war, ist ein großes Fragezeichen.

Die andere Sache ist, wenn Dritte dann Schwachstellen beheben, wie ist der Kommunikationszeitplan und wie gehen sie dabei tatsächlich vor? Ihre Erkenntnis aus dem zweiten Schritt des Supply-Chain-Modells ist also, dass Sie Ihr Cyber-Risiko durch Ihr eigenes Vulnerability-Management-Programm reduzieren, das sich in diesem Fall auch auf Dritte erstreckt.

Nun ist der letzte Schritt in Ihrem Lebenszyklus der Ausstieg oder das Offboarding eines potenziellen Lieferanten. Hier müssen Sie sich tatsächlich IAM ansehen. Also angemessen Zugriffsrechte entfernen. Wurde dies getan? Wer schaut sich das eigentlich an? Wer hat das eigentlich geprüft?

Der zweite Teil davon ist die Vorratsdatenspeicherung. Werden die Daten also tatsächlich bereinigt oder gelöscht? Oder wird es offen gelassen und immer noch aufgedeckt, nachdem Sie jemanden von Bord geholt haben?

Also, das Cyber-Prinzip und die praktische Erkenntnis, dass Sie Ihr Cyber-Risiko reduzieren, indem Sie Ihre Cyber-Angriffsfläche verwalten. Aber wenn Sie das unberührt oder ungenutzt lassen würden, wäre Ihre Oberfläche natürlich viel größer.

Kurz gesagt, was ich hier zu erreichen versuche, ist die Anforderung, tatsächlich das Erlernen der praktischen Cyber-Fähigkeiten zu haben und diese mit Ihrem Risikowissen von Drittanbietern zu ergänzen. Und am Ende können Sie damit die Cyber-Strategie integrieren, und das ist so ziemlich das Fazit dafür.

Gareth Oldale:

Fantastisch. Wirklich, wirklich hilfreicher Kommentar, Sumeet. Und es ist auf jeden Fall etwas, das ich mitnehmen werde, ganz sicher. Es gibt eine Art verwandter Frage, die zu mir kommt. Ich frage mich, ob Sie das vielleicht gleichzeitig abholen möchten. Die Frage ist also in Bezug auf die Sorgfaltspflicht zu Beginn des Beziehungsaufbaus, und wenn es darum geht, diesen Lieferantenfragebogen zu erstellen, ist es besser, die empfohlenen NIST-Richtlinien zu verwenden und sie an jede Beziehung anzupassen? Oder gibt es einen anderen Ansatz, den Sie empfehlen würden?

Sumeet Kukar:

Schau, ich bin offen dafür. Ich denke jedoch, dass dies nicht die einzige Möglichkeit ist. Schauen Sie sich vielleicht eine an, die Ihren Bedürfnissen entspricht. Ich denke, du könntest irgendwelche Richtlinien nehmen. Ob Sie NIST nehmen, oder ob Sie ein [unverständliches 00:33:31]-Modell oder ein [unverständliches 00:33:32]-Modell nehmen, welches auch immer Sie verwenden möchten, ob es aus einer Privatsphäre ist oder ob es von einem ist Cyber oder ein Risikoansatz. Ja, definitiv, es wird ein gewisses Maß an Anpassung geben, denn Sie müssen nicht sagen: „Ich kann einfach das NIST-Framework anwenden und das ist alles.“

Lassen Sie mich Ihnen ein Beispiel geben. Wenn es jemanden gab, den Sie tatsächlich an Bord nehmen wollten, und Sie haben die Due-Diligence-Beziehung durchgeführt und Sie entworfen, okay, hier ist der NIST-Ansatz. Vielleicht sehen Sie sich dort tatsächlich ein bestimmtes Fünf-Schritte-Modell an. Aber was wäre, wenn Sie ein E-Commerce-Unternehmen wären und Ihre Verfügbarkeit oder Betriebszeit Ihr größtes Cyber-Risiko wäre? Und was wäre, wenn es einen DDoS-Angriff auf Ihre Online-Handelsplattform gegeben hätte? Sie würden tatsächlich am Boden liegen, und jede Sekunde oder jede Stunde, die Sie am Boden liegen, verlieren Sie Millionen und Abermillionen, richtig?

Wäre es in diesem Fall also nicht fair zu sagen, dass das Antwort- und Wiederherstellungselement des NIST-Rahmens tatsächlich ein größeres Gewicht spielen würde? Denn sonst würden Sie tatsächlich 20 %, 20 % oder welchen Prozentsatz auch immer Sie tun. Plötzlich würden Sie feststellen, wie sich bei nur einem Beispiel eines E-Commerce oder eines kommerziellen Anbieters in Bezug auf eine Online-Präsenz plötzlich die Gewichte darauf ändern.

Was ich also tatsächlich tun würde und was ich vielen Menschen weltweit empfehle, ist, einen Ansatz von einem Appetit aus zu wählen. Denn am Ende des Tages ist der Vorstand verantwortlich, oder? Wenn Sie also einen risikobasierten Ansatz verfolgen und sagen: „Okay, was sind Sie bereit zu akzeptieren?“ Was ist bei diesem Erholungsbeispiel Ihr Erholungszeitziel? Sind Sie also bereit, vier Stunden Ausfallzeit in Kauf zu nehmen, wenn Sie sich auf einer E-Commerce-Plattform befinden? Oder wenn Sie tatsächlich Ziegel und Mörtel sind und sich nicht wirklich auf ein Online-Portal verlassen, dann ist der Verfügbarkeitsteil vielleicht nicht so wichtig und es ist nicht das Responsive-Ding, aber es ist tatsächlich möglich, eins zu haben physische Präsenz und tatsächlich Ihre physischen Cyber-Angriffe betrachten.

Kurz gesagt, ich denke, verwenden Sie NIST auf jeden Fall als Richtlinie. Orientieren Sie sich auf jeden Fall an anderen Frameworks. Und schauen Sie sich auf jeden Fall die Anpassung an. Aber so wie Sie es anpassen, sollten Sie sich die Gewichte ansehen, anstatt tatsächlich den Appetit zu betrachten, um Sie bei der Bewertung Ihres Anbieters zu unterstützen. Das wäre mein [unverständlich 00:35:47].

Gareth Oldale:

Fantastisch. Danke Sumet.

Jelle, ich komme auf dich zurück. Eine weitere Frage, die wir durchgemacht haben, betrifft die Priorisierung. Daher stellt sich die Frage, welche Prioritäten bei der Verwaltung von Drittanbietern und Anbietern gesetzt werden sollten. Sollten Sie sich mehr auf Selbsteinschätzungen konzentrieren? Oder bei Audits? Oder muss ein Ausgleich gefunden werden?

Jelle Groenendaal:

Ja. Auch hier denke ich, dass es in der Tat ein Gleichgewicht ist. Und was ich meinen Kunden immer raten würde, ist, sich das Risiko Ihrer Drittanbieter und Anbieter anzusehen. Im Falle eines hohen Risikos möchten Sie sich mehr auf Audits verlassen, und bei Lieferanten mit mittlerem und niedrigem Risiko können Sie sich auf Due-Diligence-Bewertungen verlassen. Aber noch einmal, ich denke, hier ist es ein Gleichgewicht. Und was ich immer rate, ist, mit Ihren Drittanbietern zusammenzuarbeiten. Auf der Grundlage Ihrer Due-Diligence-Prüfungen können Sie beispielsweise sagen: „Nun, ich habe noch einige Fragen. Vielleicht ist es gut, das zu tun …“ Und als nächsten Schritt eine Inspektion vor Ort durchzuführen oder mit dem Lieferanten etwas zu trinken und detailliertere Fragen zu stellen. Es muss also nicht immer ein Audit sein, ein Firmenaudit. Sie können aber auch einfach Ihren Drittanbieter besuchen und einige Fragen stellen, eine Tasse Kaffee trinken und sich über Dinge unterhalten, die aufgrund der vom Lieferanten ausgefüllten Bewertung besorgniserregend sein könnten.

Ich denke also, es ist ein Ausgleich, aber für Lieferanten mit hohem Risiko könnte es eine Due-Diligence-Bewertung und dann Audits sein. Aber bei den weniger wichtigen Lieferanten, die beispielsweise keinen Zugang zu Ihrem Netzwerk haben oder die nicht so viele Daten Ihres Unternehmens verarbeiten, können Sie sich meiner Meinung nach auf Due-Diligence-Prüfungen verlassen.

Gareth Oldale:

Ja, ich denke, selbst für die am besten ausgestatteten Organisationen gibt es Realitätsstiche, nicht wahr? Und ich denke, die Idee, jeden Ihrer Lieferanten alle 12 Monate zu auditieren, wird einfach nicht praktikabel sein.

Jelle Groenendaal:

In der Tat nicht. Und die größten, wie bereits von Puja und anderen besprochen, wollen nicht, dass Sie sie auditieren. Deshalb sage ich immer, werfen Sie einen Blick auf die Lieferanten unter Ihren größten, wie Microsoft, die Amazons, die Sie nicht direkt mit einem Audit ansprechen. Aber vielleicht haben Sie andere Lieferanten, die eine Stufe unter den großen Unternehmen liegen und die einer Inspektion oder einem Audit unterzogen werden sollten.

Gareth Oldale:

Ja. Ja, es ist wirklich gut [Übersprechen 00:38:18] – Entschuldigung. Mach weiter, Keitumetsi.

Keitumetsi Tsotetsi:

Es tut uns leid. Ich wollte nur sagen, ich denke, wir alle wissen auch persönlich, was die Leute über Wirtschaftsprüfer denken. Da ich Auditor war, weiß ich auch, was die Leute damals für mich empfanden. Wenn wir also über Transparenz und Vertrauen sprechen, geht es meiner Meinung nach auch oft um Ehrlichkeit und darum, Ihren Dritten und Lieferanten die Möglichkeit zu geben, ehrlich zu sein. Und wenn Sie ihnen immer nur ein Audit vorwerfen, erhalten Sie aus ehrlicher Sicht möglicherweise nicht die gewünschten Ergebnisse, weil wir wissen, dass jeder gegenüber Auditoren Gefühle hat und wie sie sich Sorgen über die Ergebnisse machen dieser Audits bedeuten. Denn manchmal sind sie tatsächlich an die Leistungsziele der Menschen gebunden, und das bringt die Unternehmenskultur mit sich, wie das Unternehmen mit Audits umgeht und wie auch die Kultur des Anbieters gegenüber Audits ist.

Daher ist es sehr wichtig, Ihren Anbieter dort zu treffen, wo er steht, und den Kontext der Informationen zu verstehen, die Sie vom Anbieter erhalten möchten. Das informiert Sie über die Tools, die Sie verwenden sollten, sei es ein Berater, ein Assurance-Anbieter oder ein Audit oder Getränke, wissen Sie?

Jelle Groenendaal:

In der Tat.

Gareth Oldale:

Genau richtig. Wir hatten eine Frage, eigentlich an Sie, ungefähr in diese Richtung, was jemand sagt, ist die Bewertung der Verarbeitungs- oder Lieferantenreife, die ebenso wichtig ist, und nicht unbedingt Angst davor, dass ein Lieferant angegriffen oder verletzt wurde, solange sie dies zeigen sie haben es angemessen gehandhabt und die Lehren daraus gezogen? Und die Frage ist: „Liege ich falsch, wenn ich das denke?“

Keitumetsi Tsotetsi:

Absolut nicht. Ich denke, für uns alle liegt der Fokus auf einem zuverlässigen Service, einem sicheren Service, etwas, das verfügbar, funktional und sicher ist. Und Sie wissen, dass die Annahme ist, dass Sicherheit eine Rolle spielt, von der Definition der Geschäftsanforderungen über die Beschaffung bis hin zur Designkonfiguration und Implementierung. Ich bin sicher, wir können ein ganz separates Webinar über die Realität dieses Geschehens veranstalten. Aber die Annahme ist, dass die Sicherheit da ist und sie beteiligt sind. Und wenn irgendjemand sagt, dass sie … Ich meine, wir erwarten, dass es zu Verstößen kommt. Und manchmal werden sie erfolgreich sein. Das ist die Natur der Cybersicherheit. Und ich denke auf jeden Fall, dass es sehr wichtig ist zu wissen, wie ein Anbieter mit einem Verstoß oder einer Kompromittierung umgegangen ist, denn es gibt Ihnen einen Einblick, wie er mit einer ähnlichen Situation umgehen würde, wenn es in Ihrem Unternehmen passieren würde.

Ich meine, wenn Sie darüber nachdenken, wenn jemand sagt: “Ich hatte keinen Verstoß.” Was sie vielleicht nicht haben, aber sie könnten nur Chancen haben, und es könnte kein Verstoß, sondern ein Angriff sein. Wissen Sie, Angriffe sind nicht immer erfolgreich. Also nur um zwischen den beiden zu unterscheiden. Wie die Menschen die Angriffe identifizieren, erkennen, sich dagegen schützen und sich insbesondere davon erholen, ist wirklich wichtig, ob erfolgreich oder nicht. Und jemand, der es tatsächlich durchgemacht hat, wird Ihnen besser sagen können, wie er es für Sie handhaben könnte, im Gegensatz zu jemandem, der es theoretisch vorwegnimmt und bei seinen Audits grün aussieht.

Gareth Oldale:

Ja, ich meine, es löst bei mir immer die leiseste Alarmglocke aus, wenn Sie auf eine Organisation stoßen, die sagt, dass sie noch nie einen Verstoß hatte. Meiner Erfahrung nach bedeutet es wahrscheinlich, dass sie es haben. Sie wissen nur nichts davon. Was wahrscheinlich besorgniserregender ist als sie und sie es dir erzählt haben, weil sie es zumindest richtig aufgreifen. Ich denke, es ist … Ja. Die Bedrohungen sind im Moment so allgegenwärtig, dass es… Und sie nehmen ständig zu, und ich denke, es ist richtig anzuerkennen, dass verschiedene Organisationen, Organisationen unterschiedlicher Größe und in verschiedenen Branchen unterschiedliche Reifegrade der Organisation in Bezug auf Anbieterüberwachung und Risiken aufweisen und Bedrohungsanalyse.

Ich denke, einer der Punkte, die Sie dort angesprochen haben, Keitumetsi, dem ich vollkommen zustimme, ist, dass es unterschiedliche Wahrnehmungen darüber geben wird, was ein Risiko oder eine Verletzung darstellt. Und nur ein gewisses Verständnis davon zu haben, wenn Sie zum Beispiel ein KMU auditieren, im Vergleich zum Auditieren eines Microsoft oder eines AWS oder jemandem dieser Größenordnung, wird Ihnen am Ende meiner Meinung nach ein besseres Ergebnis bringen des Prozesses, sicher.

Keitumetsi Tsotetsi:

Absolut.

Gareth Oldale:

Puja, vorhin kam eine Frage durch, auf die wir vielleicht zurückkommen könnten. Es ist wirklich interessant, und wir würden uns sehr über Ihre Meinung dazu freuen. Wo sollte der Begriff „Drittanbieter“ auch Auftragsverarbeiter und Unterauftragsverarbeiter umfassen? Und wenn ja, warum?

Puja Verma:

Das ist eine gute Frage. Ich persönlich bin der Meinung, dass wir, wenn wir uns mit Dritten befassen, ja, wir uns mit Auftragsverarbeitern befassen. Wir prüfen Unterauftragsverarbeiter, ob wir Zugang zu ihnen haben können. Oder leiten Sie zumindest die Sorgfaltspflicht an Unterauftragsverarbeiter weiter. Aber ich würde auch sagen, dass ich auch separate Datenverantwortliche und gemeinsame Datenverantwortliche erfassen würde. Und der Grund, warum ich diesen Ansatz verfolge, ist, dass ich letztendlich für alle Datenübertragungen verantwortlich bin, die außerhalb meiner Organisation stattfinden, unabhängig davon, ob es sich um eine regulierte Übertragung handelt, die die Lieferkette oder eine Projektkette hinuntergeht, aber auch, wenn Sie es sind , Sie haben es beispielsweise mit Mitarbeiterdaten zu tun und senden diese an einen separaten Datenverantwortlichen, um Mitarbeiterleistungen zu erbringen oder zu Rekrutierungszwecken. Ich möchte auch sicherstellen, dass zumindest grundlegende Bestimmungen vorhanden sind, die die Daten, die ich gesendet habe, oder die Daten, die ich empfange, auch für diese Verarbeitungstätigkeiten nicht gefährden.

Also vielleicht, ich weiß nicht, ob das ein bisschen gegen den Strich geht, aber ich würde alle Dritten einbeziehen. Ich denke, der Ansatz, den Sie mit diesen Dritten verfolgen, wird anders sein. Aufbauend auf dem, was Sumeet gesagt hat, werden Sie, wenn Sie einen E-Commerce-Plattformanbieter haben, einen anderen Ansatz verfolgen als jemand, der ein Personalvermittler ist, der Ihnen Lebensläufe sendet, oder Sie senden Lebensläufe an ihn. Dieses Gespräch führen. Ich denke also, dass es einen angemessenen Ansatz für jede Art von Drittanbieter gibt.

Um den zweiten Teil zu beantworten, also warum? Ich habe bereits die Datenkontrolle, den gemeinsamen Datenverantwortlichen, erklärt. Aber wenn Sie … Für Auftragsverarbeiter und Unterauftragsverarbeiter besteht natürlich eine gesetzliche Verpflichtung dazu. Sie müssen dafür sorgen, dass sie auch über die entsprechenden organisatorischen und technischen Maßnahmen verfügen. Verzeihen Sie mir, ich denke, es ist Artikel 32, ich fühle mich gerade ein bisschen auf der Stelle, um diese Anforderung zu erfüllen, möchten Sie auf jeden Fall so weit unten in der Lieferkette wie möglich bewerten. Und wenn Sie das nicht können, dann lassen Sie diese Anforderung zumindest herunterfließen.

Und ich könnte darauf eingehen, was passiert, wenn Sie auf einen Unterprozessor treffen, der ein riesiger Amazon oder ein Google ist, und all das Zeug. Aber vielleicht ist das ein Rant für ein anderes Mal.

Gareth Oldale:

Aber ein sehr ordentlicher Übergang, Puja, in die allererste Frage, die wir auch hatten, und eigentlich wäre es nachlässig von uns, diese nicht aufzugreifen, weil wir nur noch ein paar Minuten Zeit haben, aber wir werden versuchen, sie zu drücken in vielleicht zwei weiteren Fragen.

Die erste Frage, die sich stellte, war, welche der Hyperscale-Cloud-Anbieter den richtigen Ansatz und die richtigen Überlegungen zum Datenschutz in ihren Implementierungen und Lösungen haben? Und ich meine, was für eine Frage. Was für eine Frage. Eine eigene Sitzung wäre es wert, aber ich denke, die Antwort … meine Antwort, und dann würde ich mit Sicherheit die Meinungen von anderen auf dem Podium begrüßen. Aber meine Antwort wäre zu sagen, dass sie sich alle weiterentwickeln. Sie alle unternehmen Schritte, um ihre Datenschutzpraktiken zu verbessern, um nicht nur auf weltweite Gesetzesänderungen zu reagieren, genauso wie ich zum Beispiel hier in Großbritannien sitze. So viel Art von EU- und UK-DSGVO-Perspektive auf die Dinge. Aber dann schaut man sich im Moment so ziemlich jedes Land der Welt an, und sie tun etwas zur Datenschutzgesetzgebung Keitumetsi. Zweifellos werden wir mit POPIA in Südafrika sprechen, und das gilt auch für viele andere wichtige Datenverarbeitungs- und Datenübertragungsziele.

Aber ja, ich denke, jeder der Hyperscale-Cloud-Anbieter tut etwas. Wir haben das im Zuge des Schrems-II-Urteils vor ein paar Jahren gesehen. Ziemlich bald darauf sprach Microsoft über den Aufbau eigener EU-Domizile, einer End-to-End-Cloud-Umgebung, damit es selbst im Falle einer Notfallwiederherstellung oder eines Failovers oder der Bereitstellung von Support und Patching immer innerhalb der EU sein würde , anstatt irgendeine Art von Standard zurück in die USA zu haben.

Und wir haben gesehen, dass andere das auch aufgegriffen haben. In ähnlicher Weise zeigt der Google Analytics-Fall von Anfang dieses Jahres allmählich Auswirkungen, und wir sehen zum Beispiel, dass Unternehmen wie Google infolgedessen ihre Herangehensweise an die Cookie-Verwaltung ändern.

Also ja, es gibt viel über die Cloud-Anbieter zu sagen. Ich glaube nicht, dass einer von ihnen es im Moment absolut richtig gemacht hat, aber sie alle iterieren. Sie verbessern sich alle ständig. Keitumetsi, gibt es dazu etwas hinzuzufügen? Interessieren Sie sich für Ihre Meinung zu einem … Ich möchte nicht, dass es zu DSGVO-zentriert ist, aber wenn es aus südafrikanischer Sicht etwas hinzuzufügen gibt, wäre das wirklich interessant.

Keitumetsi Tsotetsi:

Ich denke, aus südafrikanischer Sicht besteht der größte Unterschied zwischen GDPR und POPIA darin, dass POPIA auch juristische Personen als Einzelpersonen anerkennt.

Gareth Oldale:

Ja.

Keitumetsi Tsotetsi:

Es ist also nicht nur die einzelne Person, sondern auch Unternehmen werden als Menschen betrachtet, und ihre Informationen müssen ebenfalls geschützt werden. Ich denke, wie Sie auch gesagt haben, dass die sehr großen Cloud-Anbieter normalerweise viele Informationen über ihre Sicherheits- und Datenschutzkontrollen online verfügbar haben, noch bevor Sie sich mit ihnen in Verbindung setzen. Und was ich an meinem früheren Arbeitsplatz erlebt habe, waren einige der Herausforderungen, mit denen Mitarbeiter manchmal konfrontiert waren, wenn sie bestimmte Anforderungen stellten und gegen ein so großes Unternehmen antraten und sagten: „Eigentlich wollen wir weder XYZ noch Sie Jungs müssen das ändern.“

Und ich habe ehrlich gesagt keinen erfolgreichen Versuch gesehen, die großen Cloud-Anbieter herauszufordern. Aber was ich sagen kann, ist, dass sie sehr offen mit dem umgehen, was sie haben und was sie in ihren Organisationen tun. Ja.

Gareth Oldale:

Fantastisch. Danke.

Ich denke, wir haben gerade keine Zeit mehr, also müssen wir es vielleicht dabei belassen. Es gibt ein paar Fragen, auf die wir nicht ganz gekommen sind, also entschuldigen Sie, wenn wir Ihre Frage nicht aufgreifen konnten. Unnötig zu erwähnen, dass ich und jeder der Diskussionsteilnehmer sehr gerne alle Fragen aufgreifen würde, die Sie aufgeworfen haben und die wir nicht offline diskutieren konnten. Melden Sie sich also bitte, wenn das hilfreich wäre.

Ich bin mir bewusst, dass es für heute eine vollgepackte Tagesordnung gibt, also werde ich versuchen, uns im Zeitplan zu halten und dort abzuschließen. Ich denke, es bleibt mir nur noch, mich bei allen für ihre Teilnahme zu bedanken. Und ich danke Ihnen insbesondere Jelle, Puja, Sumeet und Keitumetsi für Ihre Teilnahme und Ihre Meinung zu wirklich interessanten Diskussionen.

Danke, alle. [Übersprechen 00:50:37]

Keitumetsi Tsotetsi:

Vielen Dank an alle.

Puja Verma:

Danke. Wiedersehen.

Robert Bateman:

Vielen Dank an Gareth und das Gremium. Wirklich tolle Diskussion dort. Ich habe das wirklich genossen. Und einige tolle Fragen aus dem Publikum. Ziemlich viel Publikumsengagement, was großartig zu sehen ist. Eine interessante Frage, die die Diskussionsteilnehmer angesprochen haben, war die Unterscheidung zwischen Dritten im Sinne der DSGVO und Auftragsverarbeitern, die natürlich nicht als technisch