Fragebögen sind ein wichtiger Bestandteil von Due-Diligence-Programmen Dritter.
Aber indem sie sich auf Fragebögen verlassen, gehen Unternehmen, die Beziehungen zu Dritten eingehen, davon aus, dass ihre Dienstleister transparent und genau antworten.
PrivSec Third-Party Risk wird prüfen, ob der Fragebogen zur Risikobewertung ein ausreichend robuster Mechanismus zur Verringerung der Risikoexposition ist, und untersuchen, wie Unternehmen umfassende und aussagekräftige Antworten erhalten können.
Transkription
Robert Bateman:
Hallo. Willkommen zurück bei PrivSec Focus: Third-Party Risk. Ich bin Robert Bateman, Head of Content hier bei GRC World Forums. Nun, bevor wir zu unserer nächsten Sitzung kommen, möchten wir unseren Sponsoren noch einmal ein großes Dankeschön aussprechen. Unser Premium-Sponsor ServiceNow, der diese Veranstaltung zusammen mit unserem Hauptsponsor ProcessUnity unterstützt, beides wirklich interessante Unternehmen, die großartige Arbeit leisten. Bitte schauen Sie sich ihre Seiten an, die über das Menü auf der linken Seite verfügbar sind. Sie können dieses Menü auch verwenden, um mit unseren Diskussionsteilnehmern zu chatten. Wir hatten einige großartige Interaktionen mit unserem letzten Panel. Es ist immer gut, viele Publikumsfragen zu sehen, also denken Sie sich bitte ein paar tolle Fragen aus, und Sie sollten einige Antworten bekommen.
In unserer nächsten Sitzung geht es also um Fragebögen zur Risikobewertung durch Dritte und darum, inwieweit Sie ihnen in Ihren Due-Diligence-Prozessen vertrauen können. Unser Gastgeber für diese Sitzung ist Guilherme Campion, Datenschutzspezialist bei Mercado Libre. Zu Ihnen, Guilherme.
Guilherme Campion:
Hallo. Guten Morgen euch allen. Ich weiß nicht, wo du es dir ansiehst. Ich komme aus Brasilien, Sao Paulo, und es ist ziemlich früh hier, also guten Morgen. Mein Name ist Gilherme. Es ist ein harter Name außerhalb Brasiliens, also kannst du mich Gui nennen, wie du willst. Und wie angekündigt bin ich Datenschutzbeauftragter für Mercado Libre. Ich habe einen juristischen Hintergrund und bin in die Sicherheits- und Datenschutzangelegenheiten gewechselt. Es ist jetzt mehrere Jahre her. Ich habe einen Abschluss in Compliance und Risikomanagement und halte auch mehrere Zertifizierungen in diesen Bereichen. Sie liegen mir sehr am Herzen.
Und unsere Sitzung wird zusammengestellt aus… Erste Einführung für unsere Diskussionsteilnehmer für diesen runden Tisch, maximal fünf Minuten. Und dann werden wir zu unseren Fragen und Diskussionen am runden Tisch gehen. Wir werden dort 25 bis 30 Minuten bekommen. Und dann werden wir versuchen, die letzten 15 Minuten für Fragen aus dem Publikum freizuhalten. Wenn Sie also Fragen, Zweifel oder Vorschläge haben, senden Sie diese bitte an uns. Wir werden sie gerne teilen und auch diskutieren. Und jetzt gebe ich das Wort an Hernan weiter, damit er sich ebenfalls vorstellt.
Prof. Hernan Huwyler:
Vielen Dank Gui. Mein Name ist Hernan Huwyler. Ich habe in den letzten 24 Jahren in Nord- und Südamerika sowie Nord- und Südeuropa mit Risiken, Kontrollen, Sicherheit, Datenschutz, Transformation, SAP und vielen anderen Dingen gespielt, die normalerweise niemanden in ihren Organisationen interessieren. Ich habe auch einige Master in Compliance und Risiko geleitet, und ich leite die IT-Risikoberatungsdienste bei der Danske Bank. Daher ist es ein sehr herausfordernder Bereich in Bezug auf Wissen und Entscheidungsfindung und den Schutz der IT-Assets, insbesondere mit Anbietern, Outsourcing-Vereinbarungen und Partnerschaften. So stehen Fremdtarife immer ganz oben auf der Agenda, die wir bei allen Aktivitäten haben.
Guilherme Campion:
Großartig, Hermann. Danke ihnen und willkommen. Und jetzt übergebe ich an Onur, um sich auch vorzustellen.
Onur Korucu:
Ja, danke, Gui. Und hallo alle zusammen. Vielen Dank, dass Sie sich die Zeit genommen haben, an dieser Sitzung teilzunehmen. Ich hoffe, dass die Inhalte, die wir für Sie vorbereitet haben, sehr nützlich sein werden. Mein Name ist Onur Korucu und ich arbeite als Senior GRC Data Protection and Cyber Security Manager bei Avanade UK, Irland. Und zuvor habe ich in multinationalen Dienstleistungsunternehmen wie KPMG, PWC und Grant Thornton gearbeitet. Ich helfe Organisationen dabei, [unverständlich 00:05:31] maßgeschneiderte und etablierte Informations- und Cybersicherheits-Governance-Strukturen sowie Datenschutzpraktiken zu schaffen, die die Risiken, denen sie in ihren Unternehmen ausgesetzt sind, mindern und ihnen helfen, die regulatorischen Anforderungen einzuhalten.
Daher unterscheidet sich meine derzeitige Rolle in Technologieunternehmen ein wenig von meiner vorherigen Rolle, und wir stärken Unternehmen in Bereichen wie GRC, Cybersec, Infosec und Datenschutz durch den Einsatz von Microsoft-Technologielösungen. Und ich bin eine globale Investorin von Frauen in der Technologie. Ich denke, das ist wichtig, und ich habe viele dieser Art von Zertifizierungen im Cybersec-, Infosec- und Datenschutzbereich, und dieses Third-Party-Management ist eines der besten Themen bei professionellen Dienstleistungen. Und ich bin wirklich so aufregend, all meine Erfahrungen zu erzählen und mein ganzes Wissen heute mit Ihnen zu teilen.
Guilherme Campion:
Toll. Danke. Wir haben heute einige wirklich gute Diskussionsteilnehmer und zu Beginn unserer Sitzung werden wir das Wort an Hernan weitergeben und er wird ein wenig über Risikomanagement, Audits und Checklisten sprechen. Und die erste Frage, die wir haben, ist, was die größte Herausforderung für konforme Antworten in Due-Diligence-Fragebögen Hernan ist?
Prof. Hernan Huwyler:
Was ich in meinen Erfahrungen gesehen habe, ist die Art und Weise, wie wir tatsächlich sicherstellen, dass die Kontrollen durch Dritte durchgeführt werden. Wir können sehen, dass es einige Richtlinien gibt, es gibt einige Kontrollen, dass sie entworfen werden, einige Kommentare in den [unverständlich 00:07:10] Fragebögen. Wir müssen jedoch wissen, welches die wirklichen Kontrollattribute sind, die wir brauchen. Welches sind die wirklichen Vertragsabschlüsse, die wir einhalten und hinterfragen müssen, und wir müssen dokumentieren, dass Kontrollen wirksam sind? Und das ist die Voraussetzung, wie wir unseren Ansatz zur Herausforderung von Lieferanten, Dritten im Allgemeinen, an unsere Anforderungen anpassen können. Daher müssen wir auch sehr klare Anforderungen und Kontrollen haben, die wir nicht kompromittieren können, und die auf unsere Compliance-Anforderungen und unsere Risiken abgestimmt sind.
Letztendlich ist also eine weitere sehr wichtige Herausforderung bei der Überprüfung von Fragebögen Dritter, was machen wir mit unseren Ergebnissen? Weisen wir den potentiellen Lieferanten zurück? Ändern wir eine Klausel? Bekommen wir eine Versicherung? Bekommen wir eine zusätzliche Maßnahme in den Vertrag? Oder wir sagen: „Okay, wir können nicht gehen.“ Dies ist eine laufende Entscheidung. Wir lehnen den potenziellen Lieferanten ab, oder es gibt einige Bedingungen, die wir treffen können, und dann müssen wir nachfassen und messen. Außerdem müssen wir die Sicherheiten verstehen und wissen, wie wir die Risiken der Verträge mindern können, wie wir den Vertragsumfang und die Dienstleistungen ändern können, um sicherzustellen, dass der Drittanbieter über die richtigen Fähigkeiten verfügt, um diese Anforderungen zu erfüllen, und dass sie darauf ausgerichtet sind wir brauchen. Das ist also eine weitere Herausforderung, die ich in der Praxis sehe.
Guilherme Campion:
Ja, das ist sicher, Hernan, einschließlich der hohen Anzahl von Drittanbietern, die wir haben, ist es keine leichte Aufgabe. Und für unsere zweite Frage: Wie definieren Sie das Maß an Kontrollsicherheit in Due-Diligence-Fragebögen?
Prof. Hernan Huwyler:
Um auf Ihren Kommentar zurückzukommen, die hohe Zahl. Ja. Wenn wir eine große Anzahl von Dingen im Management haben, müssen wir uns konzentrieren. Wir müssen nach Risiken suchen. Und was machst du ich hier? Sie haben eine klare Segmentierung von Dritten, nicht nur in Bezug auf das [unverständlich 00:09:58] Risiko, das wir für eine Art von Vertrag oder die Art des beteiligten Category Managers erwarten. Es ist das Risikoniveau für eine bestimmte Vereinbarung. Möglicherweise haben Sie einen Umfrageanbieter für kritische Dienstleistungen mit einer großen und sehr wichtigen Vereinbarung, die Sie befolgen müssen, aber dann gibt es möglicherweise andere Dinge, die Sie von diesem Anbieter kaufen und die Sie bewerten müssen. Es ist nicht das gleiche Niveau. Sie müssen also zum jeweiligen Vertrag gehen. Und meine praktischen Tipps hier sind, damit anzufangen, die Drittparteien in wesentliche Dienstleister zu segmentieren. Outsourcing ist sehr kritisch, kritisches Outsourcing… Oder kein kritisches Outsourcing, aber solange Sie Outsourcing und kritische und wesentliche Dienstleister haben, sollte dies ein Segment sein, das Sie sollten anders handhaben. Ob Sie auch einen strategischen Partner haben, einen kritischen Partner für irgendeine Art von Aktivitäten, insbesondere Geschäftsaktivitäten, ist hier ein hoher Faktor.
Ich möchte auch gerne definieren, dass es einige Segmente von Drittanbietern gibt, die ein hohes Betrugsrisiko darstellen, die Sie trennen müssen, und den Fragebogen und die Art der Herausforderung, die Sie durchführen, [unverständlich 00:11:18]. Sicherheit, ob sie Zugang zu sensiblen Vermögenswerten erhalten haben. Dies können natürlich IT-Ressourcen sein, Informationen sind der Schlüssel, und Umgebungen, daher müssen Sie sicherstellen, wie Sie, insbesondere bei personenbezogenen Daten, diesen Prozess und Abhängigkeiten verwalten können. Abhängigkeiten, und jetzt nach auch COVID, segmentieren wir Dritte nach der Zahlungsfähigkeit [unverständlich 00:11:52]. Es wird sehr kritisch. Und sobald Sie das und die verschiedenen Segmente erhalten haben, müssen Sie etwas tun. Sie müssen also die Kontrollen auf ihre Reaktionen einschätzen.
Manchmal werden sie „Ja“ sagen oder nicht, und das ist gut so. Ich empfehle so etwas nicht wie die meisten Fälle, einige wenige Fälle, die Hälfte der Fälle, was auch immer, weil sie möglicherweise einen Streit mit dem Dritten verursachen, weil die Arbeitsfälle nie geklärt werden, und ich denke, dass dies der Fall sein kann scheitern oder effektiv sein, nichts dazwischen. Ich bitte auch um Kommentare zu dem Grundsatz, sich einzuhalten oder zu erklären, wenn Sie das nicht tun, erklären Sie bitte, was Sie in den Kommentaren nicht tun, und gehen Sie dann zu den Beweisen, sie müssen einige Beweise dafür vorlegen, wenn Sie dies tun fragen Sie mich, ob Sie das überprüfen möchten. Und die Zertifikate bieten den Anbietern ein gewisses Maß an Sicherheit, dass sie interne Prüfer oder Prüfer externer Prüfungsanbieter sein können.
Sie müssen auch den Berichtstyp angeben, den Sie verwenden möchten. Also, SIE, das sind hier sehr gute Tipps, um auch Input vom Lieferantenmanagement zu erhalten, und falls Sie sich im Grunde genommen darauf konzentrieren, welche Segmente dies sind, welche Art von Vertragsabschluss mehr als eine haben wird Grundlegende neue Löschungen. Wie performen Sie und beschleunigen Sie neue Löschungen?
Guilherme Campion:
Großartig, Hermann. Und ich habe auch noch eine Anschlussfrage dazu. Glauben Sie, dass wir unterschiedliche Arten von Fragebögen für unterschiedliche Arten von Drittparteien haben müssen? Ich denke zum Beispiel an einen Drittanbieter, der ein hohes Risiko für den Datenschutz hätte, im Vergleich zu einem Drittanbieter, der ein hohes Risiko für einen anderen Bereich hätte. Glaubst du an unterschiedliche Fragebögen? Oder sollten Sie einen Fragebogen wiederverwenden? [unverständlich 00:14:00] Was wäre Ihre Meinung?
Prof. Hernan Huwyler:
Der Löschvorgang ist immer gleich. Sie definieren Ihren Drittanbieter, Sie definieren den Geltungsbereich. Sie müssen also sagen: „Ist ein Vermittler ein Dritter?“ „Ist eine Depotbank ein Dritter? „Ist ein Gesellschaftsvertrag ein Dritter oder nicht?“ Für mich sind sie es, aber es hängt vom Umfang Ihres Bereichs ab. Sobald Sie den Prozess definiert haben, sollte er derselbe sein, an den Vertrag angepasst, an den Anbieter angepasst und an die Kontrollen angepasst werden, die Sie einhalten müssen. Und Sie müssen kontrollieren, dass der Anbieter verwaltet. Für mich ist also jede Selbsteinschätzung, jeder neue Fleiß, jeder neue Fleiß spezifisch. Bei den Kontrollen müssen die Kontrollen für den Betrieb und den Vertrag und den Auftragnehmerprozess relevant sein. Als Prozess sollte es dasselbe sein. Sie brauchen eine einzige Quelle der Wahrheit, um den Drittanbieter aus verschiedenen Blickwinkeln zu sehen.
Guilherme Campion:
Danke. Und zu unserer letzten Frage an Sie, Hernan, wie entwickelt sich die Kontrolle der Sorgfaltspflicht auf der Station?
Prof. Hernan Huwyler:
Nun, wir sehen jetzt … Ich sehe viel mehr Lösungen auf dem Markt, die in der Lage sind, externe Daten für den potenziellen Lieferanten zu erhalten, um die Segmentierung zu erleichtern. Wir sehen auch verschiedene Initiativen, um Pools von Unternehmen in einer Branche zu haben, die die gleiche Due Diligence durchführen. Sie brauchen keine Barclay, City Bank, Deutsche Bank, um bei IBM anzuklopfen und die gleiche Due Diligence zu verlangen. Im Moment gibt es also viele Synergien, da wir einige Pools von Organisationen haben können, die sich zentralisiert mit der Due Diligence für eine Gruppe von Unternehmen oder eine ganze Branche befassen. Und das ist eine der Tendenzen, die ich am meisten mag. Außerdem finde ich es gut, dass es bessere Procure-to-Pay-Lösungen gibt, die alle Abteilungen für Biege- oder Outsourcing-Partnerschaften integrieren, alles in einer einzigen Wahrheitsquelle und einem Prozess.
Und ich sehe auch mehr Interesse an der vierten und fünften Partei. Also, wie wir genehmigen und wetten, und wir prüfen, und wir bewerten das Risiko, nicht nur für unsere Lieferanten, sondern auch für unsere Subunternehmer. Und hier steckt viel Potenzial drin. Es ist sehr, sehr, sehr spannend, wie wir in die Lieferkette vorgehen. Und ich finde es auch gut, dass die Due Diligence jetzt viel mehr Aktivitäten abdeckt, natürlich müssen wir anfangen, über Sanktionsprüfungen für den Verkäufer zu sprechen. Jetzt, nach Russland, haben sich die gelisteten Unternehmen seit dem 22. Februar fast verdoppelt. Wir sehen jetzt, dass Due Diligence eng mit der Überprüfung von Sanktionen, Anti-Boykott und auch Anti-Betrug zusammenarbeitet, was sehr wichtig ist. Sie haben einige Übereinstimmungen, um politisch exponierte Personen in der Lieferkette zu identifizieren, um Personen zu identifizieren, die finanziell exponiert sind, neue Bereiche, die wir jetzt auch in die Due Diligence konsolidieren.
Exit-Pläne werden sehr, sehr kritisch, weil wir sagen „Okay, das ist Due Diligence, das ist [unverständlich 00:18:14]“, aber es gibt ein Ende. Und jetzt bekommen wir wegen COVID und auch wegen der Richtlinien der europäischen Bankenaufsicht viel Aufmerksamkeit für Ausstiegspläne, und es gibt viele konforme Anforderungen, die wir als Tendenz sehen. Aber die Kontinuität ist ein großes Problem für alle wesentlichen Dienstleister, Wasserabfälle, Krankenhäuser, Transportunternehmen und Versorgungsunternehmen im Allgemeinen. Und es ist sehr, sehr spannend, wo wir jetzt in Bezug auf neue Anforderungen an die Einhaltung von Vorschriften stehen, die die Geschäftskontinuität sicherstellen.
Guilherme Campion:
Danke, Herran. Es hat meine Aufmerksamkeit erregt, als Sie über das Lieferkettenmanagement sagten, dass es auch für uns eine sehr große Herausforderung für den Datenschutz ist, eine Vorstellung davon zu haben, welche der Unternehmen Verantwortliche, die Betreiber und auch die Unterbetreiber sind. Und wenn Sie einen Ausstiegsplan haben und auch ein Programm haben müssen, um sicherzustellen, dass Sie vielleicht alle Daten oder die persönlichen Daten löschen, und es ist eine Herausforderung, wie Sie dies sicherstellen können. Es ist überhaupt nicht einfach. Jetzt gehen wir zu Onur, das sich mehr auf die Datensicherheitsvision des Drittanbieter-Risikomanagements konzentrieren wird. Und unsere erste Frage lautet: Was macht ein Drittanbieter-Risikomanagementprogramm erfolgreich?
Onur Korucu:
Danke Gui. Zunächst einmal vielen Dank. Sehr informativer Kommentar für Hernan. Ich denke, das war perfekt, und ich stimme Ihnen und Hernan wirklich, wirklich zu, denn alle Organisationen, wir brauchen diese C-Level und die Unterstützung des Managements. Dies ist ein großer Schritt für alle unsere Projekte und all diese Art von Risikomanagementprogrammen. Und was die Fragen betrifft, so kann ich damit beginnen, dass das Management von Drittrisiken nicht neu ist, aber das Risikoniveau, das eine durchschnittliche Organisation damit eingeht, und der Umgang mit Drittparteien ist eine Notwendigkeit für das Geschäft, aber für sie von entscheidender Bedeutung Organisationen genau wissen, mit wem sie es zu tun haben. Und ich kann jetzt einige Beispiele aus meinem Unternehmen nennen, weil ich in meiner vorherigen Rolle immer ein Berater bin und versuche, alle internen Themen in den Unternehmen zu unterstützen.
Aber im Moment ist mein Unternehmen ein Drittanbieter als Unterstützer von Microsoft-Implementierungs- und Konfigurationsprojekten. Ohne dieses Risikomanagementwissen sind es also [unverständlich 00:21:06] Compliance- und regulatorische Anforderungen, ganz zu schweigen von Unternehmen, die sich diesem Betrugsrisiko und allen damit verbundenen finanziellen und Reputationsrisiken aussetzen. Und ich möchte mich auch auf diese Bereiche Cybersicherheit und Datensicherheit konzentrieren. Und das ist wichtig, besonders nach diesen Pandemieperioden nehmen Cyberangriffe an Häufigkeit, Raffinesse und Wirkung zu, wobei die Täter sich ständig verfeinern… Sie sind eine Kraft, Systeme, Netzwerke und Informationen zu kompromittieren und diesen Trend zu beschleunigen Nutzung von Technologie, Internet und Drittanbietern in unserer Organisation, um das Kundenerlebnis zu verbessern und die betriebliche Effizienz wie Änderungsmanagement, Zugriffsverwaltung oder Webseiten zu steigern. Sie verwenden Drittanbieter, und daher suchen Organisationen nach einem effizienten und skalierbaren Prozess für das Management dieser Risiken von Drittanbietern, weil es ein bisschen anders ist, der Fortschritt Ihres internen Risikomanagements und der Fortschritt des Risikomanagements von Drittanbietern ein kleines bisschen anders.
So viele Organisationen beginnen damit, Prozesse für die Einbindung von Bedarfsanbietern zu entwickeln und ihre bestehenden Anbieter einem robusten und maßgeschneiderten Risikobewertungsprozess von Drittanbietern zu unterziehen. Und ich möchte mich auf den Lebenszyklus des Risikomanagements von Drittanbietern konzentrieren, da wir die Unternehmenssicherheit auf der Grundlage der Registrierung von Drittanbietern fördern müssen und der Lebenszyklus die Einrichtung beim Zerreißen umfasst. Dazu gehören die Entwicklung von Geschäftsanforderungen, die Bewertung von Stakeholdern und die Durchführung eines ersten Risikobewertungsplans. Dies ist wichtig, da wir meistens, wenn wir ein externes Risikomanagementprojekt oder -verfahren starten, keinen Risikobewertungsplan im internen Teil des Unternehmens haben. Wir müssen also am Anfang der Geschichte beginnen. Daher ist dieser Schritt wirklich so wichtig, um die Stakeholder zu verstehen und zu bewerten und unsere Bedürfnisse an unsere Drittunternehmen sowie die Due Diligence und Auswahl zu definieren. Und diese Phase umfasst die Durchführung einer Risikobewertung durch Dritte und eine KMU-Bewertung.
Wie Hernan sagte, wir brauchen einige Wirtschaftsprüfer, wir brauchen einige KMU, wir brauchen die Hilfe einiger Organisationen, die Berichterstattung und die Einführung von Kontrollen sowie die Auswahl durch Dritte. Und dann ist der andere die Verhandlung und das Onboarding. Und in der Vergangenheit sind Vertragsverhandlungen und Rückstandsrisikoprüfungen und -genehmigungen sowie Vertragsanbindungen in diesem Bereich wirklich so wichtig. Und am Ende kontinuierliche Überwachung und Verwaltung, weil wir im Allgemeinen damit begannen, diese Art von Plänen zu erstellen, wir begannen, alle unsere Risiken zu bewerten, aber es ist kein fortlaufender Prozess für all diese Unternehmen, sondern eine kontinuierliche Überwachung und Verwaltung und ein Verfolgungssystem und eine Risikoüberwachung und Abhilfe und Kontakt mit Ihrem Beziehungs- und Kündigungsmanagement sind wirklich wichtig. Es ist also eine kontinuierliche Arbeit. Es ist nicht die Arbeit von heute. Wir müssen weiter daran arbeiten, und indem wir diese Aufgaben der Reihe nach ausführen und übernehmen, können alle Organisationen klügere Entscheidungen zur Erhöhung der Sicherheit mit Drittorganisationen treffen.
Doch an dieser Stelle stellt sich die Frage, wie Unternehmen vorgehen sollen? Und ich werde mit besserer Governance antworten, denn eine starke Governance hat klare Vorteile bei der Reduzierung von Risiken durch erhöhte Transparenz, die auf die Strategie und die konsequente Einhaltung gesetzlicher Vorschriften ausgerichtet sind. Sie müssen mit Ihrem Unternehmen zusammenarbeiten, nicht nur mit der IT, nicht nur mit dem Cybersicherheitsteam, Sie müssen mit Ihrem Unternehmen zusammenarbeiten, denn diese Anforderungen Dritter sind ihre Bedürfnisse und Unternehmen können ihr Gesamtrisikoprofil gegenüber Dritten reduzieren durch die Einbettung von Risikomanagementpraktiken von Drittanbietern in alle Organisationsebenen.
Und von einer formellen Governance über Dritte und dem Eingehen von Risiken für kurzfristige Vorteile zu einem intelligenteren risikobasierten Ansatz, der besser auf Ihre Unternehmensstrategie abgestimmt ist. Und diese Strategie umfasst die Weiterentwicklung von Mitarbeitern mit juristischer Ausbildung und ausgebildeten Fachleuten und Führungskräften, die die Servicebereitstellung an den strategischen Zielen Ihres Unternehmens ausrichten, und die Entwicklung von standardmäßigen Nebenprozessen und proaktiver Entscheidungsfindung mithilfe von Analysen, anstatt in einer, wenn ich das sage, Brandbekämpfung zu sein Modus und Probleme nur angehen, wenn sie auftreten, das ist wichtig.
Das ist nicht die Aufgabe von heute. Nochmals, ich habe dies erwähnt, weil es eine kontinuierliche Arbeit ist und völlig kluge, maßgeschneiderte [unverständlich 00:26:30] Tools und Entscheidungshilfen erstellt. Das ist wichtig, denn heute … In der Vergangenheit haben wir versucht, all diese Arten von Risikomanagementproblemen mit Word und Excel und diesen Dokumenten zu lösen, aber jetzt gibt es viele gute technologische Lösungen, und wir können dieses Technologieinstrument nutzen um unsere Prozesse für diese Risikomanagement-Themen zu unterstützen und Dritte zu verwalten… Laufender Prozess, wie ich bereits erwähnt habe, es geht nicht nur um detektive Maßnahmen. Es geht um Prävention statt Reaktion. Es gibt also enorme Vorteile, die Sie erzielen können, wenn Sie das erweiterte Unternehmen beeindrucken. Und in der Tat erfordert das heutige wettbewerbsorientierte Geschäftsumfeld, dass eine starke Governance Hand in Hand gehen muss, um Risiken zu mindern und gleichzeitig die Conversions zu steigern und den Ruf des Unternehmens und das Endergebnis positiv zu beeinflussen.
Guilherme Campion:
Ja, das ist ein sehr guter Punkt, Onur, und auch angesichts der Tatsache, dass viele Unternehmen keine starke Governance, kein Risikomanagement von Drittanbietern oder sogar keine gute Abbildung aller Drittanbieter haben, die sie haben. Ich denke also wirklich, dass die Automatisierung und vielleicht ein zentralisiertes und ein gutes Governance-Problem einen großen Beitrag zur Bewältigung der neuen Drittanbieter und auch des gesamten Rückstands leisten. Und für unsere nächste Frage an Sie, Onur: Welche Schlüsselrisiken können einen erheblichen Einfluss auf Ihre Geschäftstätigkeit haben?
Onur Korucu:
Eigentlich ist es nicht einfach, alles zu klassifizieren, die signifikanten Auswirkungen nach all dieser Technologieära, aber es gibt drei neue Trends, die das Risiko von Drittanbietern erhöhen. Einer davon sind vermehrte Vorfälle im Zusammenhang mit Anbietern, weil Ihre Lieferanten mehr Störungen verursachen. Diese Unterbrechung ist wirklich wichtig, ich möchte dies hervorheben, weil Geschäftsunterbrechung Geld für die Unternehmen bedeutet und Risiken nicht gemanagt werden, Informationssicherheit, Datenschutz, Betrugsbekämpfung, können einige Beispiele für diesen Punkt sein, und andere… Aufsichtsbehörden konzentrieren sich auf Lieferantenrisiko. Diese erhöhen also den Druck auf Unternehmen, ihre Risiken in der Lieferkette besser zu managen. Dieser Druck ist wichtig, weil ich ihn manchmal zu unserem Vorteil nutzen kann, weil er ein Druckpunkt ist, aber manchmal ist er nicht so einfach zu handhaben, weil beispielsweise in Großbritannien und Irland viele Unternehmen diesen SOC2-Bericht benötigen, um zu beweisen, dass sie Dritter sind -Fortschritt des Parteimanagements.
Und das ist manchmal nicht so einfach, diese Art von Standard einzuhalten. Und der andere ist der wirtschaftliche Druck [unhörbar 00:29:40], denn insbesondere nach dieser Pandemie bedeuten die wirtschaftlichen Bedingungen höhere Margen für die Lieferanten und erhöhen dieses Risiko einer Unterbrechung der Lieferanten. Und wenn Sie sich diese Bedrohungslandschaft ansehen, entwickelt sie sich ständig weiter, und jeden Tag kommen neue Bedrohungen hinzu, die typischerweise verschiedene Kategorien wie Finanzen, Reputation, Recht, Regulierung und Betrieb gefährden. Und dieser operative Teil ist wirklich so wichtig, weil das Risiko besteht, dass dieser Drittanbieter Ihren Betrieb stören könnte. Zum Beispiel wird Ihr Softwareanbieter gehackt, was Sie mit einem ausgefallenen System zurücklässt. Denken Sie darüber nach, Sie können Ihr eigenes Geschäft nicht ohne ihre Hilfe führen, und wenn ihre Systeme gehackt werden, können Sie alle Ihre persönlichen Daten und die strategischen Daten Ihres Unternehmens verlieren, und diese Art von Dingen bedeutet, dass Sie Geld verlieren, Sie verlieren Ihr Ruf, Sie verlieren das Vertrauen Ihrer Kunden.
Und obwohl dies häufigere Arten von Risiken durch Dritte sind, kann es in einigen Fällen zu Überschneidungen von Risiken und Datenschutzverletzungen kommen, z. B. eine regulatorische Bedrohung, aber auch operative Risiken. Und Drittunternehmen können Sicherheitsverletzungen melden, aber Beziehungen zu Drittparteien sind natürlich für viele Organisationsfunktionen notwendig, aber leider gibt es Praktiken, denen Unternehmen und Organisationen folgen können, um die Sicherheit zu verbessern, indem sie Sicherheitsmaßnahmen wie die Überwachung von Risikofaktoren ergreifen und Inventar von Drittanbietern. Und Ihre Organisation kann die möglichen Probleme vermeiden, die sich aus diesen Partnerschaften ergeben können, daher ist diese kontinuierliche Arbeit wirklich so wichtig. Diese Leistungsfragen müssen Sie stellen, nicht nur jährlich, Sie müssen fragen, wann Ihre Bedingungen, wenn die Situation in Ihrem Unternehmen oder der Umwelt oder in Ihrer Branche anders ist. Und wenn Sie nach Möglichkeiten suchen, den Drittanbietersektor auf die nächste Stufe zu heben, ist die Verwendung der Automatisierung durch Drittanbieter-Frameworks und -Tools für das Risikomanagement eine praktische Option, aber sich nur auf Drittanbieter zu verlassen, kann gefährlich sein.
Daher ist das Praktizieren von Risikomanagement durch Dritte von entscheidender Bedeutung, um die Sicherheit und den Erfolg einer Organisation zu gewährleisten, und sogar die besten Risikomanagementpraktiken … Weil ich einige Fragen von unserem Publikum auf meinem Bildschirm gesehen habe. Vielleicht kann es eine Antwort von Anfang an sein, Risikomanagementpraktiken sind nur so gut wie die Menschen, die sie befolgen. Die meisten Verstöße Dritter werden durch ein Versagen bei der Durchsetzung bestehender Regeln und Protokolle verursacht. Es wäre am besten, Ihren Anbietern gegenüber transparent zu machen, was Sie von ihnen erwarten, und idealerweise ist die Sicherheitslage eine vertragliche Anforderung für Ihr Unternehmen. Tolle Sache.
Guilherme Campion:
Ja sicherlich. Der Punkt, von dem ich denke, dass wir nicht genug reden, ist vielleicht auch das Bewusstsein. Nicht nur das Bewusstsein von Drittanbietern, sondern auch unser internes Bewusstsein, dass das Risikomanagement von Drittanbietern für den Datenschutz und die Datensicherheit wichtig ist. Andernfalls haben wir am Ende ein schwaches Glied, menschliches Versagen, sowohl intern als auch extern. Und, Onur, zu unserer letzten Frage: Wie können wir die Auswirkungen Dritter auf das Cybersicherheitsrisiko identifizieren und steuern?
Onur Korucu:
Ja, mein Lieblingsbereich ist immer die Cybersicherheit, und es gibt viele Dinge zu besprechen, und jeden Tag können Cybersicherheitsvorfälle, die von Unternehmen erlebt werden, störend und kostspielig werden und ihren Ruf auf der ganzen Welt erheblich schädigen und große Unternehmen in den Mittelpunkt stellen Riesige Datenökosysteme stehen jedoch vor einem besonderen [unverständlich 00:34:09] Problem, wie der Verwaltung von Cyber- und Datenschutzrisiken in Bezug auf Informationen, die an Dritte und darüber hinaus übertragen werden, da dies nicht nur für Dritte und darüber hinaus wichtig ist der Privatbereich. Und diese Unternehmen teilen Daten mit Serviceanbietern und Subunternehmern, um ihre Servicebereitstellung zu verbessern, Kosten zu senken und ihre internen Vorgänge durchzuführen. Dabei wechseln die Daten mehrmals den Besitzer, und die Dokumentation durchläuft Ökosysteme in ihren Sektoren, in ihrem Land, diese Art von Ökosystemen, und Dritte sind effiziente Hüter der ursprünglichen Informationen.
Und es ist wichtig zu wissen, welche Schritte sie unternehmen, um Informationen weiter unten in der Wertschöpfungskette zu schützen. Und wenn Sie sich die jüngsten Cyberangriffe ansehen, [unverständlich 00:35:09], die viele verschiedene Herausforderungen deutlicher machen. Eine der wichtigsten Erkenntnisse ist, dass die Unternehmenssicherheit sowohl vom globalen Cyber-Ökosystem als auch von bestimmten Institutionen abhängt. Denken Sie darüber nach, CIOs und CSOs sind daran gewöhnt, ihre eigenen Abläufe zu verwalten und idealerweise einen starken Einfluss auf das Verhalten von Unternehmensmitarbeitern und Auftragnehmern zu haben, aber es ist ein wirklich großes Risiko, all diese Budgetinvestitionsprobleme einzugehen und zu verstehen. Die Wahrheit ist also, dass ein Unternehmen, egal wie groß es ist, im globalen Internet nur einer unter Millionen ist. Seine Sicherheitslage hängt von allen seinen Mitarbeitern, Auftragnehmern und Lieferanten, Wiederverkäufern, Cloud-Partnern und manchmal sogar Kunden ab, aber auch von denselben Elementen, die zu einem anderen Unternehmen da draußen und in seinem eigenen Markt und in seiner breiteren globalen Wirtschaft gehören. Dies ist wichtig, denn alles, was sie sind … Sie sind Akteure in unseren Unternehmen, die unsere Daten berühren können, und Unternehmen haben alle Hände voll zu tun, auch wenn sie andere kontrollieren, es sind direkte Benutzer, um ihre Schwachstellen zu beheben, die in diesem gesamten Cyberspace erzeugt werden, der gemeinsam gepflegt werden muss durch globale Sicherheitsabwehr.
Wenn Ihr Unternehmen über diese Art von Teams wie ein SOC-Team, ein Cyber-Defense-Team oder ein Incident-Management-Team verfügt, bedeutet dies, dass Unternehmen offen mit ihren Partnern und Konkurrenten kommunizieren müssen. Dies ist wichtig, diese Transparenz, und diese Datenschutzverletzung durch Dritte kann Ihr Unternehmen dazu zwingen, zu reagieren … Vorfall, sie liegen außerhalb Ihrer Kontrolle oder stammen aus einer indirekten Quelle. Dies ist wichtig, da Sie manchmal alles in Ihrem Unternehmen kontrollieren möchten. Aber wenn es einen Vorfall gibt, wird die Quelle ausgelagert, und wenn Sie das nicht kontrollieren können, ist es nicht einfach, das Problem kurzfristig zu lösen. Auch wenn Sie nach den geltenden Datenschutzbestimmungen möglicherweise nicht verpflichtet sind, darauf zu reagieren, könnte Ihr Unternehmen durch den Vorfall dennoch einen erheblichen Reputationsschaden erleiden. Praktisch könnten Ihre Kunden einem erhöhten Risiko ausgesetzt sein, wenn Kriminelle versuchen, eine Datenschutzverletzung auszunutzen, unabhängig davon, wie der Vorfall entstanden ist.
Und vielleicht kann ich sagen, dass zwei gute Bereiche zur Verbesserung der Abwehr die Kommunikation und die Cybersicherheit von Drittanbietern sind, da es für diese Probleme bei jeder groß angelegten Verbesserung keine einfache Lösung gibt. Viele öffentliche Einrichtungen und Unternehmen des privaten Sektors haben jedoch Erfolg, indem sie diese beiden unterschiedlichen Arrays angegangen sind. Cyber-Hygiene, weil das ein gutes Motto ist, nach Cyber-Resilienz mag ich die Cyber-Sicherheits-Hygiene sehr, weil dies die Hygienebedingungen für die Unternehmen sind, es ist sehr entscheidend für das Bewusstsein und die Wahrheit, informell hohes Niveau der Cyber-Sicherheitshygiene in der gesamten Organisation , auch für neue Anschuldigungen und Parteien, sind Transparenz und offene Kommunikation erforderlich. Diese Antworten kann ich für den Bereich Cyber Security geben.
Guilherme Campion:
Danke. Vielen Dank Onur. Wir hätten auch ein paar Fragen zum Datenschutzteil des Drittanbieter-Risikomanagements, das gegeben würde, aber angesichts der hohen Anzahl von Fragen für unsere [unverständlich 00:39:19], und ich denke, dass wir vielleicht umziehen sollten auf diese Fragen und versuchen, sie so gut wie möglich anzugehen. Für unsere erste Frage, vielleicht Sie für Sie, Hernan: Glauben Sie, dass man sich auf Fragebögen verlässt, als Kontrollkästchenübungen, um Wirtschaftsprüfern und Aufsichtsbehörden zu zeigen? Wir machen ein angemessenes Risikoverständnis unserer Lieferanten und des Datenzuflusses und -abflusses.
Prof. Hernan Huwyler:
Wenn Sie sich für PayPal-Compliance einsetzen, ja. Gehen Sie einfach weiter und sagen Sie „Schauen Sie, das ist das Dokument, das ich haben wollte.“ Erledigt. Wenn Sie daran arbeiten, Ihre Organisation zu schützen, müssen Sie wissen, welches die Kontrollattribute sind, die Sie in den Beweisen nachschlagen müssen. Sie müssen sehr deutlich machen, warum sie hier sind, um Ihre Anforderungen und Ihre Richtlinien einzuhalten. Und Sie müssen zum Lieferanten zurückkommen und sagen: „Schauen Sie, das ist ein Endziel. Sie haben die Police erhalten, aber die Police entspricht nicht meinen Anforderungen. Sie müssen meine Richtlinie einhalten, es ist das Attribut, das Sie bereitstellen müssen. Ich hoffe es gefällt euch, sonst unterschreibe ich den Vertrag nicht.“ Das müssen wir sicherstellen, um die Arbeit für Wirtschaftsprüfer und Aufsichtsbehörden und die Einhaltung von Papieren zu vermeiden.
Denn für alles andere gibt es ein Dokument. Jeder Staatsanwalt wird es wegblasen. Und wie verstehen Sie den Grund? Und dann sprechen Sie auch eine andere Frage an, dass sie darüber sprechen [unverständlich 00:40:58] und wie wir eine Risikobewertung durchführen. Wenn Sie eine Risikobewertung durchführen, also einen Datencocktail aus verschiedenen Dingen in Bezug auf den Anbieter, dann fügen Sie alles zusammen und sagen „Ein Punkt“, wenn es nicht um personenbezogene Daten geht, „Drei Punkte“, wenn es um personenbezogene Daten geht mit vertraulichen Daten. Warum drei, nicht zwei oder vier? Und dann kommen alle Dinge zusammen. Und schließlich gibt es eine Eskalation nach Punktesystem, Heatmaps, nasser Finger in der Luft, katastrophal. Wenn Sie also Ihren Vertrag wirklich verstehen wollen, schauen Sie sich die Klauseln Ihres Lieferanten an und schätzen Sie das Risiko ein, dass der Lieferant in Verzug gerät. Jede der Fragen bewertet die potenziellen Folgen für Sie, die Wahrscheinlichkeit, dass Sie gesagt haben, dass der Anbieter mit den aktuellen Kontrollen ausfallen wird, verwenden Sie eine [unhörbare 00:41:55] Simulation, verwenden Sie eine logarithmische Normalverteilung und messen Sie schließlich Mathematik. Risiko ist keine Meinung. Sie müssen eine gute Modellierung haben, nicht weil Sie eine Due Diligence durchführen. Kurz bevor Sie sich für das Outsourcing entschieden haben, um einen Vertrag zu erhalten, müssen Sie dies beurteilen. Beachten Sie, dass Bewertungssysteme, die in der Wissenschaft gut dokumentiert sind, irreführend sind.
Guilherme Campion:
Großartig, Hermann. Toller Punkt. Danke. Wir haben eine interessante Frage aus dem Publikum. Inwieweit können kulturelle Nuancen in Bezug auf NGOs, die mit lokalen Lieferanten und Interessenvertretern zusammenarbeiten, Herausforderungen für Fragebögen darstellen, insbesondere wenn es darum geht, die Integration der Praxis in Betracht zu ziehen? Ich möchte damit beginnen, nicht … Nur für NGOs, sondern für Dritte insgesamt denke ich, dass wir unterschiedliche Vorschriften aus verschiedenen Teilen der Welt haben. Zum Beispiel haben wir hier in Lateinamerika unterschiedliche Datenschutzbestimmungen, einige sind sehr restriktiv und andere nicht. Ich würde also denken, dass Sie vielleicht die restriktivste Regulierung wählen könnten, die Sie für eine Region haben, und diese Kontrollen auf jeden externen Risikopartner anwenden könnten. Daher würde ich gerne eure Meinung wissen. Wir kommen aus verschiedenen Teilen der Welt, also denke ich, dass das interessant wäre. Onur, wenn du anfangen willst.
Onur Korucu:
Ja ja. Ja, ich stimme Ihnen vollkommen zu, weil viele verschiedene Beschränkungen und die Gesetzgebung wirklich geografisch bedingt sind. Und zum Beispiel, wenn wir hier hineinschauen, ich lebte in der Türkei, bevor ich nach Dublin zog, und in der Türkei konzentrierte sich die Regierung auf [ISA 21 7001 00:44:04]. Und der Finanzbereich konzentriert sich immer auf COVID. [unverständlich 00:44:08] Aber hier zum Beispiel konzentrieren sie sich wirklich wirklich auf SOC2, und sie beschäftigen sich mit den USA, deshalb konzentrieren wir uns immer noch auf das SOX ITGC-Audit für das Drittanbieter-Management. Das Unternehmen bietet diesen Fragebogen jedoch immer als Service an und hat versucht, diese Lücke zu schließen, indem es Antwortvalidierungsdienste anbietet. Aber diese Lösungen lassen sich nicht gut skalieren und sind in der Regel umständlich und zeitaufwändig für die Organisation, die diesen Fragebogen ausfüllt. Nicht nur das, eine Größe passt nicht für alle Branchen. Aus diesem Grund versuchen wir alle zu Beginn zu erwähnen, dass Sie, wenn Sie ein großes externes Management für die Organisation schaffen möchten, die Bedürfnisse und Unterschiede dieses Sektors, dieser geografischen Probleme, der Gesetzgebung, und all diese Umweltprobleme, und Sie müssen es zum Beispiel maßgeschneidert machen.
Denken Sie zum Beispiel an eine Bestandsprüfung. Wenn Sie versuchen, die richtigen Domains darauf zu setzen, gibt es drei Hauptpunkte. Sie können sich darauf konzentrieren, aber Sie müssen die Kontrollpunkte mit Ihrem Kunden oder mit der Organisation oder mit Ihrem eigenen Unternehmen aushandeln, weil Sie unterschiedliche Prozesse, unterschiedliche Technologiepositionen und unterschiedliche Infrastrukturen haben. Darauf müssen Sie sich also konzentrieren. Einige Unternehmen nutzen diese Drittanbieter beispielsweise nur für Softwareprobleme, andere jedoch für rechtliche Probleme oder einige von ihnen, um ihre Daten zu verwalten, wie z. B. Cloud-Unternehmen. Das ist also wichtig, Sie müssen die Bedürfnisse Ihres Unternehmens verstehen und wissen, welche Art von Daten und Vorgängen Ihre Drittorganisationen berühren. Ich meine also, dass die Verwaltung von Drittanbietern für die Sicherheit jedes Unternehmens, ob groß oder klein, unerlässlich ist. Angesichts der begrenzten Ressourcen der meisten Unternehmen ist es wichtig sicherzustellen, dass der Risikomanagementprozess von Drittanbietern effizient und effektiv ist und den höchsten Wert für den aufgewendeten Aufwand bietet. Also mein Rat an unser Publikum, Sie sind der Chef für diese Prozesse. Hinterfragen Sie also Ihren Fragebogen und versuchen Sie, eine maßgeschneiderte Checkliste bereitzustellen, folgen Sie nicht nur ISA 217001, nicht nur NIST, SOC2, SOX oder einfach so. Sie können all diese Arten von Standard-Frameworks und Best Practices verwenden, um Ihre zu erstellen eigene maßgeschneiderte Third-Party-Management-Checklisten und Fragebögen.
Guilherme Campion:
Das ist großartig, Onur. Vielen Dank. Und im Anschluss daran haben wir eine Frage, die ich etwas kürzer machen werde, nämlich die Frage, wie die Fragebogenbewertung, der Aufbau von Beziehungen, die Einhaltung gesetzlicher Vorschriften und die Überwachung in Einklang gebracht werden können. Wie könnten wir all diese Risikobewertungen ausbalancieren, die wir zum Aufbau einer starken Beziehung zu unseren Dritten durchführen müssen? Hernan, möchtest du etwas hinzufügen?
Prof. Hernan Huwyler:
Ich werde etwas hinzufügen, um den Ball an Sie weiterzugeben, Gui, dass Sie der Experte für Privatsphäre sind. Also lass mich einfach den Ball holen und ihn weitergeben. Wir werden nicht jeden Dritten mit einem Fragebogen zur Identität, einem weiteren Fragebogen zur Compliance, einem weiteren Fragebogen zur Nachhaltigkeit, einem weiteren Fragebogen zum Datenschutz belästigen, und dann bekommt jeder einfach unterschiedliche Meinungen darüber, was getan werden muss, und so weiter. Dies ist eine kleine Praxis, es ist eine Menge Verschwendung. Wie können wir Ihrer Meinung nach die Einhaltung der Datenschutzbestimmungen in Bezug auf die andere Anforderung, die wir haben, unterstützen, Gui? Was ist Ihrer Meinung nach eine gute Praxis?
Guilherme Campion:
Ich denke, dass ein zentralisierter Ansatz besser wäre, wie Sie bereits erwähnt haben. Und versuchen Sie, so gut wie möglich eine gute Beziehung aufzubauen, aber auch das Risikomanagement mit unseren Drittanbietern durchzusetzen. Davon abgesehen tun wir nichts, was kein anderes Unternehmen tut, da es wie gewohnt weitergeht, und sie müssen auch ihre Risikobewertungen durchführen. Also würden Unternehmen… Oder wir erwarten, dass sie verwendet werden, um Fragebögen zu Datensicherheit, Datenschutz, Risikomanagement von Drittanbietern zu beantworten, und wir müssen uns als Ganzes weiterentwickeln, damit alle Unternehmen es einfacher machen und trotzdem aufbauen sehr starke Beziehung. Leute, wir haben wenig Zeit. Ich möchte mich ganz herzlich bei Hernan und Onur bedanken, für eure tollen Inputs und Teilnahme. Vielen Dank für Ihre Zeit und Verfügbarkeit. Und ich möchte allen danken, die mit uns in diesem Panel sind. Vielen Dank. Wenn Sie Fragen haben, senden Sie uns bitte eine E-Mail und wir werden unser Bestes tun, um zu antworten. Vielen Dank und einen schönen Tag.
Onur Korucu:
Vielen Dank.
Prof. Hernan Huwyler:
Vielen Dank. Tschüss.
Robert Bateman:
Vielen Dank an das Gremium dort. Eine weitere brillante, sehr aufschlussreiche Sitzung über Risikofragebögen von Drittanbietern. Es ist wichtig, sie nicht zu einer Übung zum Ankreuzen zu machen, aber dennoch denke ich, dass sie für viele Unternehmen ein zentraler Bestandteil des Due-Diligence-Prozesses sind. Also bleib hier, in-
PrivSec-Weltforum
Teil der Digital Trust Europe Series – findet bis Mai, Juni und Juli 2022 statt und besucht fünf große Städte;
Brüssel | Stockholm | London | Dublin | Amsterdam
Das PrivSec World Forum ist eine zweitägige, persönliche Veranstaltung, die im Rahmen der Reihe Digital Trust Europe stattfindet. Datenschutz, Privatsphäre und Sicherheit sind wesentliche Elemente der betrieblichen Zusammensetzung jeder erfolgreichen Organisation. Diese Dinge richtig zu machen, kann das Vertrauen der Stakeholder stärken und jedes Unternehmen auf die nächste Stufe bringen.
Das PrivSec World Forum wird eine Reihe von Rednern aus weltbekannten Unternehmen und Branchen zusammenbringen – plus Vordenker und Experten, die Fallstudien und ihre Erfahrungen austauschen – damit Fachleute aus allen Bereichen zuhören, lernen und diskutieren können.
Topics
Can You Rely On Third-Party Risk Assessment Questionnaires?
- 1
- 2Currently reading
Können Sie sich auf Fragebögen zur Risikobewertung von Drittanbietern verlassen?
- 3
No comments yet