«Risk Ledger gir oss et øyeblikkelig øyeblikksbilde av hvor risikoene ligger i forsyningskjeden vår. Det er ganske utrolig at før Risk Ledger, var de eneste tredjeparts risikostyringsprogrammene der ute fortsatt avhengige av manuell onboarding og årlige gjennomganger - så utdatert i en digital økonomi og ikke egnet for formålet i lys av mye strengere økonomiske regler.
Schroders Personal Wealth (SPW) er et joint venture mellom Lloyds Banking Group og investeringsforvaltningsvirksomheten Schroders, bygget på en 400 år lang stiftelse. Tillit, åpenhet og personlige forhold er kjernen i virksomheten. SPW har over 13.3 milliarder pund i fond under forvaltning og betjener sine kunder gjennom 11 regionale knutepunkter og 270+ finansielle rådgivere rundt om i Storbritannia.
Med over 13 milliarder pund i midler under forvaltning, var det viktig å ha et sikkerhetsprogram som ville være robust nok til å sikre overholdelse av GDPR, Financial Conduct Authority Handbook og nye forskrifter for finanssektoren, samt de stadig mer kritiske og obligatoriske miljø-, sosial- og styringsprinsippene (ESG). Med ordene til Yohann, informasjonssikkerhetssjef i SPW:
«Vi er en skybasert organisasjon, noe som betyr at en av de største sikkerhetsrisikoene for SPW - om ikke den største risikoen - er de potensielle sårbarhetene i forsyningskjeden vår. Vi har rundt 200 leverandører, hvorav noen er kritiske for vår infrastruktur og daglige drift. For å håndtere disse risikoene effektivt på en kontinuerlig basis, er automatisering og effektivitet kritisk viktig.
«Et datainnbrudd eller skadelig programvareangrep i en tredjepartsforbindelse kan ha en betydelig innvirkning på oss hvis vi ikke hadde programmet på plass for å administrere det.» sier Yohann.
«Vår CISO på den tiden så Risk Ledger gi en demo av produktet sitt på et arrangement og var imponert over enkelheten, effektiviteten og modellen som muliggjør et nivå av samarbeid og kommunikasjon med en organisasjons forsyningskjede som bare ikke var tilgjengelig andre steder på markedet.»
Med Risk Ledger er hver leverandør pålagt å lage en profil som er bygget innenfor et standardrammeverk som dekker felles sikkerhetskontroller samt sentrale spørsmål knyttet til ESG og finansiell risiko.
Ettersom prosessen er automatisert, flagges tredjeparts manglende overholdelse av spesifikke prioritetskriterier umiddelbart til SPW-anskaffelse, noe som sparer måneder med manuell gjennomsøking av regneark for å vurdere spørreskjemasvar. Med Risk Ledger er SPWs tredjeparts risikostyringsprosesser nå utrolig mer effektive; det som tidligere krevde flere FTE krever nå bare 1 FTE, noe som betyr at ekspertsikkerhetsteamet kan fokusere tiden sin på andre ting. Automatisering eliminerer også menneskelige feil fra prosessen med onboarding.
Risk Ledgers sosiale nettverksmodell gir SPW enestående synlighet i sanntid over hele forsyningskjeden utover tredjeparter, til fjerde, femte og til og med sjette part, noe som letter rask avdekking av sårbarheter selv hos de minste leverandørene som ellers sannsynligvis ville gått upåaktet hen.
SPW har implementert en klausul i alle leverandørkontrakter som pålegger at leverandører må opprettholde alle kontroller som angitt gjennom Risk Ledger, og dette fungerer som en dynamisk sikkerhetsplan, oppdatert i sanntid - en langt mer robust tilnærming enn en gjennomgang en gang i året, som raskt er utdatert.
«Siden Risk Ledger gir kundene kontinuerlig overvåking av leverandørenes interne sikkerhetskontroller, er vi i stand til å identifisere enhver manglende overholdelse i sanntid så snart leverandørens kontrollnivå endres.»
«Risk Ledger utvikler kontinuerlig sitt produkt for å hjelpe oss med å overholde endrede regler,» sier Yohann. «Å kunne identifisere konsentrasjonsrisiko og kritiske avhengigheter gjennom Risk Ledgers live kartleggingsfunksjonalitet betyr at når ny regulering innføres, vil vi være godt forberedt.»
«Jeg liker å kunne jobbe sammen med Risk Ledger som en støttende partner i stedet for en leverandør. Vi er begge i begynnelsen av våre reiser, og vi har begge forretningsmodeller med en spennende fremtid.
En Risk Ledger-profil kan enkelt fylles ut på en dag. En SPW-leverandør gjorde det på to timer. Det hastighetsnivået i onboarding-prosessen kombinert med plattformens enkelhet er en game changer for SPW-anskaffelser og risikostyringens arbeidsmengde. I mellomtiden har SPW-teamet sagt at Risk Ledger gir enestående synlighet i leverandørkjedens risikoer - de har nå synlighet til 95% av leverandørene sine - noe som muliggjør en enorm reduksjon i risikoen for cyberhendelser i SPW-forsyningskjeden.
Leverandører av SPW har gitt dem tilbakemelding på hvor brukervennlig Risk Ledger-plattformen er, noe Yohann og teamet hans sier er oppmuntrende siden det er samarbeidsaspektet ved Risk Ledger-modellen som styrker evnen til å oppdage tidlig og forsvare seg mot cyberangrep.
En rekke SPW-leverandører bruker Risk Ledger til å administrere sine egne forsyningskjeder, noe som støtter plattformens «nettverkseffekt» -prinsipp, der tilkoblede organisasjoner jobber sammen for å dele data om sikkerhetsaktivitet og «defend-as-one».
«Vi er store tilhengere av Risk Ledger og deres produkt, som er unikt og fyller et enormt gap i cybersikkerhetsmarkedet. Risk Ledger gir oss et øyeblikkelig øyeblikksbilde av hvor risikoen ligger i forsyningskjeden vår. Det er ganske utrolig at før Risk Ledger var de eneste tredjeparts risikostyringsprogrammene der ute fortsatt avhengige av manuell onboarding og årlige gjennomganger - så utdatert i en digital økonomi og ikke egnet for formålet i lys av mye strengere økonomiske regler.
Leverandører elsker å jobbe med Risk Ledger! Vi får jevnlig kommentarer om hvor enkel prosessen er.»
«Vi gleder oss veldig godt til å jobbe med SPW for å bygge fremtiden til Defend-as-One, der organisasjoner jobber sammen for å forbedre sikkerheten i den globale forsyningskjeden for både forbrukere og selskaper. SPW har vært en fantastisk forkjemper for dette, og samarbeidet med leverandørene sine for å forbedre sikkerheten for alle.
No organisation is an island.
Sign up to our monthly newsletter to receive exclusive research and analyses by our experts, the latest case studies from our clients as well as guides, explainers and more to turn your supply chain risk management programme into a resounding success story.
