”Risk Ledger ger oss en omedelbar ögonblicksbild av var riskerna ligger i vår leveranskedja. Det är helt otroligt att de enda riskhanteringsprogrammen från tredje part innan Risk Ledger fortfarande förlitade sig på manuell onboarding och årliga granskningar - så föråldrade i en digital ekonomi och inte ändamålsenliga mot bakgrund av mycket strängare finansiella regler.”
Schroders Personal Wealth (SPW) är ett joint venture mellan Lloyds Banking Group och investeringsförvaltningsföretaget Schroders, byggt på en 400-årig grund. Förtroende, öppenhet och personliga relationer är kärnan i verksamheten. SPW har över 13.3 miljarder pund i fonder under förvaltning och betjänar sina kunder genom 11 regionala nav och 270+ finansiella rådgivare runt om i Storbritannien.
Med över 13 miljarder pund i medel under förvaltning var det absolut nödvändigt att ha ett säkerhetsprogram som skulle vara tillräckligt robust för att säkerställa efterlevnad av GDPR, Financial Conduct Authority Handbook och föränderliga regler som styr finanssektorn samt de allt mer kritiska och obligatoriska principerna för miljö, social och styrning (ESG). Med Yohann, informationssäkerhetschef på SPW, ord:
”Vi är en molnbaserad organisation, vilket innebär att en av de största säkerhetsriskerna för SPW - om inte den största risken - är de potentiella sårbarheterna i vår leveranskedja. Vi har cirka 200 leverantörer, varav några är kritiska för vår infrastruktur och dagliga verksamhet. För att effektivt hantera dessa risker löpande är automatisering och effektivitet avgörande.
”Ett dataintrång eller skadlig attack i en tredjepartsanslutning kan ha en betydande inverkan på oss om vi inte hade programmet på plats för att hantera det.” säger Yohann.
”Vår CISO vid den tiden såg Risk Ledger ge en demo av sin produkt vid ett evenemang och var imponerad av dess enkelhet, effektivitet och modell som underlättar en nivå av samarbete och kommunikation med en organisations leveranskedja som bara inte fanns någon annanstans på marknaden.”
Med Risk Ledger är varje leverantör skyldig att skapa en profil som är uppbyggd inom ett standardramverk som täcker gemensamma säkerhetskontroller samt nyckelfrågor relaterade till ESG och finansiell risk.
Eftersom processen är automatiserad flaggas tredje parts bristande efterlevnad av specifika prioritetskriterier omedelbart till SPW-upphandlingen, vilket sparar månader av manuell genomsökning av kalkylblad för att bedöma svar på frågeformuläret. Med Risk Ledger är SPWs riskhanteringsprocesser från tredje part nu otroligt effektivare; det som tidigare krävde flera heltidsekvivalenter kräver nu bara 1 heltidsekvivalenter, vilket innebär att expertsäkerhetsteamet kan fokusera sin tid på andra saker. Automatisering eliminerar också mänskliga fel från onboarding-processen.
Risk Ledgers sociala nätverksmodell ger SPW oöverträffad synlighet i realtid över hela sin leveranskedja bortom tredje part, till fjärde, femte och till och med sjätte part, vilket underlättar snabb upptäckt av sårbarheter även hos de minsta leverantörerna som annars sannolikt skulle ha gått obemärkt förbi.
SPW har infört en klausul i alla leverantörsavtal som föreskriver att leverantörer måste upprätthålla alla kontroller som anges genom Risk Ledger och detta fungerar som ett dynamiskt säkerhetsschema, uppdaterat i realtid - ett mycket mer robust tillvägagångssätt än en granskning en gång om året, som snabbt är inaktuell.
”Eftersom Risk Ledger ger sina kunder kontinuerlig övervakning av leverantörernas interna säkerhetskontroller kan vi identifiera eventuella bristande efterlevnad i realtid så snart en leverantörs kontrollnivå ändras.”
”Risk Ledger utvecklar kontinuerligt sin produkt för att hjälpa oss att följa förändrade regler”, säger Yohann. ”Att kunna identifiera koncentrationsrisk och kritiska beroenden genom Risk Ledgers live-mappningsfunktion innebär att när ny reglering införs kommer vi att vara väl förberedda.”
” Jag tycker om att kunna arbeta tillsammans med Risk Ledger som en stödjande partner snarare än som leverantör. Vi är båda i början av våra resor och vi har båda affärsmodeller med en spännande framtid.
En Risk Ledger-profil kan enkelt fyllas i på en dag. En SPW-leverantör gjorde det på två timmar. Den hastigheten i onboarding-processen kombinerat med plattformens enkelhet är en spelväxlare för SPW-upphandling och riskhanteringens arbetsbelastning. Samtidigt har SPW-teamet sagt att Risk Ledger ger oöverträffad insyn i deras försörjningskedjas risker - de har nu synlighet för 95% av sina leverantörer - vilket möjliggör en enorm minskning av risken för cyberincidenter i SPW-leveranskedjan.
Leverantörer av SPW har gett dem feedback om hur användarvänlig Risk Ledger-plattformen är, vilket Yohann och hans team säger är uppmuntrande eftersom det är samarbetsaspekten av Risk Ledger-modellen som stärker dess förmåga att upptäcka tidigt och försvara sig mot cyberattacker.
Ett antal SPW-leverantörer använder Risk Ledger för att hantera sina egna leveranskedjor, vilket stöder plattformens ”nätverkseffekt” -princip, där anslutna organisationer arbetar tillsammans för att dela data om säkerhetsaktivitet och ”defend-as-one”.
”Vi är stora anhängare av Risk Ledger och deras produkt, som är unik och fyller en enorm lucka på cybersäkerhetsmarknaden. Risk Ledger ger oss en omedelbar ögonblicksbild av var riskerna ligger i vår leveranskedja. Det är helt otroligt att före Risk Ledger var de enda tredje parts riskhanteringsprogrammen där ute fortfarande förlitade sig på manuell onboarding och årliga granskningar - så föråldrade i en digital- först ekonomi och inte lämpliga för ändamålet mot bakgrund av mycket strängare finansiella regler.
Leverantörer älskar att arbeta med Risk Ledger! Vi får regelbundet kommentarer om hur lätt processen är.
”Vi trivs verkligen med att arbeta med SPW för att bygga framtiden för Defend-as-One, där organisationer arbetar tillsammans för att förbättra säkerheten i den globala leveranskedjan för både konsumenter och företag. SPW har varit en fantastisk mästare på detta och har samarbetat med sina leverantörer för att förbättra säkerheten för alla.”
No organisation is an island.
Sign up to our monthly newsletter to receive exclusive research and analyses by our experts, the latest case studies from our clients as well as guides, explainers and more to turn your supply chain risk management programme into a resounding success story.
