Menu
1.26%
Τζίρος: 105.08 εκατ.

Νικόλας Πατέρας: Δωρεά 500.000 δολ. στο Columbia – Πρωτοποριακή έρευνα για τον καρκίνο του εγκεφάλου στην Ελλάδα

            
Business

Διαχείριση Κινδύνων Τρίτων Μερών: Από αγγαρεία συμμόρφωσης σε στρατηγικό πλεονέκτημα

ο Νίκος Μπάλλας, Director, Governance-Risk-Compliance, PwC
ο Νίκος Μπάλλας, Director, Governance-Risk-Compliance, PwC

Η πλειονότητα των οργανισμών εξακολουθεί να αντιμετωπίζει τη Διαχείριση Κινδύνων Τρίτων Μερών (Third-Party Risk Management – TPRM) ως μια άσκηση συμμόρφωσης.

Κι εκεί ακριβώς βρίσκεται το πρόβλημα, καθώς η συνεργασία με τρίτα μέρη δεν ήταν ποτέ πιο διαδεδομένη – ούτε πιο καθοριστική. Από παρόχους cloud και IT υπηρεσιών, μέχρι εξωτερικά call centers, παρόχους μισθοδοσίας και data processors, οι οργανισμοί σήμερα λειτουργούν μέσα από σύνθετα οικοσυστήματα συνεργατών. Αυτή η πραγματικότητα δεν είναι πρόβλημα, είναι ο τρόπος με τον οποίο δημιουργείται αξία. Το ζητούμενο είναι πώς τη διαχειρίζονται οι οργανισμοί.

Τα νούμερα δείχνουν γιατί το θέμα δεν επιδέχεται αναβολή: τα καταγεγραμμένα περιστατικά παραβίασης δεδομένων σχεδόν τριπλασιάστηκαν μέσα σε λίγα χρόνια, και περίπου το 30%* εξ αυτών συνδέεται με τρίτα μέρη. Το TPRM εξελίσσεται ακριβώς γι’ αυτό τον λόγο: όχι επειδή «κάτι πάει στραβά», αλλά επειδή το επιχειρηματικό μοντέλο έχει αλλάξει. Κανονισμοί όπως το DORA και το NIS2 απλώς έρχονται να επιβεβαιώσουν κάτι που ήδη ισχύει στην πράξη – ότι η ανθεκτικότητα ενός οργανισμού εξαρτάται από το σύνολο της αλυσίδας αξίας του, και αξιώνουν πλέον ρητά την ενεργό παρακολούθηση των κρίσιμων τρίτων παρόχων.

Οι οργανισμοί που είναι πιο ώριμοι στο TPRM δεν ξεκινούν από τον φόβο, αλλά από την κατανόηση της πραγματικής κρισιμότητας. Δεν αντιμετωπίζουν όλους τους συνεργάτες με τον ίδιο τρόπο. Κι όμως, το πιο συχνό λάθος που βλέπουμε στην πράξη είναι ακριβώς αυτό: το τεράστιο, κοινό ερωτηματολόγιο που στέλνεται αδιακρίτως σε κάθε πάροχο, με την ψευδαίσθηση ότι «καλύπτει» κάθε κίνδυνο. Στην πραγματικότητα κουράζει τους πάντες και δεν προστατεύει κανέναν. Ένας πάροχος που υποστηρίζει μια κρίσιμη επιχειρησιακή λειτουργία ή διαχειρίζεται ευαίσθητα δεδομένα οφείλει να αξιολογείται διαφορετικά από έναν προμηθευτή χαμηλού αντίκτυπου. Αυτή η απλή διαφοροποίηση είναι συχνά και το πιο ουσιαστικό “best practice”.

Στην πράξη, αυτό σημαίνει ότι πριν σταλεί οποιοδήποτε ερωτηματολόγιο, πρέπει να προηγηθεί μια χαρτογράφηση: ποιοι συνεργάτες επηρεάζουν άμεσα την επιχειρησιακή συνέχεια, τη συμμόρφωση ή τη φήμη του οργανισμού; Ποιες εξαρτήσεις υπάρχουν στο παρασκήνιο; Δεν είναι σπάνιο δύο «ανεξάρτητοι» πάροχοι να βασίζονται στην ίδια υποδομή cloud ή στον ίδιο υπεργολάβο – μια λεπτομέρεια που αποκτά αξία μόνο όταν τη γνωρίζεις εκ των προτέρων. Κι όταν το 82% των εταιρειών παραχωρεί σε τρίτους πρόσβαση στα δεδομένα τους στο cloud, αυτές οι κρυμμένες εξαρτήσεις δεν είναι η εξαίρεση – είναι ο κανόνας.

Το πόσο ακριβά μπορεί να κοστίσει αυτό το «παρασκήνιο» το δείχνει ένα σχετικά πρόσφατο περιστατικό. Το 2024, η αμερικανική εταιρεία National Public Data κήρυξε πτώχευση μετά τη διαρροή δισεκατομμυρίων εγγραφών προσωπικών δεδομένων. Η αιτία δεν ήταν κάποιο περίπλοκο εσωτερικό σφάλμα, αλλά ένας εξωτερικός πάροχος που διαχειριζόταν την ιστοσελίδα της και δεν τηρούσε βασικούς κανόνες ασφαλείας. Ένας φαινομενικά «περιφερειακός» συνεργάτης αρκούσε για να καταρρεύσει ολόκληρη η εταιρεία.

Οι ώριμες πρακτικές TPRM δίνουν έμφαση και στη συμβατική σαφήνεια – όχι με όρους υπερβολικής αυστηρότητας, αλλά με ξεκάθαρες προσδοκίες: τι σημαίνει ασφάλεια, τι σημαίνει συμμόρφωση και πως γίνεται η επικοινωνία όταν κάτι αλλάξει. Ένα καλά δομημένο συμβατικό πλαίσιο – από ρήτρες ασφάλειας και δικαιώματα ελέγχου (audit rights) μέχρι σαφή SLAs – δεν προστατεύει μόνο τον οργανισμό, δημιουργεί και πιο υγιείς συνεργασίες.

Ένα ακόμη στοιχείο που κερδίζει έδαφος είναι η μετάβαση από τις περιοδικές αξιολογήσεις στη συνεχή παρακολούθηση. Όχι γιατί «κάποιο κακό καραδοκεί», αλλά γιατί το περιβάλλον αλλάζει διαρκώς. Πιστοποιήσεις λήγουν, κανονιστικές απαιτήσεις εξελίσσονται, γεωπολιτικές συνθήκες μεταβάλλονται – κυρώσεις, δασμοί και αναδιαμόρφωση εφοδιαστικών αλυσίδων μπορούν να αλλάξουν εν μία νυκτί το ρίσκο ενός παρόχου που χθες θεωρούσαμε «ασφαλή». Οι οργανισμοί που έχουν ενσωματώσει απλούς μηχανισμούς παρακολούθησης, σαφείς ρόλους και δομημένες διαδικασίες επανελέγχου, προσαρμόζονται χωρίς αναταράξεις.

Σε αυτό το σημείο, η τεχνητή νοημοσύνη παύει να είναι πειραματισμός και γίνεται καταλύτης ωρίμανσης του TPRM. Επιταχύνει τη δέουσα επιμέλεια, μετατρέπει τα δεδομένα σε ουσιαστικό risk scoring και φέρνει νωρίτερα στο προσκήνιο αλλαγές που απαιτούν προσοχή. Ταυτόχρονα, θέτει μια ξεκάθαρη απαίτηση για υπεύθυνη διακυβέρνηση. Η χρήση AI από και προς τρίτα μέρη δεν είναι πλέον τεχνικό ζήτημα, είναι αναπόσπαστο μέρος της στρατηγικής διαχείρισης κινδύνων.

Το μήνυμα γύρω από τη Διαχείριση Κινδύνων Τρίτων Μερών είναι σαφές και αισιόδοξο. Δεν πρόκειται για έναν ακόμη μηχανισμό ελέγχου, αλλά για έναν τρόπο να λειτουργούν οι οργανισμοί πιο συνειδητά, πιο ανθεκτικά και με μεγαλύτερη διαφάνεια. Γι’ αυτό και το TPRM ανήκει πλέον στην ατζέντα της διοίκησης, όχι μόνο των ομάδων IT και συμμόρφωσης. Σε μερικά χρόνια, η διαφορά δεν θα είναι ανάμεσα σε όσους κάνουν TPRM και όσους δεν κάνουν – αλλά ανάμεσα σε όσους το αξιοποιούν ως στρατηγικό πλεονέκτημα και όσους το υπομένουν ως αγγαρεία.

*Πηγή: Verizon’s 2025 Data Breach Investigations Report

 

Ακολουθήστε το mononews.gr στο Google News και ενημερωθείτε πρώτοι.

ΔΕΙΤΕ ΑΚΟΜΑ

Νικόλας Πατέρας: Δωρεά 500.000 δολ. στο Columbia – Πρωτοποριακή έρευνα για τον καρκίνο του εγκεφάλου στην Ελλάδα
H Δανάη Μπεζαντάκου νέα πρόεδρος του Propeller Club
Fleetwork: Τα Ποσειδώνια 2026 σηματοδοτούν τη νέα εποχή της Τεχνητής Νοημοσύνης και του cloud στη ναυτιλία
Εθνικό Αναπτυξιακό Ταμείο: 7 επενδυτικά σχήματα στη β’ φάση του διαγωνισμού για την Ελληνικές Αλυκές
FT: Ο Σαμ Άλτμαν πρότεινε στην κυβέρνηση Τραμπ την εξαγορά του 5% της OpenAI
Chanel: Αγόρασε τον παλαιότερο γαλλικό οίκο πουκαμίσων Charvet
Dimand: Συνεργασία με τη Hilton για το ξενοδοχείο στο Φιξ της Θεσσαλονίκης
Το incharge της Motor Oil «οδηγεί» την ηλεκτροκίνηση στις βαριές μεταφορές
Klarna: Σημαντική δικαστική νίκη στη Σουηδία – Κέρδισε αποζημίωση σχεδόν $2 δισ. από τη Google
Προοδευτική ΑΤΕ: Στις 15 Σεπτεμβρίου η Έκτακτη Γενική Συνέλευση