Dove sono le opportunitĆ di miglioramento dei processi di gestione dei fornitori di sicurezza informatica? Derivano dai tradizionali strumenti GRC di valutazione e gestione del rischio? Oppure dalle tradizioni di gestione dei fornitori di terze parti.
In questo articolo esploreremo:
Programma di gestione del rischio di terze parti
Gestione tradizionale del rischio
Rischi di sicurezza informatica
Sfide della catena di fornitura
OpportunitĆ di miglioramento del TPRM
Il rischio di terzi ĆØ esattamente questo. Si tratta di un evento che ha un certo impatto sugli obiettivi della vostra organizzazione e che proviene da una terza parte. Gli obiettivi dell'organizzazione sono molteplici e dipendono dalla direzione del consiglio di amministrazione e sono in qualche modo legati al settore in cui opera l'azienda. Ai fini della discussione, gli obiettivi organizzativi sono:
Costruire e mantenere un marchio e una reputazione forti
Fornire prodotti e servizi con affidabilitĆ e integritĆ
Mantenere il successo dell'azienda nel tempo
Con i tradizionali strumenti di valutazione e gestione del rischio GRC, questi rischi vengono registrati. Quindi, secondo la ISO 31001, questo ĆØ il primo passo. Lo scopo delle fasi di identificazione ĆØ quello di trovare, riconoscere e descrivere i rischi che potrebbero impedire a un'organizzazione di raggiungere i propri obiettivi. Queste attivitĆ sono tipicamente condotte da un team di rischio o da un esperto in materia con un approccio consapevole alla gestione del rischio.
In termini di rischio fornitori e rischi di terzi, potrebbe essere il reparto acquisti; in termini di rischio informatico, potrebbe essere il team responsabile della difesa dalle minacce informatiche. In ogni caso, questa attivitĆ chiave deve essere svolta regolarmente con accesso a informazioni tempestive.
---
![ISO 31001 Risk Management](https://static.wixstatic.com/media/650c0b_c9f0decdb91d4354bfafd58ba699c378~mv2.jpg/v1/fill/w_344,h_343,al_c,q_80,enc_auto/650c0b_c9f0decdb91d4354bfafd58ba699c378~mv2.jpg)
Anche le fasi successive del processo tradizionale sono fondamentali e vengono esaminate insieme per analizzare e fornire i risultati dell'analisi nella valutazione.
L'analisi del rischio ĆØ un'arte. L'obiettivo ĆØ comprendere la natura del rischio e comporta una complessa interazione di fonti di rischio, conseguenze, probabilitĆ , eventi e scenari. L'analisi del rischio ĆØ spesso influenzata da opinioni, pregiudizi e percezioni del rischio, che possono portare a qualsiasi tipo di situazione: valutazione incoerente, risultati alterati. Questi risultati sono legati alla valutazione del rischio, che consiste nel considerare i criteri di rischio stabiliti e nel prendere in considerazione il contesto e le conseguenze reali e percepite.
Con variazioni nell'analisi, questo processo di valutazione puĆ² diventare rapidamente difettoso. Inoltre, la natura della gestione del rischio di terzi, con i suoi eventi incerti, puĆ² essere difficile da quantificare. Questo puĆ² essere un problema quando si analizzano eventi con conseguenze gravi. In questi casi, l'utilizzo di una combinazione di tecniche fornisce generalmente una maggiore comprensione.
L'analisi del rischio fornisce un input per la valutazione del rischio, per decidere se il rischio deve essere trattato e come, e per la strategia e i metodi di trattamento del rischio piĆ¹ appropriati. I risultati forniscono indicazioni per le decisioni, quando si tratta di fare delle scelte e le opzioni comportano diversi tipi e livelli di rischio.
I rischi per la sicurezza informatica possono quindi essere analizzati in modo analogo e utilizzando le tradizionali tecniche di gestione del rischio. Tuttavia, data la natura dinamica del panorama delle minacce alla sicurezza informatica, le tecniche tradizionali di gestione del rischio non si adattano bene. Il risultato di questo approccio ĆØ l'aggregazione e la diluizione del registro dei rischi. Quando ciĆ² accade, inizia l'introduzione di punti ciechi. Quindi, anche quando si utilizza un approccio tradizionale al rischio ben gestito, ci sono aree della sicurezza informatica che non vengono affrontate adeguatamente: questi sono i punti ciechi.
Si sono verificate molte violazioni di dati di alto profilo che hanno messo in evidenza questo aspetto. Grandi organizzazioni ne sono state vittime e questo potrebbe avere a che fare con l'approccio tradizionale alla gestione del rischio. Quindi, le organizzazioni che operano nel settore dei servizi finanziari, delle infrastrutture critiche, della sanitĆ , della logistica o della produzione facciano attenzione, perchĆ© un recente studio Ponemon ha rilevato alcune statistiche sorprendenti. Il rapporto ha rilevato che:
Il 54% delle organizzazioni non dispone di un inventario completo di tutte le parti terze
Il 65% non sa quali siano le parti che hanno accesso ai loro dati piĆ¹ sensibili
Il 63% ha ammesso che la propria organizzazione non ha visibilitĆ del livello di accesso e dei permessi degli utenti esterni.
il 54% ha risposto di non monitorare le pratiche di sicurezza e privacy dei propri fornitori di servizi
Il 59% non ha centralizzato il controllo sulle terze parti.
E tutto ciĆ² a causa della complessitĆ e del numero di relazioni con terze parti. SƬ, la gestione delle terze parti ĆØ complessa e difficile - aggiungete la complessitĆ della sicurezza informatica e la maggior parte preferirebbe nascondere la testa sotto la sabbia. La gestione del rischio di terzi nella sicurezza informatica richiede un'evoluzione dell'approccio TPRM (Third Party Risk Management). E non solo dal punto di vista del processo. E non solo dal punto di vista tecnologico. Piuttosto, da una prospettiva filosofica.
I programmi TPRM possono migliorare quando si considera un approccio a livello aziendale e si adotta un approccio strategico al rischio. Uscire dalla ricerca di configurazioni errate che hanno un impatto minimo sulla posizione di rischio. Concentratevi invece sulla gestione della catena di fornitura ad alto livello tra tutti i fornitori. Ecco 6 opportunitĆ che possono essere sfruttate per migliorare la gestione del rischio della catena di approvvigionamento della vostra organizzazione:
Includete tutti i principali proprietari di rischi nel vostro programma di gestione dei rischi di mercato.
Riferire mensilmente alla direzione e regolarmente ai consigli di amministrazione.
Modificare i contratti per includere obiettivi specifici di miglioramento.
Valutare con una prospettiva pragmatica e lungimirante.
Ottenere aggiornamenti in tempo reale sui cambiamenti nella catena di approvvigionamento
Integrare i risultati della valutazione e la pianificazione delle azioni nelle tappe del rapporto con i fornitori esterni.