Dove sono le opportunità di miglioramento dei processi di gestione dei fornitori di sicurezza informatica? Derivano dai tradizionali strumenti GRC di valutazione e gestione del rischio? Oppure dalle tradizioni di gestione dei fornitori di terze parti.
In questo articolo esploreremo:
Programma di gestione del rischio di terze parti
Gestione tradizionale del rischio
Rischi di sicurezza informatica
Sfide della catena di fornitura
Opportunità di miglioramento del TPRM
Il rischio di terzi è esattamente questo. Si tratta di un evento che ha un certo impatto sugli obiettivi della vostra organizzazione e che proviene da una terza parte. Gli obiettivi dell'organizzazione sono molteplici e dipendono dalla direzione del consiglio di amministrazione e sono in qualche modo legati al settore in cui opera l'azienda. Ai fini della discussione, gli obiettivi organizzativi sono:
Costruire e mantenere un marchio e una reputazione forti
Fornire prodotti e servizi con affidabilità e integrità
Mantenere il successo dell'azienda nel tempo
Con i tradizionali strumenti di valutazione e gestione del rischio GRC, questi rischi vengono registrati. Quindi, secondo la ISO 31001, questo è il primo passo. Lo scopo delle fasi di identificazione è quello di trovare, riconoscere e descrivere i rischi che potrebbero impedire a un'organizzazione di raggiungere i propri obiettivi. Queste attività sono tipicamente condotte da un team di rischio o da un esperto in materia con un approccio consapevole alla gestione del rischio.
In termini di rischio fornitori e rischi di terzi, potrebbe essere il reparto acquisti; in termini di rischio informatico, potrebbe essere il team responsabile della difesa dalle minacce informatiche. In ogni caso, questa attività chiave deve essere svolta regolarmente con accesso a informazioni tempestive.
---
Anche le fasi successive del processo tradizionale sono fondamentali e vengono esaminate insieme per analizzare e fornire i risultati dell'analisi nella valutazione.
L'analisi del rischio è un'arte. L'obiettivo è comprendere la natura del rischio e comporta una complessa interazione di fonti di rischio, conseguenze, probabilità, eventi e scenari. L'analisi del rischio è spesso influenzata da opinioni, pregiudizi e percezioni del rischio, che possono portare a qualsiasi tipo di situazione: valutazione incoerente, risultati alterati. Questi risultati sono legati alla valutazione del rischio, che consiste nel considerare i criteri di rischio stabiliti e nel prendere in considerazione il contesto e le conseguenze reali e percepite.
Con variazioni nell'analisi, questo processo di valutazione può diventare rapidamente difettoso. Inoltre, la natura della gestione del rischio di terzi, con i suoi eventi incerti, può essere difficile da quantificare. Questo può essere un problema quando si analizzano eventi con conseguenze gravi. In questi casi, l'utilizzo di una combinazione di tecniche fornisce generalmente una maggiore comprensione.
L'analisi del rischio fornisce un input per la valutazione del rischio, per decidere se il rischio deve essere trattato e come, e per la strategia e i metodi di trattamento del rischio più appropriati. I risultati forniscono indicazioni per le decisioni, quando si tratta di fare delle scelte e le opzioni comportano diversi tipi e livelli di rischio.
I rischi per la sicurezza informatica possono quindi essere analizzati in modo analogo e utilizzando le tradizionali tecniche di gestione del rischio. Tuttavia, data la natura dinamica del panorama delle minacce alla sicurezza informatica, le tecniche tradizionali di gestione del rischio non si adattano bene. Il risultato di questo approccio è l'aggregazione e la diluizione del registro dei rischi. Quando ciò accade, inizia l'introduzione di punti ciechi. Quindi, anche quando si utilizza un approccio tradizionale al rischio ben gestito, ci sono aree della sicurezza informatica che non vengono affrontate adeguatamente: questi sono i punti ciechi.
Si sono verificate molte violazioni di dati di alto profilo che hanno messo in evidenza questo aspetto. Grandi organizzazioni ne sono state vittime e questo potrebbe avere a che fare con l'approccio tradizionale alla gestione del rischio. Quindi, le organizzazioni che operano nel settore dei servizi finanziari, delle infrastrutture critiche, della sanità, della logistica o della produzione facciano attenzione, perché un recente studio Ponemon ha rilevato alcune statistiche sorprendenti. Il rapporto ha rilevato che:
Il 54% delle organizzazioni non dispone di un inventario completo di tutte le parti terze
Il 65% non sa quali siano le parti che hanno accesso ai loro dati più sensibili
Il 63% ha ammesso che la propria organizzazione non ha visibilità del livello di accesso e dei permessi degli utenti esterni.
il 54% ha risposto di non monitorare le pratiche di sicurezza e privacy dei propri fornitori di servizi
Il 59% non ha centralizzato il controllo sulle terze parti.
E tutto ciò a causa della complessità e del numero di relazioni con terze parti. Sì, la gestione delle terze parti è complessa e difficile - aggiungete la complessità della sicurezza informatica e la maggior parte preferirebbe nascondere la testa sotto la sabbia. La gestione del rischio di terzi nella sicurezza informatica richiede un'evoluzione dell'approccio TPRM (Third Party Risk Management). E non solo dal punto di vista del processo. E non solo dal punto di vista tecnologico. Piuttosto, da una prospettiva filosofica.
I programmi TPRM possono migliorare quando si considera un approccio a livello aziendale e si adotta un approccio strategico al rischio. Uscire dalla ricerca di configurazioni errate che hanno un impatto minimo sulla posizione di rischio. Concentratevi invece sulla gestione della catena di fornitura ad alto livello tra tutti i fornitori. Ecco 6 opportunità che possono essere sfruttate per migliorare la gestione del rischio della catena di approvvigionamento della vostra organizzazione:
Includete tutti i principali proprietari di rischi nel vostro programma di gestione dei rischi di mercato.
Riferire mensilmente alla direzione e regolarmente ai consigli di amministrazione.
Modificare i contratti per includere obiettivi specifici di miglioramento.
Valutare con una prospettiva pragmatica e lungimirante.
Ottenere aggiornamenti in tempo reale sui cambiamenti nella catena di approvvigionamento
Integrare i risultati della valutazione e la pianificazione delle azioni nelle tappe del rapporto con i fornitori esterni.