Стремясь сократить расходы, повысить эффективность и получить стратегическое преимущество, финансовые организации расширяют они используют аутсорсинг и широко полагаются на третьи стороны для критически важных бизнес-процессов и ИТ-процессов. В то время как третьи лица приносят бизнесу множество преимуществ, существует соответствующее увеличение подверженности киберрискам, поскольку третьи лица получают доступ к критически важным системам, конфиденциальной информации и потенциально привлекают субподрядчиков. Помимо киберугроз, существуют дополнительные риски третьих сторон, такие как риск блокировки, соблюдение нормативных требований и другие, но они не будут рассматриваться в этой записи блога.

Несмотря на высокую зависимость от третьих сторон, организации еще не управляют рисками целостным и скоординированным образом. Кроме того, строго регулируемые отрасли, такие как банковское дело и индустрия финансовых услуг, должны стратегически продумывать управление киберрисками третьих сторон . Потенциальные санкции за управление киберрисками третьих лиц недостаточно варьируются от штрафов регулирующих органов до лишения лицензии на деятельность. Поскольку все больше и больше европейских регулирующих органов готовятся принять такие же строгие требования, как изложено в новых правилах кибербезопасности Департамента финансовых услуг штата Нью-Йорк (NYDFS), швейцарские финансовые организации должны принимать активные меры для управления этим риском.

Стороннее управление киберрисками

Управление киберрисками третьих сторон (TPCRM) — это процесс выявления, оценки и предотвращения или снижения киберрисков, связанных с третьими сторонами, до приемлемого уровня. Определение этого уровня зависит от организации, стоимости активов, уровня угрозы и размера ее бюджета. Целостная структура TPCRM требует многоуровневого подхода, охватывающего требования соответствия (например, уведомление о нарушении, поддержка электронного обнаружения, требования к местоположению данных и т. д.), требования безопасности (например, многофакторная аутентификация для удаленного доступа, шифрование, аварийное восстановление и т. д.) , а также юридические требования (например, право на аудит, владение данными, субподряд, соглашения о неразглашении и т. д.).

Шаги, которые необходимо учитывать для внедрения эффективного TPCRM

Чтобы внедрить эффективную, добавляющую ценность TPCRM, программа должна быть встроена в систему управления жизненным циклом поставщика вашей компании, начиная с процесса должной осмотрительности, регистрации и заключения контрактов, непрерывного мониторинга и, наконец, отстранения от работы и прекращение.

В основе каждой структуры TPCRM лежит подход к оценке киберрисков третьих сторон, где двухуровневый подход считается лучшей практикой. Во-первых, оценка неотъемлемого риска будет использоваться для классификации третьей стороны на поставщиков с низким, средним или высоким неотъемлемым риском на основе характера ее услуг и без учета ее средств контроля. Во-вторых, на основе рейтинга неотъемлемого риска вам необходимо оценить, использует ли поставщик надежные меры безопасности, которые соответствуют аппетиту вашей организации к риску. Проведите упражнение «расскажи мне» с помощью анкет, чтобы получить представление о текущем уровне рисков безопасности среди ваших критически важных поставщиков. Наконец, используйте эту информацию для планирования и проведения проверок на месте или дистанционных оценок, применяя подход «покажите мне» для тестирования средств контроля.

В некоторых организациях количество поставщиков равно или превышает количество сотрудников. Чтобы управлять сторонними киберрисками в масштабе, вашей организации необходимо подумать о кадрах и гибкой, масштабируемой модели исполнения. Использование управляемых служб становится все более распространенным по ряду причин:

• Это позволяет организациям извлекать выгоду из экономии за счет масштаба и связанных с этим преимуществ.
• Он обеспечивает возможность быстрого увеличения и уменьшения масштаба в зависимости от спроса.
• Регулирующие органы часто предпочитают внешнего оценщика, который обычно пользуется высоким уровнем доверия.
• Таким образом можно уменьшить потребность в поиске квалифицированных специалистов по безопасности с аудиторским мышлением.

Ключевые выводы

С быстрым внедрением решений облачных вычислений и аутсорсингом бизнес-процессов зависимость бизнеса от третьих сторон будет еще больше возрастать. Исходя из нашего опыта, организациям рекомендуется учитывать следующее:

1. Определение программы TPCRM, которая повышает безопасность и обеспечивает ценность для бизнеса, которому принадлежит риск, а не только обеспечивает соответствие требованиям.
2. Внедрение сторонних решений по управлению рисками, полностью интегрированных в жизненный цикл поставщика, чтобы минимизировать нарушение работы бизнеса.
3. Проведение оценок рисков третьей стороной с возможностью масштабирования для обеспечения высокой степени согласованности и стандартизации оценок.
4. Получение полной картины киберрисков, связанных с третьими сторонами, путем изучения эффективности системы внутреннего контроля вашей компании (например, повторная сертификация доступа, меры по защите данных, управление исправлениями и т. д.).
5. Включение стороннего управления киберрисками в общекорпоративные программы повышения осведомленности о рисках и безопасности, а также в программы обучения.

Источник:Глобальный опрос Deloitte по управлению корпоративными рисками (TPGRM), 2017 г.