Стремясь сократить расходы, повысить эффективность и получить стратегическое преимущество, финансовые организации расширяют они используют аутсорсинг и широко полагаются на третьи стороны для критически важных бизнес-процессов и ИТ-процессов. В то время как третьи лица приносят бизнесу множество преимуществ, существует соответствующее увеличение подверженности киберрискам, поскольку третьи лица получают доступ к критически важным системам, конфиденциальной информации и потенциально привлекают субподрядчиков. Помимо киберугроз, существуют дополнительные риски третьих сторон, такие как риск блокировки, соблюдение нормативных требований и другие, но они не будут рассматриваться в этой записи блога.
Несмотря на высокую зависимость от третьих сторон, организации еще не управляют рисками целостным и скоординированным образом. Кроме того, строго регулируемые отрасли, такие как банковское дело и индустрия финансовых услуг, должны стратегически продумывать управление киберрисками третьих сторон . Потенциальные санкции за управление киберрисками третьих лиц недостаточно варьируются от штрафов регулирующих органов до лишения лицензии на деятельность. Поскольку все больше и больше европейских регулирующих органов готовятся принять такие же строгие требования, как изложено в новых правилах кибербезопасности Департамента финансовых услуг штата Нью-Йорк (NYDFS), швейцарские финансовые организации должны принимать активные меры для управления этим риском.
Управление киберрисками третьих сторон (TPCRM) — это процесс выявления, оценки и предотвращения или снижения киберрисков, связанных с третьими сторонами, до приемлемого уровня. Определение этого уровня зависит от организации, стоимости активов, уровня угрозы и размера ее бюджета. Целостная структура TPCRM требует многоуровневого подхода, охватывающего требования соответствия (например, уведомление о нарушении, поддержка электронного обнаружения, требования к местоположению данных и т. д.), требования безопасности (например, многофакторная аутентификация для удаленного доступа, шифрование, аварийное восстановление и т. д.) , а также юридические требования (например, право на аудит, владение данными, субподряд, соглашения о неразглашении и т. д.).
Чтобы внедрить эффективную, добавляющую ценность TPCRM, программа должна быть встроена в систему управления жизненным циклом поставщика вашей компании, начиная с процесса должной осмотрительности, регистрации и заключения контрактов, непрерывного мониторинга и, наконец, отстранения от работы и прекращение.
В основе каждой структуры TPCRM лежит подход к оценке киберрисков третьих сторон, где двухуровневый подход считается лучшей практикой. Во-первых, оценка неотъемлемого риска будет использоваться для классификации третьей стороны на поставщиков с низким, средним или высоким неотъемлемым риском на основе характера ее услуг и без учета ее средств контроля. Во-вторых, на основе рейтинга неотъемлемого риска вам необходимо оценить, использует ли поставщик надежные меры безопасности, которые соответствуют аппетиту вашей организации к риску. Проведите упражнение «расскажи мне» с помощью анкет, чтобы получить представление о текущем уровне рисков безопасности среди ваших критически важных поставщиков. Наконец, используйте эту информацию для планирования и проведения проверок на месте или дистанционных оценок, применяя подход «покажите мне» для тестирования средств контроля.
В некоторых организациях количество поставщиков равно или превышает количество сотрудников. Чтобы управлять сторонними киберрисками в масштабе, вашей организации необходимо подумать о кадрах и гибкой, масштабируемой модели исполнения. Использование управляемых служб становится все более распространенным по ряду причин:
С быстрым внедрением решений облачных вычислений и аутсорсингом бизнес-процессов зависимость бизнеса от третьих сторон будет еще больше возрастать. Исходя из нашего опыта, организациям рекомендуется учитывать следующее:
Источник:Глобальный опрос Deloitte по управлению корпоративными рисками (TPGRM), 2017 г.