Hoe goed beheert u het cyberrisico van uw relaties met derden?


In een poging om de kosten te verlagen, de efficiëntie te verhogen en een strategisch voordeel op te bouwen, breiden financiële dienstverleners uit hun gebruik van outsourcing en vertrouwen in hoge mate op derde partijen voor kritieke bedrijfs- en IT-processen. Hoewel derden meerdere voordelen voor het bedrijfsleven bieden, is er een overeenkomstige toename van de blootstelling aan cyberrisico's, aangezien derden toegang krijgen tot kritieke systemen en gevoelige informatie en mogelijk onderaannemers inschakelen. Naast cyber zijn er nog andere risico's van derden, zoals het risico van lock-in, naleving van de regelgeving en andere, maar deze worden in deze blogpost niet besproken.

Ondanks een grote afhankelijkheid van derden, beheersen organisaties de risico's nog niet op een holistische en gecoördineerde manier. Bovendien moeten sterk gereguleerde sectoren, zoals de bank- en financiële dienstverlening, strategisch nadenken over cyberrisicobeheer door derden . Mogelijke boetes voor het onvoldoende beheersen van cyberrisico's van derden variëren van boetes van toezichthouders tot het verliezen van de vergunning om te werken. Nu steeds meer Europese regelgevers voorbereidingen treffen om eisen aan te nemen die zo streng zijn als uiteengezet in de nieuwe cyberregelgeving door het New York State Department of Financial Services (NYDFS), zijn Zwitserse financiële dienstverleners verplicht om proactieve maatregelen te nemen om dit risico te beheersen.

Cyberrisicobeheer door derden

Cyberrisicobeheer van derden (TPCRM) is het proces van het identificeren, evalueren en voorkomen of verminderen van cyberrisico's die verband houden met derden tot een acceptabel niveau. Het bepalen van dat niveau hangt af van de organisatie, de waarde van de assets, het dreigingsniveau en de omvang van het budget. Een holistisch TPCRM-raamwerk vereist een meerlagige benadering die nalevingsvereisten omvat (bijv. melding van inbreuken, ondersteuning voor e-discovery, vereisten voor gegevenslocatie, enz.), beveiligingsvereisten (bijv. multifactorauthenticatie voor externe toegang, versleuteling, noodherstel, enz.) , en wettelijke vereisten (bijvoorbeeld recht op audit, eigendom van gegevens, onderaanneming, NDA's, enz.).

Stappen om te overwegen voor de implementatie van een effectieve TPCRM

Om een ​​effectieve, waardetoevoegende TPCRM te implementeren, moet het programma worden ingebed in het leverancierslevenscyclusbeheer van uw bedrijf, beginnend bij het due diligence-proces tot de on-boarding en contractering, tot de continue monitoring en, ten slotte, tot de off-boarding en beëindiging.

De kern van elk TPCRM-raamwerk is de benadering voor het beoordelen van cyberrisico's van derden, waarbij een tweeledige benadering als de beste praktijk wordt beschouwd. Eerst, er zal een inherente risicobeoordeling worden gebruikt om de derde partij in te delen in leveranciers met een laag, gemiddeld of hoog inherent risico op basis van de aard van zijn diensten en zonder rekening te houden met zijn controles. Ten tweede, op basis van de inherente risicoclassificatie moet u beoordelen of de leverancier degelijke beveiligingscontroles heeft die voldoen aan de risicobereidheid van uw organisatie. Voer de 'vertel het me'-oefening uit via vragenlijsten om inzicht te krijgen in het huidige niveau van beveiligingsrisico's bij uw kritieke leveranciersbestand. Eindelijk, gebruik deze inzichten om beoordelingen ter plaatse of beoordelingen op afstand te plannen en uit te voeren, waarbij u een 'laat zien'-benadering hanteert voor het testen van controlemechanismen.

In sommige organisaties is het aantal leveranciers gelijk aan of hoger dan het aantal werknemers. Om cyberrisico's van derden op schaal te beheren, moet uw organisatie nadenken over personeel en een flexibel, schaalbaar uitvoeringsmodel. Het gebruik van een beheerde service wordt om een ​​aantal redenen steeds gebruikelijker:

  • Het stelt organisaties in staat te profiteren van schaalvoordelen en bijbehorende kostenvoordelen.
  • Het biedt de mogelijkheid om snel op en af ​​te schalen, afhankelijk van de vraag.
  • Een externe beoordelaar heeft vaak de voorkeur van regelgevers en gaat meestal gepaard met een hoge mate van vertrouwen.
  • De zorg om bekwame beveiligingsprofessionals met een auditmentaliteit te vinden, kan op die manier worden verminderd.

Belangrijkste afhaalrestaurants

Met de snelle adoptie van cloud computing-oplossingen en outsourcing van bedrijfsprocessen, zal de afhankelijkheid van bedrijven van derden verder toenemen. Op basis van onze ervaring worden organisaties aangemoedigd om het volgende te overwegen:

  1. Het definiëren van een TPCRM-programma dat de beveiliging verbetert en waarde biedt aan het bedrijf dat het risico draagt, en niet alleen de naleving aanpakt.
  2. Implementatie van risicobeheeroplossingen van derden die volledig zijn geïntegreerd in de levenscyclus van leveranciers om het bedrijf zo min mogelijk te verstoren.
  3. Het uitvoeren van risicobeoordelingen van derden op een schaalbare manier om een ​​hoge mate van consistentie en standaardisatie van de beoordelingen te garanderen.
  4. Een compleet beeld krijgen van de cyberrisico's van derden door ook te kijken naar de effectiviteit van het interne controlekader van uw bedrijf (bijv. hercertificering van toegang, gegevensbeschermingsmaatregelen, patchbeheer, enz.).
  5. Inclusief cyberrisicobeheer van derden in uw bedrijfsbrede risico- en beveiligingsbewustzijn, evenals trainingsprogramma's.

Bron:Deloitte Third party governance risk management (TPGRM) Uitgebreide wereldwijde enquête over ondernemingsrisicobeheer 2017


bankieren
  1. valutamarkt
  2. bankieren
  3. Valutatransacties