Non puoi lanciare un programma di gestione del rischio terze parti (Third-Party Risk Management, TPRM) e aspettarti che protegga la tua organizzazione per sempre. Ogni giorno emergono nuovi rischi per la sicurezza informatica e il tuo ecosistema e le tue relazioni si evolvono.

Quando si tratta di programmi di TPRM, la manutenzione è importante quanto lo sviluppo stesso. Le organizzazioni possono prevenire potenziali problemi e ridurre al minimo qualsiasi impatto negativo mantenendo aggiornati i propri processi relativi alle terze parti.  

Abbiamo chiesto a sei responsabili di InfoSec e rischio terze parti di OneTrust e aziende Fortune Global 500 quali siano i modi più efficaci per gestire un programma di TPRM e come riportano solitamente i risultati alla dirigenza. Questo è l'ultimo post della nostra serie sulla costruzione di un programma di TPRM. 

Come si monitora il rischio terze parti?

La maggior parte delle terze parti si trova nella fase di monitoraggio continuo del ciclo di vita della TPRM. Anche se superano la valutazione iniziale a pieni voti, ciò fornisce solo un'istantanea dello stato attuale della terza parte: il monitoraggio continuo rimane comunque necessario per mitigare il rischio durante l'intero rapporto. 

Il monitoraggio di terze parti viene solitamente effettuato utilizzando uno strumento automatizzato di monitoraggio dei rischi. Deve includere un piano dettagliato che delinei come affrontare gli avvisi di sicurezza e determinare la linea di condotta necessaria per ogni problema. 

"Anche dopo aver assunto un vendor, devi pianificare il processo di monitoraggio e il flusso di lavoro nel caso in cui sorga un problema. Se si verifica un evento relativo a questioni ambientali, sociali e di governance, chi se ne occuperà? Non si tratta di una questione di sicurezza. Se definisci in anticipo ruoli e responsabilità, saprai cosa fare in seguito", afferma Kevin Liu, Sr. Director of Information Security di OneTrust.  

''Quando vedo un avviso, mi assicuro prima di valutarlo e comprenderlo, perché non tutti gli avvisi sono uguali. Esamina ciò che stai monitorando: la posizione di sicurezza, la governance sociale, la salute finanziaria in alcuni casi e così via". 

Se un avviso deve essere affrontato, i team competenti devono contattare la terza parte per ulteriori indagini e per limitare eventuali minacce potenziali. Ciò può comportare la revoca dell'accesso della terza parte e la richiesta di aggiornamenti regolari mentre questa attua il proprio piano di azioni correttive. Un'organizzazione deve concedere nuovamente l'accesso ai propri sistemi interni solo quando la terza parte è in grado di fornire prove che il problema è stato risolto.

Gestisci un programma di TPRM

L'aspetto più importante da tenere in considerazione per poter gestire un programma di TPRM efficace è rispondere rapidamente a qualsiasi cambiamento.

"Se stai svolgendo la stessa attività dell'anno scorso e non è cambiato nulla, potrebbe non essere necessario effettuarne la manutenzione", afferma Tim Mullen, Chief Information Security Officer di OneTrust", ''Naturalmente, se c'è qualcosa di nuovo sul mercato, una nuova vulnerabilità, un exploit zero-day o qualcos'altro che suscita il nostro interesse, ciò potrebbe richiedere un cambiamento''.

Di seguito sono riportate alcune domande che possono aiutarti con il processo di manutenzione di routine. 

• Hai stipulato un nuovo contratto con terze parti? 
• Condividi diversi tipi di dati? 
• L'organizzazione ha identificato nuovi potenziali rischi?
• Hai avviato una nuova linea di business? 
• Hai effettuato fusioni e acquisizioni o vendite di asset?  

''Un altro evento comune è quello di firmare un contratto con un vendor e poi modificarne l'ambito. Ad esempio, potresti implementare una nuova funzionalità e poi improvvisamente un vendor a basso rischio ha accesso a dati altamente sensibili'', afferma Jose Costa, Sr. Director of GRC Labs & Research di OneTrust. ''Anche piccole modifiche alle relazioni con i vendor devono essere soggette a un altro processo di valutazione''.

Nella maggior parte dei casi, è necessario rivedere il programma di TPRM ogni anno. L'obiettivo della rivalutazione dei processi di TPRM è mantenere la sicurezza e continuare a sviluppare il programma. 

Non limitarti a valutare la TPRM, valuta tutto ciò che la riguarda. Qual è la tua policy relativa alla gestione dei vendor? Ci sono problemi che l'organizzazione ha individuato in relazione a questo vendor o anche ad altri della stessa categoria? Raccogli tutte le informazioni pertinenti e valuta il tuo programma di TPRM per determinare i passi successivi", afferma Liu.  

Riporta le prestazioni del programma di TPRM alla dirigenza

Il modo in cui si riportano le prestazioni del proprio programma di TPRM varia da un'organizzazione all'altra. 

A seconda della maturità del programma e di ciò che è più importante per la direzione, è possibile includere uno qualsiasi dei seguenti parametri:  

• numero totale di terze parti valutate;
• tempo necessario per valutare le terze parti;
• distribuzione delle terze parti tra livelli;
• livello complessivo di esposizione al rischio introdotto dalle terze parti;
• volume di problemi associati alle terze parti in un determinato periodo di tempo;
• periodo medio di risoluzione dei problemi;
• eventuali attività di mitigazione del rischio in ritardo.

"Se hai appena iniziato ad attuare un programma di TPRM, potresti riferire quanti vendor hanno completato il processo e quanti sono conformi. In alternativa, potresti segnalare i principali rischi che hai valutato, come li hai mitigati e come intendi valutarli regolarmente'', afferma Costa. ''In definitiva, dipende da ciò che la direzione vuole vedere, ma io manterrei un livello elevato e mi assicurerei che tutti i miei vendor, indipendentemente dalle dimensioni o dalla complessità, segua il processo e che il processo sia efficace".

Man mano che il programma matura, la direzione vorrà vedere l'impatto effettivo dei tuoi sforzi in materia di TPRM e come questi portano a una riduzione del rischio. Ciò richiede di trovare modi per quantificare in modo significativo il cambiamento nei livelli di rischio di terze parti e di evidenziarlo nei tuoi rapporti. 

''Nel settore della sicurezza delle informazioni, è molto raro che esistano stime precise e reali del rischio effettivo. Quindi dobbiamo cercare indicatori di rischio, proxy di rischio o anche indicatori ritardati del numero effettivo di incidenti'', afferma Matthew Solomon, VP of Technology and Cyber Risk Managementi di Humana. ''Per dimostrare l'impatto effettivo del programma, la chiave è quantificare il livello di rischio nel modo più accurato possibile e dimostrare come lo si sta riducendo''. 

Riduci i livelli di rischio grazie alla TPRM 

Indipendentemente dal punto in cui ti trovi nel tuo percorso di TPRM, l'obiettivo finale è ridurre il rischio in tutta la l'organizzazione. Ciò può essere ottenuto monitorando attivamente gli avvisi di sicurezza, affrontando eventuali problemi potenziali e rivedendo periodicamente il programma per apportare modifiche o aggiornamenti significativi. Infine, dimostra i risultati degli sforzi del tuo team quantificando i livelli di rischio terze parti e mostrando l'impatto tangibile del tuo lavoro. 

Riduci i rischi, crea rapporti basati sulla fiducia e migliora la resilienza aziendale unificando la gestione delle terze parti. Prenota subito una demo.