Strategie per la creazione di un sistema solido di gestione dei rischi di terzi
Nel mondo degli affari odierno, interconnesso, la gestione dei rischi della sicurezza informatica di terze parti è fondamentale. Ecco un'analisi delle strategie chiave che le organizzazioni stanno adottando per garantire un ambiente sicuro.
Innanzitutto, vengono sviluppati standard minimi o non negoziabili basati su scenari di rischio. Ad esempio, i dati dei clienti devono essere crittografati sia in transito che a riposo. L'ambito delle terze parti da gestire è ampio e comprende fornitori, fornitori di servizi IT, clienti, partner della catena di fornitura, partner commerciali e regolatori.
Un processo di gestione del rischio delle terze parti completo coinvolge diverse parti, tra cui la direzione aziendale, l'acquisto, la catena di fornitura, il consiglio legale e altri. La creazione di un elenco dei rischi e delle mitigazioni e il suo sviluppo nel tempo può aiutare a risolvere efficacemente questo problema.
Le terze parti che memorizzano dati riservati e dati dei clienti e hanno accesso ai sistemi interni sono considerate nella categoria di "rischio cibernetico critico". Questi parti potrebbero essere tenute a sottoporsi a un'indagine standardizzata (SIG), certificazioni ISO/IEC 27001 o SOC 2 Type 2 e/o un'audit fisico.
Al contrario, le terze parti che memorizzano dati riservati aziendali ma non i dati dei clienti e non hanno accesso ai sistemi possono essere classificate come di "medio" rischio. Queste parti potrebbero richiedere una scansione passiva del perimetro, eventualmente utilizzando un servizio di valutazione della sicurezza.
Despite significant investment in measuring third-party cyber risk, most assessments result in no action, often due to a disconnect between the analysis findings and the CISO's ability to communicate actions the business can take. To bridge this gap, a set of predefined actions can help CISOs mitigate the most common third-party risk scenarios by providing real solutions to the business.
La gestione e la segnalazione del rischio delle terze parti dovrebbero essere un processo continuo, con una combinazione di governance, servizi e segnalazione delle terze parti. Le risorse dovrebbero essere allocate per gestire il registro del rischio informatico, rispondere ai fattori di rischio o agli eventi cambianti e segnalare i rischi agli stakeholder pertinenti.
Le attività a basso rischio con terze parti dovrebbero essere separate da quelle ad alto rischio dal comitato per il rischio o dal consiglio di amministrazione. L'organizzazione dovrebbe identificare e concentrarsi sulle terze parti che rappresentano il rischio più significativo nel contesto aziendale.
Se il rischio identificato è che la terza parte non crittografa i dati sensibili, esponendo potenzialmente i registri dei clienti sensibili, l'azione potrebbe essere quella di crittografare i dati attraverso la chiave personale (BYOK) o di terminare i procedimenti con la terza parte.
I leader della sicurezza informatica e IT dovrebbero coinvolgere diversi stakeholder per definire una politica del rischio delle terze parti. Questa politica dovrebbe essere documentata in una politica di livello elevato, chiarendo le procedure di indagine, le aspettative e i metodi di valutazione. Questi standard possono essere condivisi internamente ed esternamente, incorporati nelle richieste di coinvolgimento dell'acquisto, pubblicati sui siti web esterni e/o incorporati nei codici di condotta delle terze parti.
Infine, dovrebbe essere adottato un approccio di triage per condurre un'analisi appropriata delle terze parti in
Leggi anche:
- Capitale europea dell'imprenditorialità giovanile al Gen-E Festival 2025 ad Atene
- Tre donne anziane, affezionatamente chiamate nonne di Kaha Aden, costituiscono una parte significativa della comunità.
- Licenze di scommesse sportive per dispositivi mobili concesse a DraftKings e Circa per il lancio a dicembre nel Missouri
- Informazioni sui programmi di Medicare e di trattamento con oppiacei (OTP)
