La mitigazione del rischio di terze parti richiede un approccio collaborativo e approfondito

La mitigazione del rischio di terze parti richiede un approccio collaborativo e approfondito

Timestamp: 25 marzo 2024 10:00
La mitigazione del rischio di terze parti richiede un approccio collaborativo e approfondito PlatoBlockchain Data Intelligence. Ricerca verticale. Ai.

COMMENTO

Mitigare il rischio di terze parti può sembrare scoraggiante se si considera la serie di normative in arrivo insieme alle tattiche sempre più avanzate dei criminali informatici. Tuttavia, la maggior parte delle organizzazioni dispone di più libertà d’azione e flessibilità di quanto pensino. La gestione del rischio di terze parti può essere costruita sulla base delle pratiche di governance del rischio esistenti e dei controlli di sicurezza attualmente implementati presso l’azienda. L'aspetto rassicurante di questo modello è che significa che le organizzazioni non devono eliminare completamente la protezione esistente per mitigare con successo il rischio di terze parti, e questo incoraggia una cultura di miglioramento graduale e continuo. 

Il rischio di terze parti rappresenta una sfida unica per le organizzazioni. In superficie, una terza parte può sembrare affidabile. Ma senza una completa trasparenza sul funzionamento interno di quel fornitore di terze parti, come può un’organizzazione garantire che i dati a lei affidati siano sicuri?

Spesso le organizzazioni minimizzano questa domanda urgente, a causa dei rapporti di lunga data che hanno con i propri fornitori di terze parti. Poiché lavorano con un fornitore di terze parti da 15 anni, non vedranno alcun motivo per mettere a repentaglio la loro relazione chiedendo di "guardare sotto il cofano". Tuttavia, questa linea di pensiero è pericolosa: un incidente informatico può verificarsi quando e dove meno te lo aspetti.

Un paesaggio che cambia

Quando si verifica una violazione dei dati, non solo l’organizzazione può essere multata come entità, ma possono anche essere previste conseguenze personali. L'anno scorso, la FDIC ha rafforzato le sue linee guida sul rischio di terze parti, ponendo le basi affinché altri settori seguano l’esempio. Con l’emergere di nuove tecnologie come l’intelligenza artificiale, le conseguenze di una cattiva gestione dei dati da parte di terzi possono essere disastrose. Le nuove normative rifletteranno queste gravi conseguenze imponendo dure sanzioni a coloro che non hanno sviluppato controlli rigorosi.

Oltre alle nuove normative, l’emergere di fornitori di quarta e persino di quinta parte dovrebbe incentivare le organizzazioni a proteggere i propri dati esterni. Il software non è una pratica interna semplice come 10 anni fa: oggi i dati passano attraverso molte mani e con ogni collegamento aggiunto alla catena dei dati, le minacce alla sicurezza aumentano mentre la supervisione diventa più difficile. Ad esempio, eseguire un'adeguata due diligence su un fornitore terzo è di scarso vantaggio se la terza parte controllata esternalizza i dati privati ​​del cliente a una quarta parte negligente e l'organizzazione non ne è a conoscenza.

Cinque semplici passaggi pronti all'uso

Con la giusta tabella di marcia, le organizzazioni può mitigare con successo il rischio di terze parti. Meglio ancora, gli investimenti tecnologici costosi e dirompenti non sono sempre necessari. Per cominciare, ciò di cui le organizzazioni hanno bisogno quando eseguono la due diligence è un piano sensato, personale capace disposto a partecipare e una maggiore comunicazione tra i team IT, sicurezza e business.

Il primo passo è comprendere a fondo il panorama dei fornitori. Anche se questo può sembrare ovvio, molte organizzazioni, soprattutto le grandi aziende con budget da esternalizzare, trascurano questo passaggio cruciale. Sebbene stabilire frettolosamente un rapporto con un fornitore di terze parti possa far risparmiare denaro a breve termine, tutti questi risparmi verranno cancellati se si verifica una violazione dei dati e l’organizzazione deve affrontare multe salate.

Dopo aver analizzato il panorama dei fornitori, le organizzazioni dovrebbero determinare quali ruoli di terze parti sono “critici”: questi ruoli potrebbero essere critici dal punto di vista operativo o elaborare dati sensibili. In base alla criticità, i fornitori dovrebbero essere raggruppati per livelli, il che consente flessibilità nel modo in cui l'organizzazione valuta, esamina e gestisce il fornitore.

Ordinare i fornitori in base alla loro criticità può far luce sull’eccessiva dipendenza che le organizzazioni potrebbero avere dai propri fornitori di terze parti. Queste organizzazioni devono chiedersi: se questa relazione dovesse interrompersi improvvisamente, abbiamo un piano di riserva? Come sostituiremmo questa funzione continuando senza problemi le operazioni quotidiane?

Il terzo passo è sviluppare un piano di governance. È necessaria una sinergia tra i tre rami principali di un'organizzazione per eseguire in modo efficace la due diligence e gestire il rischio: il team di sicurezza fa luce sulle falle nel programma di sicurezza del fornitore, il team legale determina il rischio legale e il team aziendale prevede la cascata negativa effetto sulle operazioni se i dati o le operazioni vengono compromessi. La chiave per creare una governance solida è adattare il piano alle esigenze specifiche di un'organizzazione. Ciò è particolarmente applicabile alle organizzazioni dei settori meno regolamentati.

La fase di governance prevede la redazione degli obblighi contrattuali. Ad esempio, spesso nel cloud computing, i leader aziendali si affrettano erroneamente a firmare un contratto senza capire che determinate misure di sicurezza possono o meno essere incluse nel pacchetto di base. Gli obblighi contrattuali dipendono spesso dal settore, ma dovrebbe essere sviluppata anche una clausola di sicurezza standardizzata. Ad esempio, se stiamo valutando una società di consegna, potrebbe esserci meno attenzione al processo SDLC (software development lifecycle) di un fornitore e più alle sue misure di resilienza. Tuttavia, se stiamo valutando un'azienda di software, vorremmo concentrarci sui processi SDLC del fornitore, ad esempio il modo in cui viene rivisto il codice e quali sono le misure di salvaguardia da applicare alla produzione. 

Infine, le organizzazioni devono sviluppare una strategia di uscita. In che modo un'organizzazione può separarsi in modo netto da terze parti garantendo al tempo stesso che i dati dei clienti vengano cancellati? Ci sono stati casi in cui un'azienda rompe i legami con un fornitore solo per ricevere una chiamata anni dopo che la informava che il suo ex partner aveva subito una compromissione dei dati e che i dati dei suoi clienti erano stati esposti, nonostante si presumesse che tali dati fossero stati cancellati. Morale della favola: non dare per scontato. Oltre a una violazione accidentale dei dati, esiste anche la possibilità che fornitori di terze parti utilizzino i dati di un ex partner per lo sviluppo interno, ad esempio utilizzando tali dati per creare modelli di machine learning. Le organizzazioni devono evitare che ciò accada dichiarando in termini chiari, specifici e giuridicamente vincolanti in che modo i fornitori cancelleranno i dati in caso di fine della partnership e quali saranno le conseguenze in caso contrario.

Creare una cultura di responsabilità condivisa e miglioramento continuo 

Adottare un approccio di squadra per eseguire la due diligence significa che il responsabile della sicurezza delle informazioni (CISO) non deve assumersi completamente la responsabilità di ridurre i rischi di un fornitore di terze parti. IL Le accuse della SEC contro SolarWinds creare un precedente preoccupante: un CISO può cadere, anche se il problema deriva da una disfunzione a livello di organizzazione. Se i team IT e aziendali supportano il CISO nel valutare i fornitori di terze parti, ciò pone le basi per future collaborazioni tra team, aumenta il consenso dell'organizzazione e produce risultati migliori in termini di sicurezza.

Timestamp:

Di più da Lettura oscura