Сегодня бизнес работает в нестабильном мире с широким спектром рисков, выходящих за рамки только кибербезопасности, особенно геополитических и финансовых. Тем не менее, ожидается, что руководители служб безопасности и управления рисками в Австралии всегда будут обеспечивать целостность критически важных операций без исключения.
Точно так же, как смерть и налоги, неизбежно, что некоторые третьи стороны, с которыми взаимодействуют организации, столкнутся с той или иной формой риска или инцидента. Для руководителей служб безопасности и управления рисками как никогда важно устранять возникающие сторонние риски и устанавливать эффективные средства контроля для создания устойчивой сторонней экосистемы и предотвращения сбоев в бизнесе.
Проблема в том, что выявить риски может быть очень сложно, просто взглянув на поверхность. Что лежит под ним? Независимая оценка помогает, но риски, о которых организациям следует беспокоиться, основаны на их зависимости от третьих сторон и их склонности к риску. Это во многом определяется странами, законами и правилами, в которых они работают, а также отраслевыми нормами.
По прогнозам Gartner, к 2025 году 60% организаций будут использовать риск кибербезопасности в качестве важного фактора при проведении транзакций со сторонними организациями и деловых взаимодействиях. Однако многие программы кибербезопасности используют универсальный подход к оценке рисков третьей стороной, что приводит к неэффективному и утомительному процессу, который обычно приводит к принятию риска, а не к его снижению.
Это быстро приводит к разочарованию, поскольку существующий процесс оценки несовершенен, и нет никакой гарантии, что детальная оценка защитит организации от риска нарушения кибербезопасности третьей стороной.
Австралийская комиссия по ценным бумагам и инвестициям призвала к большей бдительности в борьбе с киберугрозами, подчеркнув «тревожный» пробел в надзоре за рисками кибербезопасности во всей цепочке поставок организации. Это произошло после того, как выяснилось, что 44% организаций не управляют рисками третьих лиц или цепочки поставок.
Чтобы восполнить этот пробел, организации будут все чаще брать на себя юридические или нормативные обязательства. Например, организации критической инфраструктуры должны будут выполнить обязательства по управлению рисками кибербезопасности к 18 августа этого года, включая выявление и минимизацию опасностей в цепочке поставок в соответствии с Законом Австралии о безопасности критической инфраструктуры 2018 года (Закон SOCI). Существует также новый пруденциальный стандарт CPS 230 Австралийского органа пруденциального регулирования, который должен вступить в силу для австралийской отрасли финансовых услуг 1 июля 2025 года.
Эти правила помогают организациям определить приемлемые уровни терпимости к сбоям в работе бизнеса с точки зрения времени, потери данных и минимальных уровней обслуживания. Это помогает организациям понять, какие средства контроля им нужны, что должно быть в их контрактах и что необходимо в планах обеспечения непрерывности бизнеса.
Содержание
Определите риски, которые имеют значение
Сегодня существует множество сторонних рисков, влияющих на ИТ-отделы: от коррупции, конфиденциальности данных, устойчивости, финансовых и географических рисков до эксплуатации/непрерывности, производительности, соблюдения нормативных требований, кибербезопасности и стратегии поставщиков.
В настоящее время тремя наиболее актуальными рисками являются кибербезопасность и конфиденциальность данных из-за последствий и ответственности, связанных с нарушениями, а также непрерывность работы в связи с увеличением частоты атак программ-вымогателей.
Основная проблема здесь заключается в том, что руководители служб безопасности редко, если вообще когда-либо, несут ответственность за все эти области риска, поэтому им необходимо вовлекать бизнес и соответствующие заинтересованные стороны. Это предполагает сопоставление владельцев бизнес-рисков с каждой областью риска, поэтому ответственность лежит не только на группах безопасности.
По данным исследования Gartner, проведенного в 2023 году, благодаря тесному сотрудничеству с другими сторонними службами управления рисками для перенаправления ответственности на соображения третьих сторон, не связанные с кибербезопасностью, организации достигают повышения эффективности на 18%.
Определить меры контроля рисков
Эффективное управление рисками должно быть сосредоточено на средствах контроля, которые снизят риски в экосистеме цепочки поставок. Для разных типов третьих сторон будут разные средства контроля – например, поставщикам SaaS (программное обеспечение как услуга), имеющим доступ к корпоративным данным, потребуется другой набор средств контроля по сравнению с поставщиком услуг на месте или поставщиком оборудования. .
Организации должны будут внедрить некоторые из этих мер контроля самостоятельно, в то время как ответственность за другие меры будет возложена на третью сторону. Согласно исследованию Gartner, некоторые меры контроля могут быть взаимными, например, план действий на случай непредвиденных обстоятельств с третьей стороной, который может привести к повышению эффективности управления рисками на 43%.
После того как будут разработаны взаимные планы действий в чрезвычайных ситуациях, сосредоточьтесь на их усилении для взаимодействия с третьими сторонами, которые представляют наибольший риск кибербезопасности. Создавайте сценарии инцидентов, учитываемые сторонними организациями, проводите кабинетные учения и определите четкую стратегию отключения, включающую своевременный отзыв доступа и уничтожение данных.
Относитесь к третьим лицам как к союзникам
Думайте о критически важных третьих сторонах как о союзниках, поэтому стратегию взаимодействия необходимо сместить с полицейской деятельности на партнерство. Это обеспечит постоянную защиту наиболее ценных активов предприятия – материальных данных, сетей и бизнес-процессов, с которыми контактируют третьи стороны.
Построение взаимовыгодных отношений способствует большей прозрачности, облегчает внедрение контроля со стороны третьих сторон и улучшает сотрудничество в случае инцидентов кибербезопасности.
В гиперсвязанной среде риск стороннего поставщика также является риском организации. Важно помочь им повзрослеть, чтобы они могли лучше защитить предприятие.
Также важно отслеживать внутреннюю информацию и, при необходимости, внедрять дополнительные меры контроля для защиты среды организации в ответ на ваши наблюдения.
Люк Эллери — вице-президент-аналитик Gartner
