Специалисты по комплаенсу разделяют мнение, что управление рисками третьих сторон, особенно в области кибер-безопасности, жизненно важно для стабильности компании. При отсутствии взвешенных политик и процедур защиты предприятие становится уязвимым, рискуя потерять доверие клиентов и обмануть ожидания регулирующих инстанций, что чревато выплатой штрафных санкций.

Составляем рейтинг

Партнерство с третьими лицами сопровождается материальными рисками для компаний. На протяжении всей цепочки создания стоимости сторонние поставщики подвергают предприятие угрозам потери финансов либо ухудшения репутации. После принятия решения руководством использовать подход на основе оценки риска, возникает вопрос: как эффективно распределить третьи стороны по определенным категориям, чтобы понять, какие из них обладают низким уровнем риска, а какие – высоким? Эксперты выделяют следующие инструменты для усиления безопасности компаний:

1. Конкретизация поставщиков

Составление реестра поставщиков относится к первому этапу создания программы управления рисками третьих сторон и предусматривает уточнение перечня партнеров, сотрудничающих с вашей компанией. Даже для небольших фирм такая задача представляет сложность с учетом роста использования облачных приложений и теневых IT. Согласно прогнозам, к 2027 г. 90% расходов на IT-функции будут осуществляться за пределами IT-отдела предприятия (Статья «Three Benefits of Shadow IT and How to Harness Them» для Server Central Group, 2017).

Многие компании ошибочно рассматривают своих поставщиков как партнеров с низким уровнем риска. Здесь можно вспомнить взлом данных онлайн-сервиса текстовых приглашений Evite, который привел к раскрытию персональной информации миллионов пользователей и конфиденциальных данных самой компании. Стоит уяснить, что ведение бизнеса со сторонним поставщиком всегда представляет определенный риск для фирмы. Именно поэтому важно определить все взаимосвязи в цепочке поставок, в идеале, с помощью процедуры обнаружения активов, а затем оценить уровень риска для каждого поставщика.

Ранжирование третьих сторон по уровню риска и принципам политики должной осмотрительности зависит от уникальных характеристик Вашей компании, что отрицает наличие какой-либо универсальной методологии оценивания.

2. Отраслевые стандарты управления рисками

Каждая отрасль предлагает свои передовые практики оценки и управления рисками, например, в вопросах обеспечения информационной безопасности такие механизмы, как NIST (National Institute of Standards and Technology) и ISO (International Organization of Standartization). К отраслевым стандартам также относятся CSA Cloud Controls Matrix и PCI/DSS. Обязательно ознакомьтесь с рекомендациями, относящимися к вашей отрасли, и сделайте их частью корпоративной комплаенс программы при сотрудничестве с третьими лицами.

3. Анкеты для третьих сторон

Анкеты отправляются поставщикам, чтобы узнать об их методах внутренней безопасности и средствах контроля. Опросники по управлению рисками сторонних компаний обычно заполняются до регистрации поставщика, а затем регулярно обновляются. Такие оценки безопасности снижают риски третьих сторон, даже в случае сложной организационной структуры последних. Анкеты разрабатываются в соответствии с конкретным уровнем угрозы поставщика, а также в зависимости от типа доступа к данным, которым располагает партнер.

Автоматизированные платформы облегчают мониторинг и анализ полученных результатов. Следует найти гибкое решение, позволяющее одновременно использовать стандартные шаблоны анкет, такие как SIG (Standardized Information Gathering), и создавать собственные варианты. Не лишним будет разработать вопросники, которые смогут проверить соответствие третьих лиц регуляторным нормам, таким как GDPR (General Data Protection Regulation) и CCPA (California Consumer Privacy Act). Тем не менее, анкеты безопасности не должны стать единственным компонентом корпоративной комплаенс программы. Учитывая непостоянную природу рисков, стоит дополнить вопросники другими методами оценки, такими как рейтинги безопасности и постоянный мониторинг.

4. Рейтинги безопасности

Рейтинговый подход дает компаниям общее представление о состоянии безопасности третьих лиц. Оценка установленных методик и реакций партнеров на кибер-атаки поможет определить не только их эффективность, но и разработать указания о приостановке определенных процессов во избежание утечки информации, а также механизмах контроля третьих сторон на предмет любых изменений во время сотрудничества. Следует объединить рейтинги партнеров с анкетами по безопасности, чтобы получить полную картину угроз от ваших поставщиков.

Для того, чтобы улучшить защиту компании, необходимо ответить на следующие вопросы о третьих лицах фирмы, а именно:

  • Стоит ли сотрудничать с третьей стороной? Находится ли она в списке санкций, что усложнить совместное ведение бизнеса?
  • Уверены ли вы, что третья сторона имеет хорошую репутацию, а партнерство с ней не повлечет юридических или репутационных проблем? Известны ли вам случаи, когда сторонняя организация была уличена в неэтичном или незаконном поведении?
  • Имеется ли возможность юридически задокументировать потенциальные сбои в сотрудничестве с третьей стороной и ответственность за них? Такой пункт особенно важен для защиты компании от регулирующих инстанций в случае нарушения установленных норм.

Указанные вопросы помогут разделить третьи стороны на группы высокого, среднего и низкого риска для проведения надлежащей проверки. Для партнеров с низкой степенью риска можно выполнить первичный скрининг. При отсутствии совпадений работа по мониторингу считается завершенной. Что касается третьих лиц со средней степенью риска, здесь стоит задуматься об усилении корпоративной политики должной осмотрительности, проведении мониторинга на обнаружение уязвимостей компании под руководством внутреннего аудитора или специалиста по комплаенсу посредством вопросника. Относительно третьих сторон с высоким уровнем риска, необходимо уделить им наибольшее внимание, бюджет и выделить команду профессионалов. Специалист по комплаенсу должен участвовать в разработке рекомендаций по смягчению возможных последствий и критериев для проведения расследований на местах.

5. Программное обеспечение для управления рисками

Крупные компании, работающие с сотнями партнеров, должны выходить за рамки простого составления списка поставщиков и переходить на цифровое управление рисками сторонних организаций. Такие решения могут фокусироваться на различных аспектах риска, включая финансовый, экологический, нормативный или технологический нюансы, либо могут специализироваться на одном конкретном типе угрозы.

Оптимальным вариантом выступает внедрение комплексного решения, например Panorays, которое не только включает традиционный реестр рисков, но и позволяет выбирать функции в зависимости от конкретной отрасли, поставщиков и требований безопасности.

Таким образом, скрупулезный выбор инструментов для усиления безопасности компаний поможет оптимизировать политику должной осмотрительности. Конкретизация сторонних партнеров с наибольшей степенью риска, цифровые ресурсы и рейтинговый подход не только облегчат расстановку приоритетных угроз, но и создадут рентабельное решение для использования ограниченных ресурсов с максимальной отдачей.

Источники:

https://www.panorays.com/blog/the-5-most-essential-third-party-cyber-risk-assessment-tools/

https://www.ganintegrity.com/blog/third-party-risk-rating/

Читайте также: