Unatoč povećanim ulaganjima u upravljanje rizikom kibernetičke sigurnosti trećih strana (TPCRM) tijekom posljednje dvije godine, 45 posto organizacija iskusilo je prekide poslovanja povezane s trećim stranama, prema novom istraživanju Gartnera. Istraživanje je provedeno u srpnju i kolovozu 2023. među 376 viših rukovoditelja uključenih u upravljanje rizikom kibernetičke sigurnosti trećih strana u organizacijama iz različitih industrija, zemljopisnih područja i veličina.
"Upravljanje kibersigurnosnim rizikom treće strane često zahtijeva mnogo resursa, pretjerano je orijentirano na proces i ima malo toga za pokazati u smislu rezultata", rekao je Zachary Smith, stariji glavni istraživač u Gartneru. "Timovi za kibernetičku sigurnost bore se da izgrade otpornost na poremećaje povezane s trećim stranama i da utječu na poslovne odluke povezane s trećim stranama."
Uspješno upravljanje kibersigurnosnim rizikom treće strane ovisi o sposobnosti sigurnosne organizacije da postigne tri ishoda - učinkovitost resursa, upravljanje rizikom te otpornost i utjecaj na donošenje poslovnih odluka. Međutim, poduzeća se bore da budu učinkovita u dva od ta tri ishoda, a samo 6 posto organizacija je učinkovito u sva tri.
Na temelju nalaza ankete, Gartner je identificirao četiri radnje koje voditelji upravljanja sigurnošću i rizikom moraju poduzeti kako bi povećali svoju učinkovitost u upravljanju rizikom kibernetičke sigurnosti trećih strana. Istraživanje je pokazalo da su organizacije koje su provele bilo koju od ovih radnji zabilježile povećanje učinkovitosti TPCRM-a od 40-50 posto.
Što je uključeno?
Redovito provjeravajte koliko su učinkovito rizici trećih strana priopćeni vlasniku tvrtke u odnosu s trećom stranom: Glavni službenici za informacijsku sigurnost (CISO) trebaju redovito provjeravati koliko dobro tvrtka razumije njihove poruke o rizicima trećih strana kako bi bili sigurni da pružaju mjere koje se mogu poduzeti uvide u te rizike.
Pratite odluke o ugovorima trećih strana kako biste lakše upravljali prihvaćanjem rizika od strane vlasnika tvrtki: vlasnici tvrtki često će odlučiti surađivati s trećom stranom čak i ako su dobro informirani o povezanim rizicima kibernetičke sigurnosti. Praćenje odluka pomaže sigurnosnim timovima uskladiti kompenzacijske kontrole za prihvaćanje rizika i upozorava sigurnosne timove na posebno rizične vlasnike tvrtki koji mogu zahtijevati veći nadzor kibernetičke sigurnosti.
Provedite planiranje odgovora na incident treće strane (npr. priručnike, vježbe za stolom): učinkovit TPCRM nadilazi identificiranje i izvješćivanje o kibersigurnosnim rizicima. CISO moraju osigurati da organizacija ima snažne planove za nepredviđene situacije kako bi se pripremila za neočekivane scenarije i kako bi se mogla dobro oporaviti nakon incidenta.
Radite s kritičnim trećim stranama kako biste prema potrebi sazrijeli svoje prakse upravljanja sigurnosnim rizicima: U hiperpovezanom okruženju, rizik kritične treće strane također je rizik organizacije. Partnerstvo s ključnim trećim stranama radi poboljšanja njihovih praksi upravljanja sigurnosnim rizicima pomaže u promicanju transparentnosti i suradnje.