Većina organizacija se fokusira na osiguranje rutera, servera, firewall-a i drugih krajnjih tačaka, ali prijetnje mogu nastati i iz nepoznatih izvora kao što su mreže third-party, koje hakeri mogu koristiti za napad na organizaciju. Putem snažnog TPRM okvira, kompanije stiču uvid u profile rizika svojih partnera i na taj način čuvaju poslovanje.
Efikasan okvir upravljanja rizikom third-party osigurava da organizacija ne bude skrenuta sa puta rizicima i ranjivostima dobavljača. Štiti imovinu, osigurava usklađenost sa propisima i štiti reputaciju organizacije.
Angažovanje zainteresovanih strana i partnera
Prvo i najvažnije, morate okupiti višefunkcionalni, kompetentan tim za kreiranje okvira. Uvjerite se da su predstavnici svakog sektora – operacija, upravljanje rizicima, IT, nabavke, pravni, cyber sigurnosti, usklađenost, itd. – uključeni.
Na taj način možete osigurati da je svaki tim usklađen i da ima prave resurse za doprinos efikasnom upravljanju rizicima third-party i dobavljača.
Kategorišite sve vaše third-party
Napravite listu svih dobavljača usluga i dobavljača third-party u vašoj organizaciji. Kategorišite ih prema različitim parametrima: proizvod, priroda njihove usluge, vrsta podataka kojima pristupaju, obim pristupa podacima koji imaju i ako je to bitno, i bilo koji daljnji odnos s četvrtom stranom koju imaju.
Neki dobavljači third-party ključni su za uspjeh vaše organizacije, a neki nisu bitni. Grupirajući ih, moći ćete razdvojiti odnose koji su vitalni za uspjeh vaše organizacije. Takođe biste trebali kategorisati dobavljače na osnovu geografske lokacije, kako biste uzeli u obzir geopolitičke nestabilnosti i regulatorne razlike.
Definišite svoju toleranciju i raspon rizika
Odmah nakon što kategorišite svoje dobavljače third-party na osnovu njihove važnosti za vašu organizaciju, zatim morate definisati raspon usluga i okvira upravljanja rizikom third-party identifikacijom vrste uključenih third-party i faktora rizika koje oni predstavljaju. Takođe, određena količina rizika je uvijek prisutna i morate doći do nivoa rizika koji je prihvatljiv za vašu firmu.
Odredite toleranciju na rizik i nivoe apetita za usklađenost, czber sigurnost i poremećaje u radu. Pobrinite se da imate na umu standarde i propise specifične za industriju kada definišete raspon svog TPRM okvira.
Uspostavite proces za upravljanje rizikom third-party
Organizacije sa centralnim upravljanjem rizicima third-party izveštavaju o boljem razumevanju rizika i bržem preduzimanju akcija. Preko 64% organizacija koje prate centralizovani TPRM obavljaju kontrolne procene u roku od 30 do 60 dana. Morate izraditi smjernice za uključivanje dobavljača i proces prethodnog pregleda da biste angažovali dobavljače na osnovu njihovog profila rizika.
Vaš upitnik se mora fokusirati na područja kao što su usklađenost sa propisima, kontrola pristupa, šifriranje podataka, finansijsko zdravlje i još mnogo toga. Obavezno prilagodite upitnike kako biste provjerili da li je dobavljač usklađen sa potrebama vaše organizacije.
Identifikacija i ublažavanje rizika
Da biste uspostavili efikasan TPRM okvir, potrebno je sistematski identifikovati i procijeniti rizike. Da biste to učinili, kategorišite rizike u zavisnosti od njihove vjerovatnoće i ukupnog utjecaja, a zatim provodite procjene kako biste poboljšali svoje strategije ublažavanja.
Da biste efikasno ublažili rizike, morate poboljšati svoje ugovorne odredbe ili bolje primijeniti sigurnosne kontrole. Na ovaj način možete poboljšati svoj tim za czber sigurnost i identificirati rizike i boriti se protiv njih na vrijeme prije nego što mogu izazvati haos u vašoj organizaciji.
Sprovesti dužnu pažnju
Prije nego što finalizirate odnos s bilo kojim dobavljačem third-party , morate provjeriti pouzdanost partnera i prikladnost za vašu organizaciju.
Za to morate pratiti i ocjenjivati rad dobavljača, provjeriti usklađenost s potrebnim propisima i provjeriti da li se pridržava svih obaveza iz ugovora. Ako ste proaktivni i oprezni kada upravljate svojim dobavljačima, smanjit ćete rizike i uspostaviti jaka partnerstva.
Imajte planove reagovanja na incidente
Razvijte ispravne planove za reagovanje na incidente ili korektivne radnje za pravilno rukovanje podacima ili kršenje sigurnosti ako (kada) se dogode. Plan za nepredviđene situacije i kontinuitet poslovanja bi trebao biti uspostavljen tako da možete svesti na najmanju moguću mjeru efekte kvarova third-party ili poremećaja koji mogu imati na poslovanje vaše organizacije.
Možete biti oprezni koliko želite, ali prijetnje se mogu pojaviti u bilo kojem trenutku i trebali biste biti spremni da se uhvatite u koštac s njima.
Usklađenost
Morate se pridržavati važećih propisa i zakona, industrijskih standarda i obaveza u ugovorima sa dobavljačima third-party. Trebalo bi da postoji otvorena komunikacija između zainteresovanih strana, članova odbora, izvršnih menadžera i regulatora vaših odnosa sa third-party.
Ovo osigurava da možete ostati u skladu s njima u vezi sa aktivnostima TPRM-a, zajedno sa statusom i efektivnošću programa.
Kontinuirano praćenje i poboljšanje
Za maksimalnu efikasnost potrebno vam je kontinuirano praćenje i evaluacija vaših usluga upravljanja rizicima third-party. Ovo će vam pomoći da bolje shvatite lekcije iz vaših prošlih iskustava i da se u skladu s tim poboljšate.
Takođe možete identifikovati nove promjene ili rizike u vašem poslovnom okruženju i koristiti ih da poboljšate svoju procenu rizika, procedure, politike i sveukupni okvir TPRM.
Obuka
Ako svaki član organizacije, od izvršnog menadžmenta do operativnog osoblja, nije na istoj stranici, onda vaš TPRM okvir neće biti uspješan.
Provedite sesije podizanja svijesti i izgradite module obuke kako biste osigurali da su zaposleni dobro upućeni u svoje odgovornosti i uloge u upravljanju rizicima third-party. Promovisanjem svijesti o rizicima i ublažavanjem, možete unaprijediti sigurnost – prije svega u svojoj organizaciji, osiguravajući da je svaki član oprezan i odgovoran.
Zaključak
Uz pravi TPRM okvir, vaša organizacija može postići bolju svijest o rizicima, bolju usklađenost sa propisima, zaštitu povjerljivih podataka i organizacijske imovine, poboljšanu reputaciju i bolje odluke u vezi sa partnerstvom sa trećim stranama. Takođe možete smanjiti kršenje podataka, ranjivosti sistema i finansijske gubitke.
Da biste podržali konkurentnost i otpornost vaše industrije, razvijte okvir za upravljanje rizikom third-party i osigurajte da je svaki član vaše organizacije usklađen u procesu.
Izvor:Help Net Security
