Majoritatea (83%) din organizațiile care angajează terțe părți să furnizeze servicii de afaceri identifică riscuri ale unor terți după efectuarea diligenței cuvenite, conform unui studiu Gartner. Sondajul asupra a peste 250 de lideri legali și de conformitate a relevat faptul că abordarea standard în timp a gestionării riscurilor nu mai este eficientă în lumina relațiilor de afaceri care se schimbă rapid în zilele noastre.
Cu un număr tot mai mare de terți care efectuează servicii „noi în natură” și non-core pentru organizații, raportul Gartner a declarat că riscurile materiale nu pot fi întotdeauna identificate înainte de începerea unei relații de afaceri. Constatarea raportului este semnificativă, având în vedere faptul că un număr din ce în ce mai mare de atacuri cibernetice sunt legate de vulnerabilitățile furnizorilor care sunt exploatați către partenerii vizați, subliniind necesitatea unui accent mai mare pe securitatea lanțului de aprovizionare.
Doar 29% din directorii de companii și responsabilii IT știu la nivel mondial cât de eficient lucrează partenerii lor în ceea ce privește securitatea, 56% mizând doar pe încredere. Raportul Gartner arată că gestionarea modernă a riscurilor trebuie să țină cont de schimbările în curs de desfășurare ale relațiilor cu terții și de atenuarea riscurilor într-un mod “iterativ” sau în mod continuu, mai degrabă, decât la intervale specificate.
Potrivit lui Gartner, o serie de factori au contribuit la modificarea naturii riscului terților, inclusiv faptul că:
- Terții furnizează servicii tehnologice noi în natură pentru 80% din organizațiile chestionate, inclusiv pentru startup-uri și inovatori pentru modele de afaceri;
- Două treimi din liderii legali și de conformitate constată că terții furnizează servicii în afara modelului de afaceri principal al companiei;
- Terții au acum un acces mai mare la datele organizaționale;
- Există o variabilitate din ce în ce mai mare la maturitatea rețelelor terțe ale organizațiilor
- Terții lucrează cu un număr tot mai mare de terți proprii.
Cu o abordare la timp a managementului riscului, liderii de conformitate încearcă să identifice riscurile potențiale ale terților cu o diligență extinsă înainte de a contracta servicii, dar acest lucru nu reușește să surprindă riscurile care ar putea apărea din cauza schimbărilor în curs ale relației dintre părți. Printre respondenții la sondaj care au identificat riscuri de diligență post-scadență, 31% din aceste riscuri au avut un impact semnificativ asupra activității.
Raportul Gartner a spus că datele sondajului arată că o abordare iterativă a gestionării riscurilor permite liderilor legali și de conformitate să îmbunătățească rezultatele riscurilor și afacerilor în ceea ce privește viteza de implicare, precum și prin eliminarea și identificarea riscurilor terților înainte de a se materializa impactul lor.
Organizațiile care au aplicat o abordare iterativă au experimentat o dublare a capacității de remediere a riscurilor înainte de impact și de 1,5 ori mai mare capacitatea de a identifica riscurile înainte de impact. Pentru atenuarea eficientă a riscurilor terților, liderii de conformitate trebuie să-și eficientizeze procesele actuale de diligență pentru a se concentra pe riscuri critice pentru a elimina un proces duplicativ împovărător și a concentra atenția asupra riscurilor care au cel mai mare impact asupra organizației.
Pentru a construi un program de securitate a lanțului de aprovizionare, specialiștii le recomandă organizațiilor următorul set de abordări:
- Asigurați-vă că cunoașteți toți furnizorii și faceți un inventar complet cu cine fac afaceri, astfel încât să identificați orice legături slabe;
- Efectuați o evaluare a riscurilor privind postura cibernetică a fiecărui furnizor, inclusiv componentele software și hardware, pentru a identifica riscurile pe care le pot prezenta;
- Utilizați testarea terților pentru a testa sistemele de securitate internă și pe cele ale furnizorilor pentru a identifica și a acorda prioritate la ceea ce trebuie stabilit;
- Scanează și verifică regulat toate sistemele vulnerabile;
- Învățați angajații despre importanța folosirii parolelor puternice și nu reciclării acestora în conturi;
- Asigurați-vă că personalul a configurat autentificarea multifactorială peste tot posibil;
- Realizați instruiri periodice de sensibilizare în materie de securitate pentru a-i învăța pe angajați să identifice înșelătorii de phishing, să actualizeze software și să devină mai conștienți de securitate;
- Îmbunătățiți securitatea dispozitivelor conectate la rețelele companiei