تاريخ النشر: 29 مايو 2024
المساهمون: ماثيو فينيو، وأماندا داوني
تقوم إدارة مخاطر الجهات الخارجية بتحديد المخاطر المرتبطة بمهام الاستعانة بموردي الجهات الخارجية أو بمقدمي الخدمات وتقييمها وتخفيفها.
في عالم يتزايد فيه الترابط والاستعانة بالمصادر الخارجية، تعد إدارة مخاطر الجهات الخارجية إستراتيجية أعمال أساسية. تقوم إدارة مخاطر الجهات الخارجية بتحديد المخاطر التي تواجهها المؤسسات من التعامل مع الموردين الخارجيين أو مقدمي الخدمات والحد منها. تشارك هذه الجهات الخارجية في مختلف وظائف الأعمال، بدءًا من خدمات تكنولوجيا المعلومات وتطوير البرمجيات وصولًا إلى إدارة سلسلة التوريد ودعم العملاء.
تنشأ الحاجة إلى إدارة مخاطر الجهات الخارجية من نقاط الضعف المتأصلة المرتبطة بعلاقات خارجية. يمكن أن تحقق مهام الاستعانة بمصادر خارجية فوائد مثل خفض التكاليف والقابلية للتوسع والوصول إلى خبرات متخصصة، ولكنها تُعرِّض المؤسسات أيضًا للمشكلات المحتملة. تهدف إدارة مخاطر الجهات الخارجية إلى تزويد المؤسسات بفهم شامل لعلاقاتها التجارية مع الجهات الخارجية والضمانات التي يستخدمها هؤلاء الموردون. يساعد هذا في منع حدوث مشكلات مثل الاضطرابات التشغيلية والاختراقات الأمنية وفشل الامتثال.
تترادف إدارة مخاطر الجهات الخارجية مع مصطلحات مثل إدارة مخاطر الموردين أو إدارة مخاطر سلسلة التوريد، وتشكل نهجًا شاملاً لمعالجة المخاطر عبر مختلف المشاركات مع جهات خارجية. ويتضمن ذلك مبادئ عالمية مثل العناية الواجبة، وتقييم مخاطر الجهات الخارجية، وإجراءات التصحيح، والرصد المستمر لضمان التزام الجهات الخارجية باللوائح، وحماية البيانات الحساسة، والحفاظ على المرونة التشغيلية، وتلبية المعايير البيئية والاجتماعية وحوكمة الشركات.
تشمل المخاطر الرقمية، وهي مجموعة فرعية من مجموعات إدارة مخاطر الجهات الخارجية، المخاوف المالية والمتعلقة بالسمعة والبيئة والأمان. يبرز وصول الموردين إلى الملكية الفكرية والبيانات السرية والمعلومات الشخصية القابلة للتحديد أهمية إدارة مخاطر الجهات الخارجية ضمن إطارات عمل الأمن الإلكتروني وإستراتيجيات إدارة المخاطر الإلكترونية.
لا تمتلك إدارة مخاطر الجهات الخارجية قسمًا واحدًا عالميًا؛ بل تختلف من مؤسسة إلى أخرى. قد يكون لدى الشركات فرق لإدارة مخاطر الجهات الخارجية أو قد توزع هذه المسؤوليات بين أدوار مختلفة. تشمل الأقسام والعناوين الوظيفية الشائعة المشاركة في إدارة مخاطر الجهات الخارجية مدير الأمن الإلكتروني، وكبير موظفي المشتريات، والمدير التنفيذي للمعلومات، وكبير مسؤولي الخصوصية، وقسم تقنية المعلومات، ومدير سلسلة التوريد، وغيرهم.
تحمي الإدارة الفعّالة لمخاطر الجهات الخارجية المؤسسات من مخاطر التوريد وتبني شراكات أقوى وأكثر مرونة. يسمح تضمين إدارة مخاطر الجهات الخارجية في عملياتها الأساسية للشركات بالاستفادة من الخبرات الخارجية، مع الحفاظ على الأمان والامتثال والسلامة التشغيلية. ويؤدي ذلك إلى تحويل نقاط الضعف إلى مخاطر مُدارة، مما يتيح نمواً آمناً ومتوافقاً.
تعرَّف على سبب اختيار IBM Security Trusteer شركة رائدة في بوصلة قيادة المنصات الذكية للحد من الاحتيال من KuppingerCole لعام 2023.
تُعد إدارة مخاطر الجهات الخارجية ضرورية بسبب المخاطر الكبيرة المرتبطة بالموردين ومقدمي الخدمات الخارجيين. تتضمن العلاقات مع الجهات الخارجية غالبًا الوصول إلى معلومات حساسة مثل بيانات العملاء والأنظمة الداخلية، ما يجعلها نقاط دخول محتملة للهجمات. وتمتد المخاطر لتشمل الأطراف الرابعة، وهم المتعاقدين من الباطن أو مقدمو الخدمات الإضافية الذين يستعين بهم الأطراف الثالثة.
إن المؤسسات التي تركز فقط على تدابير الأمن الإلكتروني الداخلية لديها من دون توسيع نطاق الحماية هذه لتشمل أطرافًا خارجية ثالثة ورابعة تترك نفسها عرضة للانتهاكات والحوادث الأمنية الأخرى.
تعد إدارة مخاطر الجهات الخارجية أمرًا بالغ الأهمية لعدة أسباب:
تحقيق الامتثال التنظيمي: تتطلب لوائح خصوصية البيانات وحماية البيانات مثل اللائحة العامة لحماية البيانات (GDPR) وقانون خصوصية المستهلك في كاليفورنيا (CCPA) من المؤسسات تنظيم امتثال الجهات الخارجية. تؤدي الانتهاكات لدى الجهات الخارجية إلى غرامات باهظة وإلحاق ضرر بسمعة المؤسسة الرئيسية، حتى إذا كانت تلك المؤسسة غير مسؤولة بشكل مباشر عن الانتهاك.
تعزيز المرونة التشغيلية: يمكن أن تؤدي الاضطرابات لدى الجهات الخارجية إلى حدوث تحديات تشغيلية، وعيوب وتأخيرات في التشغيل. وتضمن عملية إدارة مخاطر الجهات الخارجية استمرارية الأعمال عن طريق تحديد نقاط الضعف هذه والتخفيف من حدتها. ويُعد هذا أمرًا بالغ الأهمية بشكل خاص للصناعات المعتمدة على سلاسل التوريد، حيث تحافظ إدارة مخاطر الجهات الخارجية على سلاسة العمليات ودعم معايير الجودة.
إدارة العلاقات مع الموردين: تختلف العلاقات مع الجهات الخارجية في معاييرها الأمنية. تشمل إدارة مخاطر الجهات الخارجية إجراء العناية الواجبة الشاملة، وتقييمات المخاطر، والمراقبة المستمرة لضمان التزام الموردين بمعايير عالية من الأمان والأخلاقيات.
التخفيف من مخاطر الأمن الإلكتروني: غالباً ما يكون لدى الجهات الخارجية إمكانية الوصول إلى البيانات الحساسة والأنظمة الداخلية، مما يجعلها نقاط دخول محتملة للهجمات الإلكترونية. تعمل إدارة مخاطر الجهات الخارجية القوية على توسيع تدابير الأمن الإلكتروني لهذه الكيانات الخارجية وتشمل أمن البيانات للحماية من الانتهاكات وتسرب البيانات.
الحفاظ على السمعة: يمكن لتصرفات الجهات الخارجية أن تؤثر بشكل مباشر على سمعة المؤسسة. من خلال إدارة مخاطر الجهات الخارجية، يمكن للشركات منع الممارسات غير الأخلاقية وسوء السلوك الذي قد يضر بعلامتها التجارية وثقة العملاء.
حماية تأثير الأعمال: من دون إدارة سليمة لمخاطر الجهات الخارجية، تستطيع العلاقات مع جهات خارجية أن تعرِّض الشركات لمخاطر لها تأثيرات طويلة الأمد على الأرباح النهائية لديها. تساعد إدارة مخاطر الجهات الخارجية المؤسسات على تجنب الخسائر المالية المرتبطة بفشل الجهات الخارجية، مثل تكاليف إدارة خرق أمن البيانات، والرسوم القانونية الناجمة عن عدم الامتثال، والخسائر الناجمة عن فترات التعطُّل التشغيلي.
الحد من التعقيد ومساحة الهجوم: تضيف كل جهة خارجية إلى مساحة الهجوم لدى المؤسسة. تحد إدارة مخاطر الجهات الخارجية من التعقيد عن طريق إدارة الثغرات الأمنية المحتملة التي تسببها العديد من اتصالات الجهات الخارجية.
من خلال الإدارة الفعالة لمخاطر الجهات الخارجية، يمكن للشركات تأمين عملياتها والازدهار في بيئة مترابطة تعتمد على الاستعانة بمصادر خارجية.
تحدد المؤسسات الجهات الخارجية من خلال تجميع معلومات الموردين الحالية، ودمجها مع التقنيات الموجودة، وإجراء تقييمات أو مقابلات مع أصحاب الأعمال الداخليين. تتضمن هذه المرحلة إنشاء مخزون للنظام البنائي التابع للجهات خارجية وتصنيف الموردين لديها بناءً على المخاطر الكامنة التي يشكلونها على المؤسسة.
تراجع المؤسسات طلبات تقديم العروض وتختار موردين جدد بناءً على احتياجات العمل المحددة ومعاييره. ويتضمن ذلك تقييم التعرض للمخاطر وقد يتطلب إجراء استبيانات وتقييمات في موقع العمل للتحقق من دقة تدابير الأمن الداخلي وأمن المعلومات وفعاليتها. تشمل العوامل الرئيسية التي تؤخَذ في الحسبان تقييمات الأمان الخاصة بالمورد وموقفه، والامتثال لمعايير مجال التخصص، والتوافق العام مع متطلبات المؤسسة.
تجري المؤسسات تقييمات شاملة للمخاطر لموردين مختارين باستخدام معايير مختلفة (على سبيل المثال، ISO 27001، أو NIST SP 800-53) لفهم المخاطر المحتملة. يستخدم البعض عمليات تبادل مخاطر الجهات الخارجية للوصول إلى التقييمات المكتملة مسبقًا بينما يستخدم آخرون برامج أتمتة التقييمات أو جداول البيانات.
بعد تقييم المخاطر، تبدأ المؤسسات في مرحلة الحد من المخاطر. يتضمن ذلك الإبلاغ عن المخاطر وتسجيلها، وتحديد ما إذا كانت مستوياتها مقبولة ضمن قابلية المؤسسة لتحمُّل المخاطر، وتنفيذ الضوابط المطلوبة للحد من مستويات المخاطر إلى مستويات مقبولة. تُستخدم المراقبة المستمرة لتحديد الأحداث التي قد تؤثر على ملف تعريف المخاطر، مثل انتهاكات البيانات أو التغييرات التنظيمية.
قد تتداخل هذه المرحلة مع مرحلة الحد من المخاطر وتشمل التفاوض على العقود مع الموردين ووضع اللمسات الأخيرة عليها. تشمل الجوانب الرئيسية للمرحلة التأكد من أن العقود تتضمن أحكامًا مهمة مثل بنود السرية واتفاقيات عدم الإفشاء واتفاقيات حماية البيانات واتفاقيات ضمان مستوى الخدمة. يجب هيكلة العقود لمعالجة مخاوف إدارة المخاطر الرئيسية ومتطلبات الامتثال. يتم إعداد الموردين من خلال دمجهم في أنظمة المؤسسة وعملياتها.
تحتفظ المؤسسات بسجلات مفصلة لجميع تفاعلات الجهات الخارجية وأنشطة إدارة المخاطر لديها. يستطيع تنفيذ برنامج إدارة مخاطر الجهات الخارجية أن يسهل حفظ السجلات بشكل شامل و قابل للتدقيق، ما يحسِّن إعداد التقارير والامتثال.
تعد مرحلة المراقبة المستمرة لموردي الجهات الخارجية بالغة الأهمية لأنها توفر رؤى مستمرة حول الوضع الأمني ومستويات المخاطر لديهم. من بين الأحداث الرئيسية التي ينبغي مراقبتها التغييرات التنظيمية والجدوى المالية وأي أخبار سلبية قد تؤثر على ملف مخاطر المورد.
عند إنهاء علاقات مع الموردين، يجب على المؤسسات التأكد من إعادة جميع البيانات والأصول أو التخلص منها بشكل آمن، والاحتفاظ بسجلات مفصلة لعملية إنهاء التعاون مع الموردين لأغراض الامتثال. تساعد القائمة المرجعية لإلغاء التعاون على ضمان اتخاذ جميع الخطوات اللازمة.
يمكن للمؤسسات اعتماد العديد من أفضل الممارسات لتحقيق إدارة فعالة لمخاطر الجهات الخارجية. فيما يلي بعض الاستراتيجيات الرئيسية:
تحديد الأهداف التنظيمية
- مواءمة إدارة مخاطر الجهات الخارجية مع إستراتيجية إدارة المخاطر الشاملة لدى المؤسسة
- إنشاء قائمة جرد فعَّالة تميز بين الجهات الخارجية وتحدد الإجراءات الوقائية اللازمة
- إنشاء مخطط للمخاطر يشمل مجالات متعددة مثل المخاطر المالية والمخاطر التشغيلية ومخاطر الامتثال والمخاطر الإستراتيجية ومخاطر السمعة وغيرها.
الحصول على موافقة الأطراف المعنية
- إشراك الأطراف المعنية في مرحلة مبكرة من العملية لتصميم برنامج إدارة مخاطر الجهات الخارجية وتنفيذه بفعالية
- تأكد من أن الفريق التنفيذي على دراية بجميع مخاطر الجهات الخارجية ومتوافق معها
- ضمان التعاون من جميع الأطراف ذات الصلة (فرق المخاطر والامتثال والمشتريات والأمن والتجارة)
- اجتناب الأساليب الانعزالية من خلال وضع إستراتيجية شاملة تتضمن مدخلات من جميع الأقسام المعنية.
إنشاء برنامج إدارة مخاطر الجهات الخارجية
- تطوير نهج برمجي يتضمن هيكل حوكمة لضمان عمليات إدارة مخاطر متسقة وقابلة للتكرار. تستطيع الندوات المنتظمة عبر الإنترنت، على سبيل المثال، أن تُبقي الأطراف المعنية على اطلاع دائم بآخر المستجدات.
- تكييف برنامج إدارة مخاطر الجهات الخارجية ليتناسب مع المتطلبات التنظيمية المحددة، وحماية البيانات، وقدرة المؤسسة. على تحمل المخاطر
الحفاظ على مخزون دقيق للمورّدين
- تنفيذ إستراتيجيات للحفاظ على مخزون محدّث لبيانات جميع الجهات الخارجية
- ضمان رؤية شاملة لأوضاع الجهات الخارجية من أجل إدارة المخاطر الأمنية بفعالية
إعطاء الأولوية للموردين
- تقسيم مخزون الموردين إلى مستويات بناءً على المخاطر والأهمية
- تركيز الموارد على الموردين المحفوفين بالمخاطر من أجل بذل العناية الواجبة والمراقبة المستمرة الصارمة
تقييم حلول الأمان أثناء عملية التعاقد
- إجراء تقييمات أمنية لموردي الجهات الخارجية أثناء عملية الشراء، وليس فقط في نهاية المفاوضات
- دمج المتطلبات الأمنية في العقود في بداية الأمر لضمان الامتثال والحد من المخاطر قبل إبرام الاتفاقيات
توسيع نطاق النظر إلى ما هو أبعد من الأمن الإلكتروني
- معالجة أنواع مختلفة من المخاطر، وليس فقط مخاطر الأمن الإلكتروني
- الأخذ في الحسبان المخاطر المتعلقة بالسمعة والمخاطر الجغرافية والجيوسياسية والإستراتيجية والمالية والتشغيلية ومخاطر الخصوصية والامتثال والأخلاقيات واستمرارية الأعمال والأداء والبيئة
- فهم جميع المخاطر ذات الصلة لبناء برنامج شامل لإدارة مخاطر الجهات الخارجية
أتمتة العمليات باستخدام برمجيات إدارة مخاطر الجهات الخارجية
- أتمتة العمليات المتكررة لإدارة مخاطر الجهات الخارجية لتحسين الكفاءة. تستطيع برمجيات إدارة مخاطر الجهات الخارجية تبسيط العمليات مثل:
- تأهيل الموردين وتقييم المخاطر
- تعيين مهام الحد من المخاطر وإجراء تقييمات الأداء
- إرسال الإخطارات وإنشاء التقارير
تنفيذ المراقبة المستمرة:
- تفعيل خاصية المراقبة المستمرة لتقييم مخاطر الجهات الخارجية في الوقت الفعلي
- استخدم الأدوات الآلية لكشف مشكلات الأمان والامتثال على الفور
- الحفاظ على رؤية ثابتة لمشهد مخاطر الجهات الخارجية لمعالجة التغييرات بشكل استباقي
تحسين أداء الأعمال وإدارة ارتباطات المورّدين بكفاءة باستخدام وحدة إدارة مخاطر الجهات الخارجية من IBM هذه.
إدارة المخاطر الناتجة عن ظروف السوق المتغيرة أو اللوائح التنظيمية المتطورة أو العمليات المحملة بالأعباء مع زيادة الفعالية والكفاءة.
يمكنك إجراء تحول في أعمالك وفي إدارة المخاطر في مؤسستك مع شركة عالمية رائدة في مجال استشارات الأمن الإلكتروني والخدمات السحابية وخدمات الأمان المُدارة.
استكشف OpenPages UX من خلال هذه الجولة التفاعلية وتابع الفريق أثناء تحديدهم للمخاطر ومراجعة أحدث المتطلبات التنظيمية والبدء في إدارة تقييمات المخاطر وإدارة مسارات سير العمل.
تعرّف على كيفية مساعدة حل IBM OpenPages في صنع قرارات واعية بالمخاطر من أجل الامتثال وتحسين أداء الأعمال عبر الخطوط.
كن واثقًا من أمنك باستخدام استعلامات التهديدات.
تعرف على مدى تعاون لوس أنجلوس مع ®IBM Security لإنشاء مجموعة فريدة من نوعها لمشاركة تهديدات الأمن الإلكتروني.
تعلم كيف قامت Centripetal بتشغيل استعلامات التهديدات للتصدي للتهديدات الإلكترونية في الوقت الفعلي.
اقرأ كيف يمكن للشركات أن تقلل بشكل استباقي من نقاط ضعفها أمام مجموعة من الهجمات الإلكترونية.