Pubblicato: 29 maggio 2024
Collaboratori: Matthew Finio, Amanda downie
La gestione del rischio di terze parti (TPRM) identifica, valuta e attenua i rischi associati alle attività di outsourcing a fornitori o provider di servizi di terze parti.
In un mondo in cui le interconnessioni e le esternalizzazioni sono sempre più importanti, la gestione del rischio di terze parti (TPRM) è una strategia aziendale essenziale. Il TPRM identifica e attenua i rischi che le organizzazioni devono affrontare quando si relazionano con fornitori o provider di servizi esterni. Queste terze parti possono essere coinvolte in diverse funzioni aziendali, che vanno dai servizi IT allo sviluppo di software fino alla gestione della supply chain e all'assistenza ai clienti.
La necessità del TPRM deriva dalle vulnerabilità intrinseche associate alle relazioni con soggetti terzi. L'esternalizzazione delle attività può portare vantaggi come il risparmio sui costi, la scalabilità e l'accesso a competenze specializzate, ma espone anche le organizzazioni a potenziali problemi. Il TPRM mira a fornire alle organizzazioni una comprensione completa delle loro relazioni commerciali con terze parti e delle misure di sicurezza che questi fornitori adottano. In questo modo si evitano problemi quali interruzioni delle operazioni, violazioni della sicurezza ed errori di conformità.
Il TPRM è sinonimo di termini come VRM (Vendor Risk Management) o supply chain risk management, e costituisce un approccio completo per affrontare i rischi relativi a varie interazioni con terze parti. Coinvolge principi universali come la due diligence, la valutazione dei rischi legati a soggetti terzi, la correzione e il monitoraggio continuo per garantire che le terze parti rispettino le normative, proteggano i dati sensibili, garantiscano la resilienza operativa e soddisfino i criteri ambientali, sociali e di governance (ESG).
I rischi digitali, un sottoinsieme del TPRM, comprendono le preoccupazioni di carattere finanziario, reputazionale, ambientale e di sicurezza. L'accesso dei fornitori a proprietà intellettuale, dati riservati e informazioni di identificazione personale (PII) sottolinea l'importanza del TPRM all'interno delle strategie di cybersecurity e cyber risk management.
Nessun reparto è universalmente responsabile della gestione del rischio di terzi (TPRM), la situazione varia da un'organizzazione all'altra. Le aziende possono avere team TPRM dedicati o distribuire queste responsabilità tra vari ruoli. I reparti e i titoli di lavoro più comuni coinvolti nel TPRM includono il Chief Information Security Officer (CISO), il Chief Procurement Officer (CPO), il Chief Information Officer (CIO), il Chief Privacy Officer (CPO), l'Information Technology (IT), il Supply Chain Manager e altri.
Un TPRM efficace protegge le organizzazioni dai rischi di esternalizzazione e crea partnership più forti e resilienti. L'integrazione del TPRM nelle operazioni principali consente alle aziende di sfruttare le competenze esterne, mantenendo al contempo la sicurezza, la conformità e l'integrità operativa. In questo modo le vulnerabilità vengono trasformate in rischi gestiti, consentendo una crescita sicura e conforme.
La gestione del rischio di terze parti (TPRM) è essenziale per via dei rischi significativi associati ai fornitori e ai provider di servizi esterni. Le relazioni con terze parti spesso implicano l'accesso a informazioni privilegiate come i dati dei clienti e i sistemi interni, il che le rende potenziali punti di ingresso per gli attacchi informatici. Il rischio si estende alle quarte parti, che sono subappaltatori o fornitori di servizi aggiuntivi ingaggiati da terze parti.
Le organizzazioni che si concentrano esclusivamente sulle proprie misure interne di sicurezza informatica senza estendere queste protezioni a terze e quarte parti si rendono vulnerabili alle violazioni e ad altri incidenti di sicurezza.
Il TPRM è fondamentale per:
Conseguire la conformità normativa: le normative sulla privacy e sulla protezione dei dati come GDPR e CCPA richiedono alle organizzazioni di regolamentare la conformità di terze parti. Le violazioni commesse da terzi possono comportare pesanti sanzioni e danni alla reputazione dell'organizzazione principale, anche se tale organizzazione non è direttamente responsabile della violazione.
Promuovere la resilienza operativa: le interruzioni da parte di terzi possono causare ritardi, difetti e problemi di carattere operativo. Un TPRM efficace garantisce la continuità aziendale identificando e mitigando queste vulnerabilità. Questo è particolarmente cruciale per le industrie che dipendono dalle supply chain, dove il TPRM aiuta a garantire operazioni senza intoppi e a rispettare gli standard di qualità.
Gestire le relazioni con i fornitori: i rapporti con i terzi variano in base ai loro standard di sicurezza. Il TPRM prevede un'accurata due diligence, valutazioni dei rischi e un monitoraggio continuo per garantire che i fornitori aderiscano a elevati standard etici e di sicurezza.
Mitigare i rischi di cybersecurity: le terze parti hanno spesso accesso a dati sensibili e sistemi interni, il che le rende potenziali punti di ingresso per gli attacchi informatici. Un TPRM efficace estende le misure di cybersecurity a queste entità esterne e include la sicurezza dei dati per proteggersi dalle violazioni e dalle perdite di dati.
Preservare la reputazione: le azioni di terzi possono influire direttamente sulla reputazione di un'organizzazione. Gestendo i rischi di terze parti, le aziende possono prevenire pratiche non etiche e comportamenti scorretti che potrebbero danneggiare il loro marchio e la fiducia dei clienti.
Proteggere l'impatto aziendale: senza un adeguato TPRM, le relazioni con soggetti terzi possono lasciare le aziende esposte a rischi che possono avere un impatto duraturo sui loro profitti. Il TPRM aiuta le organizzazioni a evitare perdite finanziarie associate a inadempienze di terze parti, come i costi di gestione di una violazione dei dati, le spese legali derivanti da mancata conformità e le perdite causate da interruzioni delle operazioni.
Ridurre la complessità e la superficie di attacco: ogni terza parte aumenta la superficie di attacco dell'organizzazione. Il TPRM riduce la complessità gestendo le potenziali vulnerabilità introdotte dalla connessione con diversi soggetti terzi.
Gestendo efficacemente i rischi di terze parti, le aziende possono proteggere le proprie operazioni e prosperare in un ambiente interconnesso ed esternalizzato.
Le organizzazioni identificano le terze parti consolidando le informazioni esistenti sui fornitori, integrandole con le tecnologie esistenti e conducendo valutazioni o colloqui con i responsabili aziendali interni. Questa fase include la creazione di un inventario dell'ecosistema dei soggetti terzi e la classificazione dei fornitori terzi in base ai rischi intrinseci che comportano per l'organizzazione.
Le organizzazioni esaminano le RFP e selezionano nuovi fornitori in base a esigenze e criteri aziendali specifici. Ciò comporta la valutazione dell’esposizione al rischio e potrebbe richiedere questionari e valutazioni in loco per verificare l’accuratezza e l’efficacia delle misure di sicurezza interna e di sicurezza delle informazioni. I fattori chiave considerati comprendono le valutazioni e il livello di sicurezza del fornitore, la conformità agli standard di settore e l'idoneità generale ai requisiti dell'organizzazione.
Le organizzazioni conducono valutazioni approfondite dei rischi di fornitori selezionati utilizzando vari standard (ad esempio, ISO 27001, NIST SP 800-53) per comprendere i potenziali rischi. Alcuni utilizzano scambi di rischi di terze parti per accedere a valutazioni precompilate, mentre altri utilizzano software o fogli di calcolo di automazione della valutazione.
Dopo aver valutato i rischi, le organizzazioni eseguono un' attenuazione del rischio. Questa prevede la segnalazione e l'attribuzione di un punteggio ai rischi, la determinazione dei livelli di rischio accettabili nell'ambito della propensione al rischio dell'organizzazione e l'implementazione dei controlli necessari per ridurre i rischi a livelli accettabili. Il monitoraggio continuo viene utilizzato per identificare gli eventi che possono alterare il profilo di rischio, come violazioni dei dati o modifiche normative.
Questa fase può sovrapporsi all'attenuazione del rischio e comporta la negoziazione e la finalizzazione dei contratti con i fornitori. Tra gli aspetti chiave c'è quello di assicurarsi che i contratti includano disposizioni critiche come le clausole di riservatezza, gli NDA, gli accordi di protezione dei dati e i service level agreement (SLA). I contratti dovrebbero essere strutturati in modo da affrontare i principali problemi di gestione del rischio e i requisiti di conformità. L'onboarding dei fornitori avviene attraverso la loro integrazione nei sistemi e nei processi dell'organizzazione.
Le organizzazioni conservano record dettagliati di tutte le interazioni con soggetti terzi e delle attività di gestione del rischio. L'implementazione di un software TPRM può facilitare una registrazione completa e verificabile, consentendo una migliore rendicontazione e conformità.
Il monitoraggio continuo dei fornitori terzi è fondamentale in quanto fornisce informazioni continue sul loro livello di sicurezza e sui livelli di rischio. Gli eventi chiave da monitorare includono i cambiamenti normativi, la sostenibilità finanziaria e qualsiasi notizia negativa che potrebbe influire sul profilo di rischio del fornitore.
Quando si chiudono le relazioni con i fornitori, le organizzazioni devono garantire che tutti i dati e le risorse vengano restituiti o eliminati in modo sicuro e che vengano mantenuti record dettagliati del processo di offboarding ai fini della conformità. Un elenco di controllo per l'offboarding può aiutare a garantire che vengano prese tutte le misure necessarie.
Le organizzazioni possono adottare diverse best practice per un TPRM efficace. Queste sono alcune strategie chiave:
Definire gli obiettivi dell'organizzazione
- Allineare il TPRM con la strategia generale di gestione del rischio dell'organizzazione
- Creare un solido inventario differenziando le terze parti e identificando le azioni protettive necessarie
- Definire una mappatura dei rischi che copra più aree (rischio finanziario, rischio operativo, rischio di conformità, rischio strategico, rischio reputazionale e altri).
Ottieni il consenso degli stakeholder
- Coinvolgere gli stakeholder nelle prime fasi del processo per progettare e implementare il programma TPRM in modo efficace
- Assicurarsi che il team esecutivo sia consapevole e in linea con tutti i rischi di terze parti
- Garantire la cooperazione di tutte le parti interessate (team di rischio e conformità, approvvigionamento, sicurezza e commerciale)
- Evitare approcci isolati adottando una strategia complessiva che includa il contributo di tutti i reparti pertinenti
Definire un programma TPRM
- Sviluppare un approccio programmatico con una struttura di governance per processi di gestione del rischio coerenti e ripetibili. Dei webinar regolari, ad esempio, possono mantenere informate e aggiornate le parti coinvolte.
- Adattare il programma di gestione del rischio di terze parti ai requisiti normativi, di protezione dei dati e di tolleranza al rischio specifici dell'organizzazione
Mantenere un inventario accurato dei fornitori
- Implementa strategie per mantenere un inventario aggiornato di tutte le terze parti
- Garantire una visibilità completa del panorama dei soggetti terzi per gestire efficacemente i rischi legati alla sicurezza
Priorità dei fornitori
- Segmentare l'inventario dei fornitori in livelli basati sul rischio e sulla criticità
- Concentrare le risorse sui fornitori ad alto rischio per una due diligence più rigorosa e un monitoraggio continuo
Valutare la sicurezza durante il processo di contrattazione
- Effettuare valutazioni di sicurezza sui fornitori terzi durante la fase di selezione, non solo al termine delle trattative
- Integra tempestivamente i requisiti di sicurezza nei contratti per garantire la conformità e mitigare i rischi prima che gli accordi vengano finalizzati
Guardare oltre la cybersecurity
- Affrontare varie tipologie di rischi, non solo la cybersecurity
- Considerare i rischi reputazionali, geografici, geopolitici, strategici, finanziari, operativi, di privacy, di conformità, etici, di continuità aziendale, prestazionali e ambientali
- Comprendere tutti i rischi rilevanti per costruire un programma TPRM completo
Automatizza i processi utilizzando il software TPRM
- Automatizzare i processi TPRM ripetitivi per migliorare l'efficienza. Un software TPRM può semplificare processi come:
- Onboarding dei fornitori e valutazione dei rischi
- Assegnazione di attività di mitigazione ed esecuzione di revisioni delle prestazioni
- Invio di notifiche e generazione di report
Implementare il monitoraggio continuo:
- Consentire il monitoraggio continuo per valutare i rischi di terze parti in tempo reale
- Utilizzare strumenti automatici per rilevare tempestivamente i problemi di sicurezza e conformità
- Garantire una visibilità costante del panorama dei rischi di terze parti per affrontare in modo proattivo i cambiamenti
Migliora le prestazioni aziendali e gestisci in modo efficiente le relazioni con i fornitori con questo modulo TPRM di IBM.
Gestisci il rischio legato ai mutamenti delle condizioni di mercato, all'evoluzione delle normative o agli ostacoli alle operazioni aumentando al tempo stesso efficacia ed efficienza.
Trasforma il tuo business e gestisci i rischi con un leader a livello globale nel campo della consulenza per la cybersecurity, del cloud e dei servizi di sicurezza gestiti.
Esplora l'esperienza utente di OpenPages con questo tour interattivo e segui il team mentre identifica i rischi, esamina i requisiti normativi più recenti, inizia a gestire le valutazioni dei rischi e gestisce i workflow.
Scopri in che modo la soluzione IBM OpenPages può aiutarti prendere decisioni considerando i rischi per garantire la conformità e migliorare le prestazioni di business a tutti i livelli.
Raggiungi un livello di sicurezza affidabile con la threat intelligence.
Scopri in che modo la città di Los Angeles ha collaborato con IBM® Security per creare un gruppo di condivisione delle minacce informatiche unico nel suo genere.
Scopri come Centripetal ha reso operativa la threat intelligence per agire contro le minacce informatiche in tempo reale.
Scopri come le aziende possono ridurre in modo proattivo le loro vulnerabilità a una serie di attacchi informatici.