Étendre la gestion intégrée des risques aux risques liés aux tiers

Lorsque vous évaluez votre stratégie de gestion des risques de l'entreprise, n'oubliez pas de prendre en compte ces capacités clés de gestion des risques par des tiers.
Par :
Scott Lang
,
VP, Marketing produit
14 février 2020
Partager :
Extension du blog irm janvier 2020

Face au nombre croissant de violations de données préjudiciables, les entreprises cherchent à simplifier, automatiser et intégrer les données et les processus de gestion des risques stratégiques, opérationnels et informatiques afin de permettre une prise de décision meilleure et plus globale. Cette approche centrée sur le risque étend les méthodologies traditionnelles de conformité des programmes de gouvernance, de risque et de conformité (GRC) pour répondre aux exigences de conformité inévitables et en constante évolution en matière de sécurité et de confidentialité qui découlent de ces incidents de sécurité. C'est ce que l'on appelle communément la gestion intégrée des risques (IRM). Cette discipline n'est pas nouvelle ; il s'agit plutôt d'une étape évolutive de la GRC pour soutenir la tendance des organisations à rechercher des solutions qui fournissent des informations exploitables alignées sur les stratégies d'entreprise, et pas seulement sur les mandats réglementaires.

Cependant, un élément clé que les organisations doivent prendre en compte lors de l'élaboration de leur stratégie de GIR est l'impact que les partenaires, fournisseurs et vendeurs tiers ont sur le risque commercial. Ce blog a pour but de définir comment la gestion des risques liés aux tiers (TPRM) peut contribuer à une stratégie IRM holistique. L'IRM aligne les processus, les technologies et les personnes d'une organisation avec un cadre reproductible pour la prise de décision basée sur le risque, et la TPRM joue un rôle essentiel dans cet alignement.

Renforcement des solutions de gestion des risques d'entreprise

Les solutions IRM sont essentielles pour gérer les risques organisationnels à des niveaux acceptables, mais certaines d'entre elles ne sont peut-être pas adaptées pour obtenir une visibilité sur les risques liés aux fournisseurs - par exemple l'entreprise étendue. Pour garantir que les programmes IRM répondent de manière adéquate aux exigences de conformité liées aux tiers, et pour promouvoir une stratégie davantage axée sur les risques, nous recommandons un certain nombre de capacités de meilleures pratiques à respecter.

Pour illustrer comment les capacités clés de TPRM s'intègrent dans un modèle commun, nous les avons mises en correspondance avec les capacités critiques de Gartner pour la gestion intégrée des risques dans le tableau ci-dessous. Utilisez ce tableau comme une liste de contrôle lorsque vous évaluez si votre ensemble d'outils IRM existant peut répondre à vos besoins en matière de risque de tiers. N'oubliez pas de consulter l'intégralité du rapport Gartner sur l'IRM pour obtenir des conseils sur les meilleures pratiques et le contexte, car ce tableau n'est qu'un résumé.

Principales capacités de gestion des risques des tiers alignées sur le modèle IRM de Gartner

Capacités critiques de Gartner pour l'IRMLes meilleures pratiques en matière de TPRM pour renforcer l'IRM
Document/évaluation des risques et des contrôles - Documenter les risques et les contrôles connexes pour répondre aux exigences des audits internes et externes.

Contenu lié au risque, y compris un cadre de risque, une taxonomie/bibliothèque, un catalogue d'indicateurs clés de risque (KRI) et des exigences de conformité légales, réglementaires et organisationnelles.

Bibliothèque de contenus/questionnaires standard préétablis, y compris des contenus spécifiques sur la réglementation en matière de conformité et les performances des fournisseurs, avec la possibilité de créer votre propre évaluation adaptée aux besoins de votre organisation.

Méthodologie d'évaluation des risques et capacités de calcul (par exemple, évaluation des risques par nœud papillon)

Matrice de risque qui calcule les scores de risque en fonction de la probabilité d'occurrence et de l'impact sur l'activité ; complétée par une méthodologie FAIR.

Documentation des politiques et cartographie des contrôles

Un modèle de risque unifié qui met automatiquement en correspondance les informations recueillies lors des évaluations basées sur les contrôles et les cadres réglementaires, afin de permettre la production de rapports clairs et exploitables.

Flux de travail de la documentation, y compris la création, la gestion des versions et l'approbation.

Gestion bidirectionnelle des documents avec des fonctions de tâches, d'acceptation et de téléchargement obligatoire.

Analyse de l'impact sur les affaires

Quantifier l'évolution des risques dans le temps, avec et sans application des mesures correctives requises.

Gestion des documents d'audit et des tests

Piste d'audit complète de toutes les communications en interne et avec les parties externes grâce à la capacité de flux de documentation.

Validation des contrôles par des tiers

Bibliothèque d'évaluations basées sur les contrôles standard du secteur qui correspondent au cadre de contrôle utilisé (par exemple CoBiT, ISO, NIST, etc.).

Gestion des incidents - Fournir un registre des incidents pour alimenter le processus d'évaluation des risques et faciliter l'identification des causes des événements.

Saisie des données relatives aux incidents

Surveiller en permanence le site cyber et les événements liés à l'activité de tiers afin de fournir des informations immédiates et des évaluations supplémentaires.

Flux de travail et rapports sur la gestion des incidents

Attribuer des tâches à l'une ou l'autre des parties internes pour faciliter la poursuite de l'enquête.

Analyse des causes profondes

Inclure un certain nombre de flux de données externes pour compléter la collecte de données et obtenir une vision plus complète des risques.

Gestion de crise

Identifier le flux de travail pour traiter en temps réel tout risque susceptible d'avoir un impact sur l'activité.

Gestion des dossiers d'enquête

Tenir un registre de toutes les communications et de tous les documents relatifs à un risque identifié en vue d'y remédier.

Planification des mesures d'atténuation des risques - Élaborer des plans pour s'assurer que des mesures d'atténuation appropriées sont prises afin de respecter l'appétit de l'organisation pour le risque.

Fonctionnalité de gestion de projet pour suivre l'avancement des initiatives, des audits ou des enquêtes liés aux risques.

Flux de travail bidirectionnel sur les mesures correctives pour permettre des discussions sur les registres de risques et la définition des dates et des coûts d'achèvement.

Capacités de test de contrôle des risques, telles que la surveillance continue des contrôles.

Effectuer des évaluations récurrentes et intégrer les résultats de l'analyse du réseau externe cyber .

Mise en correspondance des contrôles avec les risques, les processus opérationnels et les actifs technologiques.

Bibliothèque d'évaluations basées sur les contrôles standard du secteur qui correspondent au cadre de contrôle utilisé (par exemple CoBiT, ISO, NIST, etc.).

Mise en correspondance des contrôles avec les exigences légales et les mandats de conformité

Un modèle de risque unifié qui met automatiquement en correspondance les informations recueillies lors des évaluations basées sur les contrôles et les cadres réglementaires.

Suivi/rapport des KRI - Agréger et rapporter les niveaux de risque et les indicateurs clés de risque.

Tableau de bord des risques

Le registre des risques se remplit automatiquement à partir des enquêtes, avec une piste d'audit complète et la propriété des mesures correctives.

Intégration de données externes (par exemple, les données d'évaluation de la vulnérabilité de la sécurité de l'information)

Surveillance instantanée et continue des fournisseurs cyber et des risques commerciaux, y compris les flux provenant de sources extérieures, avec hiérarchisation intelligente et enregistrement des risques.

La capacité de lier les KRI aux mesures de performance

Visualisez tous les fournisseurs et triez-les par niveau, score de risque, catégorie, importance pour l'entreprise pour une meilleure visibilité.

Quantification et analyse des risques - Réaliser une quantification et une analyse axées sur la réglementation.

Apprentissage automatique ou autres analyses basées sur l'intelligence artificielle (IA).

  • Modélisation prédictive du score de risque au fil du temps, au fur et à mesure que les mesures correctives recommandées sont appliquées.
  • Analyse des risques commerciaux à l'aide d'analystes et de données afin d'aborder les risques potentiels liés aux changements opérationnels, de marque, financiers ou réglementaires.

"Capacités d'analyse de scénarios de risques "What if

Capacités de modélisation statistique (par exemple, simulation de Monte Carlo, valeur à risque et inférence statistique bayésienne).

Analyse prédictive

Allocation/calcul du capital

Capacités de détection des fraudes

Si votre stratégie IRM ne tient pas compte de ces meilleures pratiques TPRM, agissez maintenant. Téléchargez le guide des meilleures pratiques, Navigating the Vendor Risk Lifecycle : Keys to Success at Every Stage, pour un examen complet des capacités requises pour prendre en compte les risques de tiers dans votre programme IRM.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo