Face au nombre croissant de violations de données préjudiciables, les entreprises cherchent à simplifier, automatiser et intégrer les données et les processus de gestion des risques stratégiques, opérationnels et informatiques afin de permettre une prise de décision meilleure et plus globale. Cette approche centrée sur le risque étend les méthodologies traditionnelles de conformité des programmes de gouvernance, de risque et de conformité (GRC) pour répondre aux exigences de conformité inévitables et en constante évolution en matière de sécurité et de confidentialité qui découlent de ces incidents de sécurité. C'est ce que l'on appelle communément la gestion intégrée des risques (IRM). Cette discipline n'est pas nouvelle ; il s'agit plutôt d'une étape évolutive de la GRC pour soutenir la tendance des organisations à rechercher des solutions qui fournissent des informations exploitables alignées sur les stratégies d'entreprise, et pas seulement sur les mandats réglementaires.
Cependant, un élément clé que les organisations doivent prendre en compte lors de l'élaboration de leur stratégie de GIR est l'impact que les partenaires, fournisseurs et vendeurs tiers ont sur le risque commercial. Ce blog a pour but de définir comment la gestion des risques liés aux tiers (TPRM) peut contribuer à une stratégie IRM holistique. L'IRM aligne les processus, les technologies et les personnes d'une organisation avec un cadre reproductible pour la prise de décision basée sur le risque, et la TPRM joue un rôle essentiel dans cet alignement.
Les solutions IRM sont essentielles pour gérer les risques organisationnels à des niveaux acceptables, mais certaines d'entre elles ne sont peut-être pas adaptées pour obtenir une visibilité sur les risques liés aux fournisseurs - par exemple l'entreprise étendue. Pour garantir que les programmes IRM répondent de manière adéquate aux exigences de conformité liées aux tiers, et pour promouvoir une stratégie davantage axée sur les risques, nous recommandons un certain nombre de capacités de meilleures pratiques à respecter.
Pour illustrer comment les capacités clés de TPRM s'intègrent dans un modèle commun, nous les avons mises en correspondance avec les capacités critiques de Gartner pour la gestion intégrée des risques dans le tableau ci-dessous. Utilisez ce tableau comme une liste de contrôle lorsque vous évaluez si votre ensemble d'outils IRM existant peut répondre à vos besoins en matière de risque de tiers. N'oubliez pas de consulter l'intégralité du rapport Gartner sur l'IRM pour obtenir des conseils sur les meilleures pratiques et le contexte, car ce tableau n'est qu'un résumé.
Capacités critiques de Gartner pour l'IRM | Les meilleures pratiques en matière de TPRM pour renforcer l'IRM |
---|---|
Document/évaluation des risques et des contrôles - Documenter les risques et les contrôles connexes pour répondre aux exigences des audits internes et externes. | |
Contenu lié au risque, y compris un cadre de risque, une taxonomie/bibliothèque, un catalogue d'indicateurs clés de risque (KRI) et des exigences de conformité légales, réglementaires et organisationnelles. | Bibliothèque de contenus/questionnaires standard préétablis, y compris des contenus spécifiques sur la réglementation en matière de conformité et les performances des fournisseurs, avec la possibilité de créer votre propre évaluation adaptée aux besoins de votre organisation. |
Méthodologie d'évaluation des risques et capacités de calcul (par exemple, évaluation des risques par nœud papillon) | Matrice de risque qui calcule les scores de risque en fonction de la probabilité d'occurrence et de l'impact sur l'activité ; complétée par une méthodologie FAIR. |
Documentation des politiques et cartographie des contrôles | Un modèle de risque unifié qui met automatiquement en correspondance les informations recueillies lors des évaluations basées sur les contrôles et les cadres réglementaires, afin de permettre la production de rapports clairs et exploitables. |
Flux de travail de la documentation, y compris la création, la gestion des versions et l'approbation. | Gestion bidirectionnelle des documents avec des fonctions de tâches, d'acceptation et de téléchargement obligatoire. |
Analyse de l'impact sur les affaires | Quantifier l'évolution des risques dans le temps, avec et sans application des mesures correctives requises. |
Gestion des documents d'audit et des tests | Piste d'audit complète de toutes les communications en interne et avec les parties externes grâce à la capacité de flux de documentation. |
Validation des contrôles par des tiers | Bibliothèque d'évaluations basées sur les contrôles standard du secteur qui correspondent au cadre de contrôle utilisé (par exemple CoBiT, ISO, NIST, etc.). |
Gestion des incidents - Fournir un registre des incidents pour alimenter le processus d'évaluation des risques et faciliter l'identification des causes des événements. | |
Saisie des données relatives aux incidents | Surveiller en permanence le site cyber et les événements liés à l'activité de tiers afin de fournir des informations immédiates et des évaluations supplémentaires. |
Flux de travail et rapports sur la gestion des incidents | Attribuer des tâches à l'une ou l'autre des parties internes pour faciliter la poursuite de l'enquête. |
Analyse des causes profondes | Inclure un certain nombre de flux de données externes pour compléter la collecte de données et obtenir une vision plus complète des risques. |
Gestion de crise | Identifier le flux de travail pour traiter en temps réel tout risque susceptible d'avoir un impact sur l'activité. |
Gestion des dossiers d'enquête | Tenir un registre de toutes les communications et de tous les documents relatifs à un risque identifié en vue d'y remédier. |
Planification des mesures d'atténuation des risques - Élaborer des plans pour s'assurer que des mesures d'atténuation appropriées sont prises afin de respecter l'appétit de l'organisation pour le risque. | |
Fonctionnalité de gestion de projet pour suivre l'avancement des initiatives, des audits ou des enquêtes liés aux risques. | Flux de travail bidirectionnel sur les mesures correctives pour permettre des discussions sur les registres de risques et la définition des dates et des coûts d'achèvement. |
Capacités de test de contrôle des risques, telles que la surveillance continue des contrôles. | Effectuer des évaluations récurrentes et intégrer les résultats de l'analyse du réseau externe cyber . |
Mise en correspondance des contrôles avec les risques, les processus opérationnels et les actifs technologiques. | Bibliothèque d'évaluations basées sur les contrôles standard du secteur qui correspondent au cadre de contrôle utilisé (par exemple CoBiT, ISO, NIST, etc.). |
Mise en correspondance des contrôles avec les exigences légales et les mandats de conformité | Un modèle de risque unifié qui met automatiquement en correspondance les informations recueillies lors des évaluations basées sur les contrôles et les cadres réglementaires. |
Suivi/rapport des KRI - Agréger et rapporter les niveaux de risque et les indicateurs clés de risque. | |
Tableau de bord des risques | Le registre des risques se remplit automatiquement à partir des enquêtes, avec une piste d'audit complète et la propriété des mesures correctives. |
Intégration de données externes (par exemple, les données d'évaluation de la vulnérabilité de la sécurité de l'information) | Surveillance instantanée et continue des fournisseurs cyber et des risques commerciaux, y compris les flux provenant de sources extérieures, avec hiérarchisation intelligente et enregistrement des risques. |
La capacité de lier les KRI aux mesures de performance | Visualisez tous les fournisseurs et triez-les par niveau, score de risque, catégorie, importance pour l'entreprise pour une meilleure visibilité. |
Quantification et analyse des risques - Réaliser une quantification et une analyse axées sur la réglementation. | |
Apprentissage automatique ou autres analyses basées sur l'intelligence artificielle (IA). |
|
"Capacités d'analyse de scénarios de risques "What if | |
Capacités de modélisation statistique (par exemple, simulation de Monte Carlo, valeur à risque et inférence statistique bayésienne). | |
Analyse prédictive | |
Allocation/calcul du capital | |
Capacités de détection des fraudes |
Si votre stratégie IRM ne tient pas compte de ces meilleures pratiques TPRM, agissez maintenant. Téléchargez le guide des meilleures pratiques, Navigating the Vendor Risk Lifecycle : Keys to Success at Every Stage, pour un examen complet des capacités requises pour prendre en compte les risques de tiers dans votre programme IRM.
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024
La gestion des risques liés aux tiers (TPRM) est passée du statut d'exercice annuel de liste de contrôle à celui de...
10/07/2024
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024