Évaluez judicieusement les risques liés à vos tiers !

L'évaluation des risques par des logiciels libres doit être associée à des identificateurs de risques multiples.
Par :
Brenda Ferraro
,
Vice-président des risques liés aux tiers
06 juin 2018
Partager :
Blog Laptop

Si vous êtes un praticien du risque tiers en entreprise, il y a de fortes chances que vous lisiez ce blog dans un aéroport, en attendant votre prochain vol. Après tout, c'est la saison des conférences, sommets et forums du secteur des tiers. Comme vous, j'ai vécu dans ma valise le mois dernier, en tant que participant et présentateur à divers événements, pour écouter et apprendre. Dans toutes les discussions, un thème central a émergé autour du sujet de l'évaluation des risques, avec la perception que les rapports et les tableaux de bord open source sont un moyen adéquat de fournir une évaluation précise pour réduire le paysage des risques d'une organisation lors de la manipulation ou du traitement des données. Mais attendez...

La perception n'est pas la réalité

Oui, j'insiste sur le mot "perception", car prendre un instantané du risque, qu'il s'agisse de renseignements sur les cybermenaces ou de renseignements commerciaux, n'est que cela : un instantané. Les catégories de couleur, de nombre et d'alpha que les sociétés d'évaluation des risques fournissent aujourd'hui piquent mon intérêt, mais si elles ne sont pas utilisées de manière appropriée, elles conduiront très certainement à un faux sentiment de sécurité. Je félicite les organisations qui utilisent ces informations de manière appropriée. Cependant, pour celles qui mettent tous leurs œufs dans le même panier et qui comptent fortement sur le score pour fournir la diligence raisonnable nécessaire, je vous invite à la prudence.

Ne vous méprenez pas, l'évaluation des risques liés aux logiciels libres est une mesure destinée à informer les organisations des actions à entreprendre. En voici quelques exemples :

  • Aide à la priorisation de la diligence raisonnable des tiers
  • Détermination de la sélection des demandes de propositions ou d'informations
  • Déterminer les domaines d'amélioration des pratiques de sécurité
  • Identifier les informations qui sont accessibles aux conseillers

N'oublions pas que dans certains programmes tiers matures, il peut également vous informer d'un événement en temps réel qui nécessite une gestion immédiate de l'incident/de la crise. Mais il est essentiel d'examiner la manière dont vous mettez en œuvre les outils de notation et de déterminer les seuils de ce qui est acceptable pour votre appétit pour le risque et vos programmes. Pour ceux qui cherchent à utiliser les outils de classement des risques pour la première fois, une approche évolutive de la manière dont vous absorbez et utilisez les informations pour appliquer le contenu de manière responsable peut contrôler la manière de réduire les risques et distinguera votre programme de gestion des tiers des autres. Par exemple, les pratiques de sécurité matures utilisent les rapports d'évaluation des flux de sources ouvertes pour créer un partenariat avec leurs tiers de manière à aider ces derniers à améliorer leur posture de sécurité grâce à une nouvelle prise de conscience. En même temps, il est inquiétant de voir que les rapports d'évaluation sont positionnés d'une manière qui aboutit finalement à une décision d'exclure le tiers sur la base d'un rapport mal interprété.

L'évaluation des risques liés aux logiciels libres n'est qu'une pièce du puzzle.

La notation du risque comporte de multiples facettes. La notation du risque lié aux sources ouvertes n'est qu'un indicateur qui doit être associé aux quatre identificateurs de risque suivants :

  • Questionnaires de sécurité remplis (informations fiables)
  • Rapports d'évaluation sur place (informations sur la validation)
  • Plans de remédiation des risques acceptés (informations sur l'acceptation)
  • Événements et incidents en temps réel (informations en temps réel)

L'utilisation d'une technique de notation segmentée est le meilleur moyen d'obtenir une image holistique de la sécurité des tiers. Votre relation avec les tiers dépend de l'évaluation de tous les identificateurs de risque. N'oubliez donc pas qu'une partie fondamentale de l'évaluation continue du risque est fournie par les rapports de source ouverte, mais n'oubliez pas les identificateurs de risque qui reflètent l'image complète de votre risque de tiers.

En savoir plus sur l'approche globale de la gestion des risques liés aux tiers adoptée parPrevalent.

Brenda Ferraro est directrice principale à Prevalent, Inc. C'est une praticienne du risque de tierce partie très recherchée, qui a été reconnue par les organismes de réglementation, les centres d'analyse et de sécurité de l'information (ISAC) et les organisations du cadre normalisé de tierce partie. Elle apporte une attention toute particulière aux risques liés aux tiers en mettant à disposition son expérience en matière de mesures, de rapports et de maîtrise des processus afin de conduire les entreprises vers un écosystème de solutions uniques qui permet de surmonter les complexités de la gouvernance des risques liés aux tiers.

Tags :
Partager :
Leadership brenda ferraro 2
Brenda Ferraro
Vice-président des risques liés aux tiers

Brenda Ferraro possède plusieurs années d'expérience de première main dans la gestion des risques liés aux fournisseurs, aux services et aux entreprises de traitement des données. Dans sa quête pour réduire les risques liés aux tiers, elle a organisé une myriade de parties prenantes et conçu une approche pour gérer les risques, qui a été reconnue par les régulateurs et une multitude de centres d'analyse et de sécurité de l'information (ISAC). Dans son rôle avec Prevalent, Brenda travaille avec les entreprises pour construire des écosystèmes de solutions uniques qui éliminent les complexités de la gestion des risques des tiers par le biais d'une plate-forme, d'un cadre et d'une méthodologie de gouvernance communs, simples et abordables. Avant de rejoindre Prevalent, Brenda a dirigé des organisations dans le cadre de la normalisation des contrôles, de la réponse aux incidents, de l'amélioration des processus, de l'établissement de rapports basés sur des données et de la gouvernance dans des entreprises telles que Aetna, Coventry, Arrowhead Healthcare Centers, PayPal/eBay, Charles Schwab et Edwards Air Force Base. Elle est titulaire des certifications vBSIMM, CTPRP, ITIL et CPM.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo