Nouvelles exigences de la SEC en matière de rapports sur la cybersécurité : Implications pour la gestion des risques des tiers

2. Centraliser la gestion des fournisseurs

Vous ne pouvez pas gérer ce que vous ne pouvez pas mesurer. Par conséquent, abandonnez les feuilles de calcul et inventoriez vos fournisseurs à l'aide d'une plateforme centralisée. Cela permettra à plusieurs équipes internes de participer à la gestion des fournisseurs et d'automatiser les processus dans l'intérêt de tous. Vous pouvez soit télécharger vos feuilles de calcul existantes sur une plateforme centrale, soit utiliser une API vers des systèmes d'approvisionnement ou d'autres systèmes d'enregistrement, soit demander aux parties prenantes internes de remplir un formulaire d'inscription des fournisseurs.

3. Établir le profil et le niveau de tous les vendeurs afin de prescrire la diligence raisonnable appropriée.

Une fois que vos fournisseurs sont gérés de manière centralisée, effectuez une évaluation des risques inhérents pour établir des profils de fournisseurs plus complets et pour déterminer la fréquence et la portée appropriées des évaluations futures. Lorsque vous établissez le profil et le classement de vos tiers, tenez compte d'attributs tels que :

• Les types de preuves que les vendeurs doivent fournir pour démontrer les contrôles requis
• La criticité du tiers pour les performances de votre entreprise
• Sites de l'entreprise et toute obligation légale ou réglementaire associée (par exemple, GDPR).
• La mesure dans laquelle les services de chaque tierce partie reposent sur des quatrièmes parties

4. Établir des cadences d'évaluation régulières

Une fois que vous avez intégré vos fournisseurs et évalué leur risque inhérent, l'étape suivante consiste à effectuer des évaluations de la diligence raisonnable. de diligence raisonnable. Ces évaluations peuvent varier en fonction des normes de contrôle et des exigences de conformité importantes pour votre organisation.

Voici quelques éléments importants à prendre en compte lors de la planification des évaluations :

• Vos contrats avec les fournisseurs obligent-ils les tiers à répondre aux évaluations des risques en temps voulu ?
• À quelle fréquence devez-vous évaluer chaque fournisseur ? Les résultats de la hiérarchisation calculés à l'étape 3 peuvent vous aider à prendre cette décision.
• Quel questionnaire sera utilisé pour recueillir des informations sur les contrôles de votre fournisseur ? Utiliserez-vous des enquêtes standard de l'industrie ou des enquêtes propriétaires ? Les enquêtes standard de l'industrie telles que SIG, NIST ou ISO peuvent simplifier la comparaison des fournisseurs. Des évaluations propriétaires ou personnalisées peuvent être nécessaires si vous avez des exigences uniques.
• Avez-vous la capacité d'examiner le contenu alternatif et les soumissions de preuves, par exemple lorsqu'un fournisseur soumet un rapport SOC 2 au lieu de remplir votre évaluation des risques ?

Les réponses à ces questions vous aideront à déterminer la méthode de collecte à utiliser. Par exemple, gérer la collecte vous-même, tirer parti des dépôts de questionnaires pré-remplis, confier la collecte à un partenaire, ou une combinaison de ces méthodes. Le niveau de ressources et d'expertise de votre organisation guidera probablement cette décision.

Quelle que soit la méthode de collecte, profitez des recommandations intégrées pour remédier aux risques jusqu'à un niveau tolérable pour l'entreprise.

5. Surveiller en permanence les tiers

Les évaluations périodiques, basées sur des questionnaires, sont excellentes, mais elles laissent toujours des lacunes en matière de visibilité. Vous pouvez combler ces lacunes en effectuant une surveillance continue de vos vendeurs et fournisseurs sur cyber . Les sources typiques de renseignements provenant de tiers ( cyber ) comprennent les forums criminels, les pages oignons, les forums d'accès spéciaux sur le dark web, les flux de menaces, les sites de collage d'informations d'identification ayant fait l'objet d'une fuite, les communautés de sécurité, les dépôts de code et les bases de données sur les vulnérabilités et les intrusions.

Cependant, toutes les attaques ne sont pas signalées par les sources énumérées ci-dessus. Des changements dans le comportement commercial ou les performances financières d'une entreprise peuvent signaler un changement de stratégie ou un manque de financement pour les défenses de cyber . Par conséquent, étendez votre surveillance aux sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances, telles que :

• Les affaires : Activités de fusion et d'acquisition, actualités commerciales, actualités négatives, informations réglementaires et juridiques, mises à jour opérationnelles.
• Financier : Chiffre d'affaires, bénéfices et pertes, fonds des actionnaires.
• Listes de sanctions mondiales : OFAC, UE, ONU, BOE, FBI, BIS, FDA, US HHS, UK FSA, SEC, etc.
• Contrôle des entreprises d'État
• Listes de personnes politiquement exposées (PEP)

Vous pouvez surveiller ces sources séparément ou utiliser une solution de surveillance du risque fournisseur pour centraliser ces informations dans votre programme de risque tiers.

6. Préparer les rapports d'audit à l'avance

Étant donné que la gestion des risques liés aux tiers sera un élément clé du contrôle dans les nouvelles exigences de la SEC, il est important de montrer les progrès réalisés en matière de conformité à ces exigences - pour les auditeurs externes et internes à votre organisation. Les rapports de conformité peut être complexe et prendre beaucoup de temps, c'est pourquoi des rapports intégrés pour les réglementations communes et les cadres sectoriels peuvent accélérer et simplifier le processus.

Obtenir une visibilité sur le niveau de conformité de chaque fournisseur peut faciliter votre reporting. Commencez par établir un seuil de pourcentage de conformité "réussi" par rapport à une catégorie de risque (par exemple, X% de conformité par rapport à un cadre ou une directive particulière). Tous les rapports seront liés à ce pourcentage de conformité, et votre équipe pourra se concentrer sur les sous-domaines où les taux de conformité sont faibles. Veillez également à effectuer des évaluations de conformité au niveau macro pour tous les fournisseurs, et pas seulement au niveau du fournisseur. Les rapports au niveau macro seront importants pour votre conseil d'administration, qui cherchera à déterminer dans quelle mesure votre organisation est conforme à la réglementation "à la mode".

Prochaines étapes

En fin de compte, le fait de disposer de données centralisées sur l'évaluation des risques pour tous les fournisseurs sur une seule et même plateforme permettra de.. :

• Permettre aux équipes de sécurité et de gestion des risques de gérer les risques avec plus de cohérence et de discipline, améliorant ainsi la gouvernance.
• Faciliter l'adhésion de l'entreprise aux initiatives de gestion des risques des tiers.
• Simplifier les rapports par rapport aux exigences d'audit périodique de la SEC

Prevalent peut vous aider. Téléchargez Navigating the Vendor Risk Lifecycle : Keys to Success at Every Stage pour des étapes et des conseils plus prescriptifs, ou demandez une démo.

pour discuter de vos besoins dès aujourd'hui.