J'ai récemment rencontré Peter Lesser, directeur de la technologie mondiale chez Skadden, Arps, Slate, Meagher & Flom LLP, pour discuter de la manière dont les nièmesparties, les certifications et les tests basés sur des scénarios de réponse aux incidents sont essentiels à l'assurance et à la résilience des tiers. Nous avons également abordé la nécessité d'une approche communautaire de la gestion des risques liés aux fournisseurs, à l'instar de ce que l'on trouve dans les secteurs très convoités de la finance et de la santé, connus pour avoir une longueur d'avance sur un écosystème tiers unique. Dans le monde juridique, on pourrait penser qu'une approche collaborative pourrait être compliquée, simplement en raison de la nature de leur travail. Je suis heureux d'annoncer que le secteur juridique a réussi à former une communauté Legal Vendor Network qui s'accorde sur un cadre, un questionnaire, une évaluation et un écosystème de remédiation tiers unique. En outre, ils y sont parvenus plus rapidement que les secteurs plus importants !
"Je pense que nous avons beaucoup de chance que la communauté juridique soit très soudée et que nous n'ayons pas l'impression d'être en concurrence les uns avec les autres. En fait, les cabinets d'avocats n'utilisent jamais le terme "concurrent" ; ils utilisent le terme "pair". Il y a toute cette nature familière de la façon dont nous nous traitons les uns les autres et de la façon dont nous avons des relations les uns avec les autres, et nous voyons cela comme une communauté qui réussit ou non, ensemble. Il est dans l'intérêt de tous de travailler en équipe." Peter Lesser
De nombreuses organisations révèlent qu'elles n'ont pas recours à des évaluations par des tiers pour savoir où circulent les données et si une évaluation et une diligence raisonnable sont appliquées aux points d'arrivée des flux de données. Alors, que pouvez-vous faire ? Voici un conseil : soyez agressif ! Parlez à vos fournisseurs pour en savoir plus sur leurs relations commerciales, afin de mieux comprendre les couches successives de fournisseurs et, en fin de compte, où les données circulent. Il peut être aussi simple que d'exiger de vos fournisseurs qu'ils se conforment à vos règles et d'appliquer ces règles à leur tour. Cependant, l'obligation contractuelle et la responsabilité restent un défi. Du point de vue de la sécurité, nous savons tous que quelqu'un aura un problème à un moment donné.
Comme si cela n'était pas assez difficile, la transformation numérique massive des centres de données sur site vers des infrastructures en nuage ajoute une toute nouvelle couche de risque. Quelqu'un sait-il vraiment où se trouvent ses données ? Certes, le cloud peut fournir une couche de protection, mais vos vendeurs et les vendeurs de vos vendeurs comprennent-ils l'importance de la sécurité et de la validation du cloud ? Cela a conduit certaines entreprises juridiques à internaliser autant que possible. En outre, les petits, moyens et grands fournisseurs sont tous vulnérables aux violations ; en fait, la plupart en ont déjà subi une. La question n'est plus de savoir "QUAND" nos données sont exposées, mais "SI" l'exposition est suffisamment importante pour causer des dommages à la marque. Le Legal Vendor Network s'est concentré sur le flux de données afin de minimiser l'impact et de se préparer aux ramifications d'une violation "SI" elle se produit. Dans de nombreux cas, cette orientation correspond à ce que font des secteurs verticaux beaucoup plus importants que le secteur juridique, mais le Legal Vendor Network s'y prend de manière plus collaborative.
Je pense que le Legal Vendor Network est un excellent exemple de ce que nous pouvons faire, lorsque nous travaillons en tant que communauté, pour créer quelque chose dont il y a un grand besoin, mais qu'aucun d'entre nous n'est assez grand pour avoir les moyens de faire tout seul. Peter Lesser
Du point de vue de la certification, le secteur juridique considère les certifications comme une attente de l'industrie. Ce que chaque organisation fait des recommandations d'amélioration de la certification détermine si la certification est significative ou non. Si les certifications sont intéressantes du point de vue du développement du client, elles le seront aussi du point de vue du secteur. La valeur la plus significative est lorsqu'une organisation reçoit des instructions pour commencer à construire un programme de sécurité structuré avec tous les éléments qui s'y superposent du point de vue des processus, des personnes, des politiques et des outils. Pour les organisations qui ne disposent pas d'une structure mature, la certification aidera à faire évoluer leur programme plus rapidement que la seule croissance organique. La valeur de la certification dépend du degré de maturité de votre organisation au début du processus. Le Legal Vendor Network a adopté les certifications et utilise les certifications et les normes qui ont le plus de valeur pour son organisation en fonction de sa maturité structurée actuelle.
Le Legal Vendor Network identifie deux voies distinctes pour la résilience : la première est un plan de reprise après sinistre basé sur la technologie pour récupérer les services avec des délais spécifiques et une tolérance à la perte de données, et la seconde est un programme global de gestion de crise qui effectue régulièrement des tests basés sur des scénarios de réponse aux incidents. Les ressources du niveau le plus élevé de la direction sont impliquées dans les plans d'intervention sévères, et la communication est testée en interne et en externe, jusqu'aux communiqués de presse publics. L'implication des tiers se fait par le biais d'exercices sur table. Les résultats du test permettent aux entreprises de faire évoluer leurs pratiques de sécurité afin d'être aussi résilientes que possible en cas de violation. N'oublions pas d'inclure nos amis de la police scientifique. Assurez-vous d'avoir les coordonnées des personnes à contacter à portée de main et incluez-les dans vos exercices sur table pour garantir un soutien à la gestion de crise bureau par bureau.
En somme, il s'agit d'une collaboration entre les cabinets d'avocats, qui ont trouvé la méthodologie, le cadre et l'approche les plus efficaces pour accélérer la gestion de la vulnérabilité.
Apprenez-en davantage sur le réseau de fournisseurs juridiquesPrevalent pour vous aider à minimiser le temps et le coût de l'évaluation des fournisseurs tout en vous assurant que les risques liés aux fournisseurs nécessaires sont correctement examinés.
Écoutez Brenda Ferraro et Peter Lesser discuter de ce sujet et de bien d'autres encore lors de la conférence The Legal Vendor Network's Taste for Third-Party Collaboration.
Brenda Ferraro est directrice principale à Prevalent, Inc. C'est une praticienne du risque de tierce partie très recherchée, qui a été reconnue par les organismes de réglementation, les centres d'analyse et de sécurité de l'information (ISAC) et les organisations du cadre normalisé de tierce partie. Elle apporte une attention toute particulière aux risques liés aux tiers en mettant à disposition son expérience en matière de mesures, de rapports et de maîtrise des processus afin de conduire les entreprises vers un écosystème de solutions uniques qui permet de surmonter les complexités de la gouvernance des risques liés aux tiers.
Les récentes brèches rappellent aux cabinets d'avocats qu'ils doivent examiner leurs programmes de gestion des risques liés aux tiers. Ici...
03/10/2021
Nouvelles options flexibles pour s'adapter au niveau requis de surveillance des fournisseurs.
08/15/2019