Au cours de mes 20 années de travail dans les domaines de la cybersécurité, de la confidentialité des données, de l'audit, de la conformité et du conseil, j'ai tiré de précieuses leçons. Par exemple, lors du déploiement du programme de gestion des risques des tiers (TPRM) dans une entreprise de soins de santé figurant au classement Fortune 10, j'ai découvert à quel point il est essentiel d'anticiper les besoins des auditeurs et des examinateurs du programme.
En fait, la simplification des initiatives de conformité a été l'un des principaux moteurs de tous les programmes de TPRM auxquels j'ai participé, et j'ai dû surmonter de nombreux obstacles en cours de route. Voici cinq des principaux écueils que j'ai rencontrés en matière de conformité au TPRM, ainsi que des conseils sur la manière de les surmonter.
La collecte de preuves documentées des contrôles, des processus et des procédures est au cœur de tous les audits de conformité. Cependant, lorsque je travaille avec des clients, je constate souvent que leur documentation est dépassée, obsolète et/ou incohérente par rapport aux réglementations actuelles et aux meilleures pratiques. Dans de nombreux cas, il n'y a aucune indication de propriété, de révision ou d'approbation - et les outils et techniques requis ne sont souvent pas annexés aux procédures existantes. Pire encore, la plupart des documents que j'ai examinés n'étaient pas suffisamment bien rédigés pour que les nouveaux membres de l'équipe puissent se les approprier si nécessaire.
La plupart des programmes de TPRM font de leur mieux pour respecter les exigences réglementaires et les normes industrielles, mais nombre d'entre eux ne sont pas alignés sur les politiques et les normes de l'entreprise ou de l'organisation. En voici quelques exemples :
Aller au-delà des politiques approuvées de l'entreprise expose votre organisation à des risques inutiles et pourrait avoir pour conséquence que votre projet ne reçoive pas le financement dont il a besoin pour être couronné de succès.
Le fait de ne pas mesurer les progrès accomplis dans la réalisation des objectifs en matière de risques ralentira le processus d'audit. Examinez honnêtement vos mesures existantes. Par exemple, sont-ils.. :
L'un des principaux défis des nouveaux programmes de TPRM est de savoir qui sont les vendeurs et les fournisseurs. Certains peuvent être gérés par l'équipe de sécurité informatique, tandis que d'autres le sont par le service des achats ou un autre service. L'absence d'une liste de fournisseurs faisant autorité peut bloquer votre projet de TPRM. C'est pourquoi il est important de déterminer qui possède et tient à jour l'inventaire des fournisseurs de votre organisation.
Veillez à ce que la documentation relative à la politique de gestion de la relation client reflète la propriété de votre groupe ou fasse référence à la politique du propriétaire. En outre, synchronisez régulièrement les équipes impliquées dans la gestion des inventaires de fournisseurs, telles que les services d'approvisionnement, les propriétaires d'entreprise, les services juridiques et (en dernier recours) les services de comptabilité fournisseurs.
Trop de programmes de TPRM fonctionnent en mode réactif et sont constamment sur la brèche. C'est l'aboutissement des quatre erreurs de conformité précédentes, où les programmes manquent de documentation, de politiques, de mesures et/ou d'un inventaire central des fournisseurs. Une approche plus proactive de la conformité au TPRM rationalisera vos opérations, vous permettra de mettre à jour la documentation au fur et à mesure des changements, et ouvrira les lignes de communication avec les parties prenantes en ce qui concerne les mesures et les autres besoins du programme.
Regarder le webinaire
Rejoignez Tom Garrubba, directeur des services de gestion des risques liés aux tiers chez Echelon Risk + Cyber, qui décortique les principales erreurs de conformité des programmes de gestion des risques liés aux tiers.
Voici quatre conseils pour adopter une approche plus proactive de la conformité au TPRM :
Votre solution de TPRM doit vous permettre (ainsi qu'à vos fournisseurs) de télécharger la documentation, les politiques, les preuves, etc. vers des profils de fournisseurs centralisés. Elle doit également être en mesure d'analyser la documentation à l'aide de mots-clés afin de déterminer la pertinence des preuves. Si l'analyse révèle un faible niveau d'adhésion, votre solution TPRM doit vous permettre de demander automatiquement au fournisseur de fournir des documents supplémentaires ou mis à jour.
Lorsque vous établissez ou affinez votre programme de gestion des risques liés aux tiers, envisagez de formaliser les éléments suivants :
Chacun de ces éléments est essentiel à l'élaboration d'un plan de programme de gestion des risques technologiques complet, capable de résister à l'examen des auditeurs.
Les domaines KPI/KRI à prendre en considération sont les suivants
Prevalent propose un livre électronique sur les KPI/KRI qui énumère 25 des mesures les plus importantes à prendre en compte dans le cadre de votre programme de TPRM.
Votre solution de TPRM doit vous permettre de créer un inventaire des fournisseurs, soit en téléchargeant une feuille de calcul contenant des informations de profil, soit en utilisant une connexion API avec une solution existante d'approvisionnement ou de comptabilité fournisseurs. Au fur et à mesure que vous intégrez des tiers dans votre inventaire central, établissez des profils comprenant des informations démographiques, la propriété effective, les technologies de quatrième partie, les scores ESG, les récentes informations sur les activités et la réputation, l'historique des violations de données, les récentes conclusions réglementaires et les performances financières. Le fait de disposer de ces informations en un seul endroit facilitera considérablement tous les autres processus de gestion des risques technologiques.
Pour plus de conseils sur le renforcement de votre programme de gestion des risques liés aux tiers et l'amélioration de votre préparation au prochain audit, consultez mon webinaire à la demande avec Prevalent, The Top Third-Party Risk Management Compliance Mistakes (Les principales erreurs de conformité en matière de gestion des risques liés aux tiers).
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024
La version finale du NIST CSF 2.0 fournit des orientations améliorées en matière de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement. Vérifier...
09/25/2024
Découvrez comment l'intégration du cadre de protection de la vie privée du NIST à la gestion des risques des tiers (TPRM) permet aux organisations d'améliorer...
09/12/2024