Comment choisir les bons indicateurs de risque de tiers à communiquer au conseil d'administration ?

Les équipes chargées de la sécurité doivent souvent traiter un grand nombre de données pour présenter quelques indicateurs significatifs aux dirigeants. La résolution des problèmes systémiques dans les programmes de gestion des risques des tiers peut simplifier le processus.
Par :
Bryan Littlefair
,
PDG de Cambridge Cyber Advisers
07 avril 2021
Partager :
Conseil de mesure des risques du blog 0421

Ayant été CISO pour de grandes sociétés multinationales pendant plus de 20 ans, j'ai créé, dirigé et fait évoluer des programmes de gestion des risques de tiers pour des organisations très complexes. Cette expérience m'a beaucoup appris, notamment ce qui a fonctionné et ce qui n'a pas fonctionné. Aujourd'hui, en tant que PDG de Cambridge Cyber Advisers, je suis assis de l'autre côté de la table du conseil d'administration, travaillant aux côtés du président du conseil d'administration pour aider le RSSI à réduire au maximum les risques sur l'ensemble du spectre de la sécurité.

Dans mon rôle de conseiller du conseil d'administration, j'observe souvent que des mesures et des données complexes sont transmises à la direction par l'équipe de sécurité. Trop souvent, une grande partie du message et des résultats souhaités se perdent dans la traduction, car l'équipe de sécurité doit reformuler les données pour des publics non concernés par la sécurité. Pour y parvenir, l'équipe de sécurité crée son propre ensemble de mesures significatives.

Dans cet article, je définirai les indicateurs significatifs, j'évoquerai les difficultés que je rencontre pour déterminer les bons indicateurs à communiquer au conseil d'administration et je décrirai une approche mature de la communication des indicateurs de risque par des tiers.

Que sont les mesures significatives et comment s'appliquent-elles à la gestion des risques liés aux tiers ?

Les rapports de sécurité doivent être clairs et concis, et aucun autre domaine n'est plus critique que celui de l'assurance des tiers. L'assurance tierce partie est l'un des domaines de risque les plus difficiles à quantifier et à gérer du point de vue du RSSI, et ce pour trois raisons :

  1. la grande taille des écosystèmes tiers
  2. le niveau constant de changement parmi les fournisseurs
  3. les défis en matière de ressources que pose la gestion simultanée de milliers de fournisseurs

Des mesures significatives sont donc nécessaires pour présenter clairement un ensemble consolidé d'indicateurs clés de performance (ICP) et d'indicateurs clés de risque (ICR) aux dirigeants ou aux membres du conseil d'administration. Ces mesures réduisent la nécessité d'analyser des tableaux de bord de sécurité vastes et complexes en distillant les implications réelles de la sécurité derrière les chiffres.

Un exemple de mesure significative est le temps moyen de détection (MTTD). Cette mesure montre au conseil d'administration l'efficacité avec laquelle vous détectez les problèmes au sein de la chaîne d'approvisionnement, les performances des indicateurs clés de performance (KPI) et des indicateurs clés de performance (KRI), et comprend des informations sur les aspects techniques, les processus et la culture. Les détails supplémentaires sont toujours disponibles si nécessaire, mais il est important de présenter une mesure consolidée et significative en premier lieu.

Webinaire à la demande : Distiller des mesures utiles à partir de données sur les risques provenant de tiers

Rejoignez Bryan Littlefair, PDG de Cambridge Cyber Advisers, pour apprendre comment mettre en œuvre des mesures significatives pour une analyse plus efficace des risques par des tiers.

Pourquoi les rapports sur la gestion des risques par des tiers représentent-ils un tel défi ?

Les défis en matière de rapports sur la gestion des risques liés aux tiers peuvent être simplifiés en trois catégories : approche, ressources et outils. Par exemple, si l'équipe de sécurité ne dispose pas de la bonne stratégie en matière d'assurance des tiers, il est purement tactique d'expliquer comment la fonction va gérer les risques dans l'ensemble des fournisseurs. L'équipe doit plutôt mettre en balance les ressources nécessaires pour gérer les risques à un niveau acceptable et la maturité du processus. Après tout, une approche immature nécessitera davantage de ressources (par exemple, budget, personnel, temps, etc.) pour fonctionner. C'est pourquoi l'outillage est essentiel pour embrasser l'innovation et s'éloigner de l'utilisation de feuilles de calcul pour gérer le risque fournisseur.

3 étapes pour une approche mature de la gestion des risques liés aux tiers

Une approche mature pour fournir une assurance par un tiers et des mesures significatives ressemble à ce qui suit :

  1. Passez du temps avec les parties prenantes de l'entreprise pour vous assurer que les exigences et les résultats attendus sont clairs.
  2. Développez un programme interne qui non seulement englobe les exigences tactiques de l'entreprise, mais adopte également une approche stratégique de la gestion du risque fournisseur.
  3. Garantissez des processus optimaux et efficaces en utilisant des outils spécifiquement développés pour l'assurance tierce partie. Les bons outils vous permettront d'avoir une vue en temps quasi réel du risque lié à vos fournisseurs, au lieu de vous laisser dépendre uniquement des évaluations annuelles.

Il s'agit d'améliorations pratiques que toute équipe de sécurité peut adopter afin d'améliorer la maturité de son processus d'assurance tierce partie et d'articuler des mesures de risque significatives pour l'entreprise.

Pour en savoir plus, consultez la version à la demande de mon webinaire, Distilling Useful Metrics From the Pile of Third-Party Risk Data. Ou contactez Prevalent dès aujourd'hui pour en savoir plus sur leurs solutions de gestion des risques liés aux tiers.

Tags :
Partager :
Bryan littlefair
Bryan Littlefair
PDG de Cambridge Cyber Advisers

Bryan Littlefair est PDG de Cambridge Cyber Advisers, blogueur invité et animateur de webinaire pour Prevalent, Inc. Il a notamment occupé des postes de RSSI au niveau mondial chez Vodafone Group et Aviva. Cambridge Cyber Advisers est une société de conseil et de consultation spécialisée cyber . Elle fournit un ensemble de services sur mesure basés sur son expérience de la gestion de la sécurité et de la technologie pour certaines des marques les plus importantes et les plus précieuses du monde.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo