Ayant été CISO pour de grandes sociétés multinationales pendant plus de 20 ans, j'ai créé, dirigé et fait évoluer des programmes de gestion des risques de tiers pour des organisations très complexes. Cette expérience m'a beaucoup appris, notamment ce qui a fonctionné et ce qui n'a pas fonctionné. Aujourd'hui, en tant que PDG de Cambridge Cyber Advisers, je suis assis de l'autre côté de la table du conseil d'administration, travaillant aux côtés du président du conseil d'administration pour aider le RSSI à réduire au maximum les risques sur l'ensemble du spectre de la sécurité.
Dans mon rôle de conseiller du conseil d'administration, j'observe souvent que des mesures et des données complexes sont transmises à la direction par l'équipe de sécurité. Trop souvent, une grande partie du message et des résultats souhaités se perdent dans la traduction, car l'équipe de sécurité doit reformuler les données pour des publics non concernés par la sécurité. Pour y parvenir, l'équipe de sécurité crée son propre ensemble de mesures significatives.
Dans cet article, je définirai les indicateurs significatifs, j'évoquerai les difficultés que je rencontre pour déterminer les bons indicateurs à communiquer au conseil d'administration et je décrirai une approche mature de la communication des indicateurs de risque par des tiers.
Les rapports de sécurité doivent être clairs et concis, et aucun autre domaine n'est plus critique que celui de l'assurance des tiers. L'assurance tierce partie est l'un des domaines de risque les plus difficiles à quantifier et à gérer du point de vue du RSSI, et ce pour trois raisons :
Des mesures significatives sont donc nécessaires pour présenter clairement un ensemble consolidé d'indicateurs clés de performance (ICP) et d'indicateurs clés de risque (ICR) aux dirigeants ou aux membres du conseil d'administration. Ces mesures réduisent la nécessité d'analyser des tableaux de bord de sécurité vastes et complexes en distillant les implications réelles de la sécurité derrière les chiffres.
Un exemple de mesure significative est le temps moyen de détection (MTTD). Cette mesure montre au conseil d'administration l'efficacité avec laquelle vous détectez les problèmes au sein de la chaîne d'approvisionnement, les performances des indicateurs clés de performance (KPI) et des indicateurs clés de performance (KRI), et comprend des informations sur les aspects techniques, les processus et la culture. Les détails supplémentaires sont toujours disponibles si nécessaire, mais il est important de présenter une mesure consolidée et significative en premier lieu.
Webinaire à la demande : Distiller des mesures utiles à partir de données sur les risques provenant de tiers
Rejoignez Bryan Littlefair, PDG de Cambridge Cyber Advisers, pour apprendre comment mettre en œuvre des mesures significatives pour une analyse plus efficace des risques par des tiers.
Les défis en matière de rapports sur la gestion des risques liés aux tiers peuvent être simplifiés en trois catégories : approche, ressources et outils. Par exemple, si l'équipe de sécurité ne dispose pas de la bonne stratégie en matière d'assurance des tiers, il est purement tactique d'expliquer comment la fonction va gérer les risques dans l'ensemble des fournisseurs. L'équipe doit plutôt mettre en balance les ressources nécessaires pour gérer les risques à un niveau acceptable et la maturité du processus. Après tout, une approche immature nécessitera davantage de ressources (par exemple, budget, personnel, temps, etc.) pour fonctionner. C'est pourquoi l'outillage est essentiel pour embrasser l'innovation et s'éloigner de l'utilisation de feuilles de calcul pour gérer le risque fournisseur.
Une approche mature pour fournir une assurance par un tiers et des mesures significatives ressemble à ce qui suit :
Il s'agit d'améliorations pratiques que toute équipe de sécurité peut adopter afin d'améliorer la maturité de son processus d'assurance tierce partie et d'articuler des mesures de risque significatives pour l'entreprise.
Pour en savoir plus, consultez la version à la demande de mon webinaire, Distilling Useful Metrics From the Pile of Third-Party Risk Data. Ou contactez Prevalent dès aujourd'hui pour en savoir plus sur leurs solutions de gestion des risques liés aux tiers.
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024
La gestion des risques liés aux tiers (TPRM) est passée du statut d'exercice annuel de liste de contrôle à celui de...
10/07/2024
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024