20 декабря 2023 г.

Рис. 1. Способность служб ИБ обеспечить три составляющих эффективного управления сторонними рисками кибербезопасности. Эффективность ресурсов / Управление рисками и устойчивость / Влияние на принятие бизнес-решений. Источник: Gartner

Несмотря на увеличение инвестиций в управление рисками кибербезопасности со стороны контрагентов (TPCRM) за последние два года, 45% организаций столкнулись с нарушениями бизнеса, вызванными третьими сторонами, сообщает Gartner.

«Управление рисками кибербезопасности со стороны контрагентов часто требует ресурсов, слишком ориентировано на процесс и не приносит особых результатов, — пишет в пресс-релизе Закари Смит (Zachary Smith), старший директор по исследованиям Gartner. — Командам кибербезопасности плохо удается выстроить устойчивость к проблемам из-за контрагентов и повлиять на связанные с этим бизнес-решения».

Исследование проводилось в июле-августе этого года; оно охватывало 376 руководителей высшего звена, отвечающих за управление сторонними киберрисками в компаниях разного размера из разных отраслей и регионов.

Эффективность TPCRM определяется тремя факторами

Успешное управление сторонними рисками кибербезопасности зависит от способности службы ИБ обеспечить три вещи: эффективность ресурсов, управление рисками и устойчивость, и влияние на принятие бизнес-решений. Однако компаниям трудно реализовать даже два из этих трех требований, и лишь 6% обеспечивают все три (см. рис. 1).

Меры по управлению сторонними рисками кибербезопасности

Основываясь на результатах опроса, эксперты Gartner рекомендуют комплекс из четырех мер, которые должны предпринять руководители служб ИБ и управления рисками, чтобы повысить свою эффективность в управлении сторонними киберрисками. Исследование показало, что организации, реализовавшие какие-либо из этих мер, смогли повысить эффективность TPCRM на 40-50%.

Эти меры следующие:

  1. Регулярно анализируйте, насколько эффективно риски, связанные с третьими сторонами, доводятся до сведения тех, кто отвечает за бизнес в контрагентских отношениях. Директора по ИБ должны предоставить конкретную информацию о рисках, позволяющую действовать, и убедиться в ее понимании.
  2. Отслеживайте решения по договорам с контрагентами, чтобы помочь управлять принятием рисков ответственными за эти отношения. Ответственные за бизнес с контрагентами часто предпочитают работать с третьей стороной, даже если вполне осведомлены о связанных с этим киберрисках. Отслеживание их решений помогает командам ИБ выстраивать компенсирующие механизмы по принятым рискам и предупреждает о сильно рискующих руководителях, за которыми может потребоваться особый надзор.
  3. Планируйте реагирование на инциденты у контрагентов (напр., набор сценариев, теоретический тренинг). Эффективное TPCRM не ограничивается выявлением рисков кибербезопасности и составлением отчетов о них. Директора по ИБ должны обеспечить, чтобы у организации был надежный план действий в чрезвычайных обстоятельствах; это позволит подготовиться к непредвиденным сценариям и быть в состоянии успешно восстановиться после инцидента.
  4. Взаимодействуйте с критически важными контрагентами, чтобы их практика управления рисками безопасности достигла зрелости, как то требуется. В сегодняшней тесно взаимосвязанной деловой среде риск критически важного контрагента является также риском самой организации. Партнерство с такими контрагентами в совершенствовании их практики управления рисками безопасности способствует прозрачности и успешному деловому сотрудничеству.

Источник: Пресс-служба компании Gartner