Wzmocnienie zarządzania ryzykiem związanym z cyberbezpieczeństwem podmiotów zewnętrznych

Niedawno opublikowany raport badawczy pt. „Wzmocnienie zarządzania ryzykiem cyberbezpieczeństwa związanego z podmiotami zewnętrznymi przez instytucje finansowe”.

Jako osoba głęboko zainteresowana (i zajmująca się) ryzykiem cyberbezpieczeństwa w łańcuchu dostaw mogę stwierdzić, że jest to naprawdę dobra publikacja.

W jasny sposób wyjaśnia ona kluczowe oczekiwania regulacyjne oraz główne elementy składowe TPRM/TPCRM. Zawiera również przydatny przegląd różnic w praktykach między regionami oraz tego, jak te podejścia przekładają się na kontekst japońskiego sektora finansowego.

Foto: Freepik

Dla zespołów odpowiedzialnych za zarządzanie ryzykiem transakcyjnym (TPRM), zaopatrzenie, odporność operacyjną oraz bezpieczeństwo łańcucha dostaw jest to świetny materiał do przeczytania i omówienia wewnątrz firmy – nie jako teoria, ale jako źródło konkretnych pomysłów na usprawnienia.

Dlaczego warto zapoznać się z tym raportem

☑️ Główne instytucje finansowe w USA/UE/Wielkiej Brytanii uznały cyberzagrożenia związane z podmiotami zewnętrznymi za odrębną dziedzinę ryzyka w ramach TPRM, a działy ds. cyberbezpieczeństwa pełnią rolę ekspertów w tej dziedzinie, a nie „właścicieli” całej struktury TPRM.

☑️ Raport pokazuje, że klasyfikacja nie ogranicza się wyłącznie do podziału na „krytyczne” i „niekrytyczne”. Instytucje klasyfikują podmioty zewnętrzne w wielu wymiarach, na przykład:

➡️ strona trzecia a strona n-ta,

➡️ wewnątrzgrupowa a zewnętrzna,

➡️ objęta zakresem TPRM a poza zakresem TPRM,

➡️ krytyczność (odporność operacyjna),

➡️ poziomy ryzyka nieodłącznego/resztkowego,

➡️ kategoria/rodzaj usługi (technologiczna a nietechnologiczna).

☑️ Dotyczy to kilku obszarów, które wiele organizacji nadal traktuje jako „opcjonalne”:

➡️ Podmioty n-tego rzędu (często ograniczone operacyjnie do monitorowania podmiotów czwartego rzędu oraz ograniczania ryzyka poprzez ocenę sposobu, w jaki podmiot trzeciego rzędu zarządza swoimi podwykonawcami)

➡️ Ryzyko koncentracji (koncentracja usług, geograficzna i koncentracja stron n-tych) oraz wizualizacja za pomocą narzędzi TPRM

➡️ Bieżące monitorowanie z wykorzystaniem narzędzi analizy cyberzagrożeń, oceny ryzyka oraz monitorowania dark web

➡️ Prawa do audytu i klauzule dotyczące kontroli na miejscu jako standardowa praktyka umowna, z wyraźnie określonymi minimalnymi środkami bezpieczeństwa wymaganymi w umowie

➡️ Strategie i plany wyjścia, w tym testy symulacyjne i aktualizacje

➡️ Podręczniki reagowania na incydenty stron trzecich oraz współpraca między właścicielami umów a zespołami reagowania na incydenty cybernetyczne

➡️ Raport odnotowuje działania w zakresie SBOM (wciąż często na etapie pilotażowym) i wyraźnie łączy przejrzystość typu SBOM z szerszymi przyszłymi potrzebami (AIBOM, BOM sprzętu), a nawet koncepcjami inwentarza kryptograficznego istotnymi dla migracji postkwantowej.

☑️ Wyraźnie wyjaśnia, dlaczego Excel zawodzi przy dużej skali i dlaczego dojrzałe organizacje korzystają z narzędzi do obsługi rejestrów/przepływów pracy/kwestionariuszy

Link

Autor: Sebastian Burgemejster