Управление рисками третьей стороны. Современные тенденции
Компания Prevalent (технологии безопасности, управление рисками) провела весной 2022 года представительный опрос бизнесменов и топ-менеджеров по вопросам управления рисками третьей стороны (third-party risk management - TPRM). В результате сформулированы следующие основные выводы:
Организации в целом стали уделять больше внимание рискам вне сферы кибербезопасности, но все еще недооценивают важность для репутации и финансовой устойчивости таких рисков как отмывание средств, современные формы «рабства» (принуждения к труду), взяточничество и коррупция.
Организации в основном согласны, что стратегия минимизации рисков третьей стороны имеет ключевое, преимущественное значение перед такими факторами как цена и эффективность. 75% опрошенных заявили, что TPRM сегодня в списке важнейших тем для обсуждения на заседаниях правления компаний.
По-прежнему доминируют ручные способы и методы оценки рисков, исходящих от партнеров, подрядчиков, но в то же время растет интерес к соответствующим программным продуктам, позволяющим в автоматическом режиме вести мониторинг угроз и рисков третьей стороны. Использование таких технологий за последний год выросло на 14%.
Организации обеспокоены разрушительными последствиями инцидентов безопасности, обусловленных просчетами третьей стороны. Однако многие компании продолжают пользоваться устаревшими, разрозненными, не интегрированными в единое целое инструментами выявления и анализа таких рисков.
45% респондентов сталкивались последние 12 месяцев с утечками служебной информации и другими инцидентами безопасности по вине третьей стороны. Половина организаций (51%) осуществляют мониторинг возможных утечек, 45% - отслеживают серые сегменты Всемирной паутины, 43% ведут бумажные и электронные таблицы - " спредшит" (spreadsheet) с обобщающей информацией о финансовом положении компании-партнера (баланс, счет прибылей и убытков, данные о продажах).
Организации слишком поздно узнают об инцидентах безопасности третьей стороны. 29% организациям требуется неделя и больше времени, чтобы определить, у кого из партнеров произошел инцидент. 35% респондентов заявляют, что проходит не менее двух дней, прежде чем удается понять, как инцидент влияет на бизнес процессы. 47% опрошенных заявляют, что еще одна неделя требуется, чтобы удостовериться, что партнер справился с возникшей проблемой. Таким образом, на выявление и устранение последствий инцидента требуется две с половиной недели. Слишком много.
Аудит рисков третьей стороны становится все более сложным и затратным по времени и финансам. 75% опрошенных получают от партнеров отчеты о том, как хранится передаваемая им служебная информация. 57% контролируют использование третьей стороной средств защиты информации. Вовлечение партнеров в сравнительно новую сферу рисков - решение экологических, социальных и управленческих проблем (ESG) - интересует 23% организаций.
Только 75% организаций осуществляют оценку рисков у потенциальных партнеров до заключения с ними контракта. Это означает, что другая четверть подвергается неизвестным рискам с самого начала взаимодействия с третьей стороной. От 61% до 68% отслеживают риски третьей стороны в ходе совместного бизнеса. Менее половины респондентов занимаются этим на завершающей стадии сотрудничества и после завершения контракта.
Авторы исследования предлагают следующие рекомендации:
-
Расширить и унифицировать систему управления рисками третьей стороны на основе единой платформы, объединив кибербезопасность с другими, не цифровыми инструментами разведки и анализа рисков и угроз, связанных с партнерами.
-
Автоматизировать реагирование на инциденты безопасности для экономии средств и времени.
-
Осуществлять мониторинг рисков третьей стороны до подписания контракта и на всем протяжении времени взаимодействия.
|