Gartner: за последние два года 45% организаций столкнулись с нарушениями бизнеса из-за контрагентов
20 декабря 2023 г.
Несмотря на увеличение инвестиций в управление рисками кибербезопасности со стороны контрагентов (TPCRM) за последние два года, 45% организаций столкнулись с нарушениями бизнеса, вызванными третьими сторонами, сообщает Gartner.
«Управление рисками кибербезопасности со стороны контрагентов часто требует ресурсов, слишком ориентировано на процесс и не приносит особых результатов, — пишет в пресс-релизе Закари Смит (Zachary Smith), старший директор по исследованиям Gartner. — Командам кибербезопасности плохо удается выстроить устойчивость к проблемам из-за контрагентов и повлиять на связанные с этим бизнес-решения».
Исследование проводилось в июле-августе этого года; оно охватывало 376 руководителей высшего звена, отвечающих за управление сторонними киберрисками в компаниях разного размера из разных отраслей и регионов.
Эффективность TPCRM определяется тремя факторами
Успешное управление сторонними рисками кибербезопасности зависит от способности службы ИБ обеспечить три вещи: эффективность ресурсов, управление рисками и устойчивость, и влияние на принятие бизнес-решений. Однако компаниям трудно реализовать даже два из этих трех требований, и лишь 6% обеспечивают все три (см. рис. 1).
Меры по управлению сторонними рисками кибербезопасности
Основываясь на результатах опроса, эксперты Gartner рекомендуют комплекс из четырех мер, которые должны предпринять руководители служб ИБ и управления рисками, чтобы повысить свою эффективность в управлении сторонними киберрисками. Исследование показало, что организации, реализовавшие какие-либо из этих мер, смогли повысить эффективность TPCRM на
Эти меры следующие:
- Регулярно анализируйте, насколько эффективно риски, связанные с третьими сторонами, доводятся до сведения тех, кто отвечает за бизнес в контрагентских отношениях. Директора по ИБ должны предоставить конкретную информацию о рисках, позволяющую действовать, и убедиться в ее понимании.
- Отслеживайте решения по договорам с контрагентами, чтобы помочь управлять принятием рисков ответственными за эти отношения. Ответственные за бизнес с контрагентами часто предпочитают работать с третьей стороной, даже если вполне осведомлены о связанных с этим киберрисках. Отслеживание их решений помогает командам ИБ выстраивать компенсирующие механизмы по принятым рискам и предупреждает о сильно рискующих руководителях, за которыми может потребоваться особый надзор.
- Планируйте реагирование на инциденты у контрагентов (напр., набор сценариев, теоретический тренинг). Эффективное TPCRM не ограничивается выявлением рисков кибербезопасности и составлением отчетов о них. Директора по ИБ должны обеспечить, чтобы у организации был надежный план действий в чрезвычайных обстоятельствах; это позволит подготовиться к непредвиденным сценариям и быть в состоянии успешно восстановиться после инцидента.
- Взаимодействуйте с критически важными контрагентами, чтобы их практика управления рисками безопасности достигла зрелости, как то требуется. В сегодняшней тесно взаимосвязанной деловой среде риск критически важного контрагента является также риском самой организации. Партнерство с такими контрагентами в совершенствовании их практики управления рисками безопасности способствует прозрачности и успешному деловому сотрудничеству.
Источник: Пресс-служба компании Gartner
Комментарии закрыты.