サードパーティとの関係によるサイバーリスクをどの程度うまく管理していますか?


コストを削減し、効率を高め、戦略的優位性を構築するために、金融サービス組織は拡大していますアウトソーシングの使用であり、重要なビジネスおよびITプロセスをサードパーティに大きく依存しています。サードパーティはビジネスに複数のメリットをもたらしますが、サードパーティが重要なシステムや機密情報にアクセスし、潜在的に下請け業者に関与するため、サイバーリスクへのエクスポージャーもそれに応じて増加します。サイバー以外にも、ロックイン、規制順守などのリスクなどのサードパーティのリスクがありますが、これらはこのブログ投稿では考慮されません。

サードパーティへの依存度が高いにもかかわらず、組織はまだ全体的かつ調整された方法でリスクを管理していません。 さらに、銀行や金融サービス業界などの規制の厳しい業界では、サードパーティのサイバーリスク管理について戦略的に検討する必要があります 。サードパーティのサイバーリスクを管理するための潜在的な罰則は、規制上の罰金から運用ライセンスの喪失まで十分に及ばない。ニューヨーク州金融サービス局(NYDFS)による新しいサイバー規制で概説されているように厳しい要件を採用する準備をしているヨーロッパの規制当局が増える中、スイスの金融サービス組織はこのリスクを管理するための積極的な対策を講じる必要があります。

>

サードパーティのサイバーリスク管理

サードパーティのサイバーリスク管理(TPCRM)は、サードパーティに関連するサイバーリスクを特定、評価、防止、または許容可能なレベルまで削減するプロセスです。そのレベルの決定は、組織、資産の価値、脅威レベル、およびその予算の規模によって異なります。全体的なTPCRMフレームワークには、コンプライアンス要件(違反通知、e-discoveryのサポート、データロケーション要件など)、セキュリティ要件(リモートアクセスの多要素認証、暗号化、ディザスタリカバリなど)をカバーする多層アプローチが必要です。 、および法的要件(たとえば、監査の権利、データの所有権、下請け契約、NDAなど)。

効果的なTPCRMの実装について検討する手順

効果的で付加価値のあるTPCRMを実装するには、デューデリジェンスプロセスからオンボーディングと契約、継続的な監視、そして最後にオフボーディングとまで、プログラムを企業のベンダーライフサイクル管理に組み込む必要があります。終了。

各TPCRMフレームワークの中核は、サードパーティのサイバーリスクを評価するためのアプローチであり、2層アプローチがベストプラクティスと見なされます。 まず、 固有のリスク評価は、サービスの性質に基づいて、その管理を考慮せずに、サードパーティを低、中、高の固有のリスクベンダーに分類するために使用されます。 次に、 固有のリスク評価に基づいて、ベンダーが組織のリスク欲求を満たす適切なセキュリティ管理を実施しているかどうかを評価する必要があります。重要なサプライヤベースのセキュリティリスクの現在のレベルに関する洞察を得るために、アンケートを通じて「教えて」の演習を実施してください。 最後に、 これらの洞察を使用して、コントロールテストに「見せて」アプローチを採用するオンサイトレビューまたはリモート評価を計画および実施します。

一部の組織では、ベンダーの数は従業員の数以上です。サードパーティのサイバーリスクを大規模に管理するには、組織は人員配置と俊敏でスケーラブルな実行モデルについて考える必要があります。マネージドサービスの使用は、いくつかの理由でますます一般的になっています。

  • これにより、組織は規模の経済とそれに関連するコストメリットの恩恵を受けることができます。
  • 需要に応じてすばやくスケールアップおよびスケールダウンする機能を提供します。
  • 外部の査定人は規制当局に好まれることが多く、通常は高いレベルの信頼があります。
  • 監査の考え方を備えた熟練したセキュリティ専門家を見つけることの懸念は、そうすることで減らすことができます。

重要なポイント

クラウドコンピューティングソリューションの急速な採用とビジネスプロセスのアウトソーシングにより、ビジネスのサードパーティへの依存度はさらに高まります。私たちの経験に基づいて、組織は次のことを検討することをお勧めします。

  1. セキュリティを向上させ、コンプライアンスに対処するだけでなく、リスクを所有するビジネスに価値を提供するTPCRMプログラムを定義します。
  2. ベンダーのライフサイクルに完全に統合されたサードパーティのリスク管理ソリューションを実装して、ビジネスへの影響を最小限に抑えます。
  3. スケーラブルな方法でサードパーティのリスク評価を実行して、評価の高度な一貫性と標準化を確保します。
  4. 企業の内部統制フレームワーク(アクセスの再認証、データ保護対策、パッチ管理など)の有効性も調べることで、サードパーティに関連するサイバーリスクの全体像を把握します。
  5. サードパーティのサイバーリスク管理を全社的なリスクとセキュリティの認識、およびトレーニングプログラムに含めます。

出典:デロイトサードパーティガバナンスリスク管理(TPGRM)拡張エンタープライズリスク管理グローバル調査2017


銀行
  1. 外国為替市場
  2.   
  3. 銀行
  4.   
  5. 外国為替取引