コストを削減し、効率を高め、戦略的優位性を構築するために、金融サービス組織は拡大していますアウトソーシングの使用であり、重要なビジネスおよびITプロセスをサードパーティに大きく依存しています。サードパーティはビジネスに複数のメリットをもたらしますが、サードパーティが重要なシステムや機密情報にアクセスし、潜在的に下請け業者に関与するため、サイバーリスクへのエクスポージャーもそれに応じて増加します。サイバー以外にも、ロックイン、規制順守などのリスクなどのサードパーティのリスクがありますが、これらはこのブログ投稿では考慮されません。
サードパーティへの依存度が高いにもかかわらず、組織はまだ全体的かつ調整された方法でリスクを管理していません。 さらに、銀行や金融サービス業界などの規制の厳しい業界では、サードパーティのサイバーリスク管理について戦略的に検討する必要があります 。サードパーティのサイバーリスクを管理するための潜在的な罰則は、規制上の罰金から運用ライセンスの喪失まで十分に及ばない。ニューヨーク州金融サービス局(NYDFS)による新しいサイバー規制で概説されているように厳しい要件を採用する準備をしているヨーロッパの規制当局が増える中、スイスの金融サービス組織はこのリスクを管理するための積極的な対策を講じる必要があります。
>
サードパーティのサイバーリスク管理(TPCRM)は、サードパーティに関連するサイバーリスクを特定、評価、防止、または許容可能なレベルまで削減するプロセスです。そのレベルの決定は、組織、資産の価値、脅威レベル、およびその予算の規模によって異なります。全体的なTPCRMフレームワークには、コンプライアンス要件(違反通知、e-discoveryのサポート、データロケーション要件など)、セキュリティ要件(リモートアクセスの多要素認証、暗号化、ディザスタリカバリなど)をカバーする多層アプローチが必要です。 、および法的要件(たとえば、監査の権利、データの所有権、下請け契約、NDAなど)。
効果的で付加価値のあるTPCRMを実装するには、デューデリジェンスプロセスからオンボーディングと契約、継続的な監視、そして最後にオフボーディングとまで、プログラムを企業のベンダーライフサイクル管理に組み込む必要があります。終了。
各TPCRMフレームワークの中核は、サードパーティのサイバーリスクを評価するためのアプローチであり、2層アプローチがベストプラクティスと見なされます。 まず、 固有のリスク評価は、サービスの性質に基づいて、その管理を考慮せずに、サードパーティを低、中、高の固有のリスクベンダーに分類するために使用されます。 次に、 固有のリスク評価に基づいて、ベンダーが組織のリスク欲求を満たす適切なセキュリティ管理を実施しているかどうかを評価する必要があります。重要なサプライヤベースのセキュリティリスクの現在のレベルに関する洞察を得るために、アンケートを通じて「教えて」の演習を実施してください。 最後に、 これらの洞察を使用して、コントロールテストに「見せて」アプローチを採用するオンサイトレビューまたはリモート評価を計画および実施します。
一部の組織では、ベンダーの数は従業員の数以上です。サードパーティのサイバーリスクを大規模に管理するには、組織は人員配置と俊敏でスケーラブルな実行モデルについて考える必要があります。マネージドサービスの使用は、いくつかの理由でますます一般的になっています。
クラウドコンピューティングソリューションの急速な採用とビジネスプロセスのアウトソーシングにより、ビジネスのサードパーティへの依存度はさらに高まります。私たちの経験に基づいて、組織は次のことを検討することをお勧めします。
出典:デロイトサードパーティガバナンスリスク管理(TPGRM)拡張エンタープライズリスク管理グローバル調査2017