Per Gartner, nonostante negli ultimi due anni ci sia stato un incremento degli investimenti nella gestione del rischio di cybersecurity di terze parti (Tpcrm), il 45% delle organizzazioni ha subito interruzioni dell’attività legate a soggetti terzi. Il successo del Tpcrm dipende dalla capacità dell’organizzazione di sicurezza di raggiungere tre risultati: efficienza delle risorse, gestione del rischio e resilienza e influenza sul processo decisionale aziendale. Tuttavia, solo il 6% delle organizzazioni è efficace in tutti e tre questi aspetti.
Gartner ha identificato quattro azioni chiave per aumentare l’efficacia nella gestione del rischio di cybersecurity di terzi e l’indagine ha rilevato che le organizzazioni che hanno implementato una di queste azioni hanno registrato un aumento del 40-50% dell’efficacia del Tpcrm.
Esaminare regolarmente l’efficacia della comunicazione dei rischi
Secondo Gartner risulta molto importante che i Chief Information Security Officer (Ciso) verifichino regolarmente il livello di comprensione da parte dell’azienda dei messaggi relativi ai rischi di terze parti; questo farà in modo di assicurare che vengano fornite informazioni utili su tali rischi.
Ottimizzare le decisioni contrattuali per la gestione del rischio
Gli imprenditori spesso scelgono di impegnarsi con una terza parte anche se sono ben informati sui rischi di cybersecurity associati. Tracciare le decisioni aiuta i team di sicurezza ad allineare i controlli di compensazione per l’accettazione del rischio e ad avvisare i team di sicurezza di proprietari di aziende particolarmente rischiose che potrebbero richiedere una maggiore supervisione della sicurezza informatica.
Pianificare la risposta agli incidenti
Un Tpcrm efficace non si limita all’individuazione e alla segnalazione dei rischi legati alla sicurezza informatica. I Chief Information Security Officers devono garantire che l’organizzazione abbia robusti piani di emergenza per prepararsi a scenari imprevisti e per essere in grado di riprendersi efficacemente in seguito a un incidente.
Collaborare con le terze parti critiche
In un contesto fortemente interconnesso, il pericolo associato a terze parti critiche diventa un rischio diretto per l’organizzazione stessa. Collaborare con le terze parti critiche per migliorare le loro pratiche di gestione del rischio di sicurezza aiuta a promuovere la trasparenza e la collaborazione.
