Trong một thời gian gần đây Gartner khảo sát, 45% tổ chức gặp phải tình trạng gián đoạn kinh doanh liên quan đến bên thứ ba. Điều này bất chấp sự gia tăng đầu tư vào quản lý rủi ro an ninh mạng của bên thứ ba (TPCRM) trong hai năm qua.
“Việc quản lý rủi ro an ninh mạng của bên thứ ba thường tốn nhiều tài nguyên, thiên về quy trình và ít mang lại kết quả,” cho biết Zachary Smith, Sr nghiên cứu chính tại Gartner. “Các nhóm an ninh mạng nỗ lực xây dựng khả năng phục hồi trước những gián đoạn liên quan đến bên thứ ba và gây ảnh hưởng đến các quyết định kinh doanh liên quan đến bên thứ ba.”
TPCRM hiệu quả phụ thuộc vào việc cung cấp ba kết quả
Quản lý thành công rủi ro an ninh mạng của bên thứ ba phụ thuộc vào khả năng của tổ chức bảo mật trong việc mang lại ba kết quả – hiệu quả nguồn lực, khả năng phục hồi quản lý rủi ro và ảnh hưởng đến việc ra quyết định kinh doanh. Tuy nhiên, các doanh nghiệp gặp khó khăn để đạt được hiệu quả ở hai trong số ba kết quả đó và chỉ có 6% tổ chức đạt hiệu quả ở cả ba kết quả đó (xem Hình 1).
Hình 1. Khả năng của các tổ chức an ninh trong việc đưa ra ba kết quả để TPCRM hiệu quả
Bốn hành động để quản lý rủi ro an ninh mạng của bên thứ ba
Dựa trên kết quả khảo sát, Gartner đã xác định bốn hành động mà các nhà lãnh đạo quản lý rủi ro và bảo mật phải thực hiện để tăng hiệu quả trong việc quản lý rủi ro an ninh mạng của bên thứ ba. Cuộc khảo sát cho thấy các tổ chức thực hiện bất kỳ hành động nào trong số này đều thấy hiệu quả TPCRM tăng 40-50%.
Những hành động này bao gồm:
Thường xuyên xem xét mức độ hiệu quả của việc truyền đạt rủi ro của bên thứ ba tới chủ doanh nghiệp trong mối quan hệ với bên thứ ba: Giám đốc an ninh thông tin (CISO) cần thường xuyên xem xét mức độ hiểu biết của doanh nghiệp về thông điệp của họ xung quanh các rủi ro của bên thứ ba để đảm bảo họ đang cung cấp những hiểu biết sâu sắc có thể hành động về những rủi ro đó.
Theo dõi các quyết định hợp đồng của bên thứ ba để giúp quản lý việc chấp nhận rủi ro của chủ doanh nghiệp: Chủ doanh nghiệp thường sẽ chọn hợp tác với bên thứ ba ngay cả khi họ được thông tin đầy đủ về các rủi ro an ninh mạng liên quan. Các quyết định theo dõi giúp các nhóm bảo mật điều chỉnh các biện pháp kiểm soát đền bù để chấp nhận rủi ro và cảnh báo các nhóm bảo mật cho các chủ doanh nghiệp đặc biệt có rủi ro có thể yêu cầu giám sát an ninh mạng nhiều hơn.
Tiến hành lập kế hoạch ứng phó sự cố của bên thứ ba (ví dụ: sách hướng dẫn, bài tập trên bàn): TPCRM hiệu quả không chỉ dừng lại ở việc xác định và báo cáo rủi ro an ninh mạng. CISO phải đảm bảo tổ chức có sẵn các kế hoạch dự phòng mạnh mẽ để chuẩn bị cho các tình huống bất ngờ và có thể phục hồi tốt sau khi xảy ra sự cố.
Làm việc với các bên thứ ba quan trọng để hoàn thiện các biện pháp quản lý rủi ro bảo mật của họ khi cần thiết: Trong môi trường siêu kết nối, rủi ro của bên thứ ba quan trọng cũng là rủi ro của tổ chức. Hợp tác với các bên thứ ba quan trọng để cải thiện phương pháp quản lý rủi ro bảo mật của họ giúp thúc đẩy tính minh bạch và hợp tác.
Nguồn : futureiot.tech (post by Automation Bot)
