Risk management, 4 azioni per gestire il rischio cyber di terze parti

Risk management, le 4 azioni chiave per gestire il rischio cyber di terze parti

Secondo un’indagine di Gartner nonostante l’aumento degli investimenti, negli ultimi due anni il 45% delle organizzazioni ha subito interruzioni dell’attività legate soggetti terzi. Ma la messa a punto di una strategia accurata consente di aumentare l’efficacia fino al 50%. Ecco come fare

Pubblicato il 15 Feb 2024

Data,Protection,And,Cyber,Security,On,Internet,Server,Network,With

Per Gartner, nonostante negli ultimi due anni ci sia stato un incremento degli investimenti nella gestione del rischio di cybersecurity di terze parti (Tpcrm), il 45% delle organizzazioni ha subito interruzioni dell’attività legate a soggetti terzi. Il successo del Tpcrm dipende dalla capacità dell’organizzazione di sicurezza di raggiungere tre risultati: efficienza delle risorse, gestione del rischio e resilienza e influenza sul processo decisionale aziendale. Tuttavia, solo il 6% delle organizzazioni è efficace in tutti e tre questi aspetti.

Gartner ha identificato quattro azioni chiave per aumentare l’efficacia nella gestione del rischio di cybersecurity di terzi e l’indagine ha rilevato che le organizzazioni che hanno implementato una di queste azioni hanno registrato un aumento del 40-50% dell’efficacia del Tpcrm.

Indice degli argomenti

Esaminare regolarmente l’efficacia della comunicazione dei rischi

Secondo Gartner risulta molto importante che i Chief Information Security Officer (Ciso) verifichino regolarmente il livello di comprensione da parte dell’azienda dei messaggi relativi ai rischi di terze parti; questo farà in modo di assicurare che vengano fornite informazioni utili su tali rischi.

Ottimizzare le decisioni contrattuali per la gestione del rischio

Gli imprenditori spesso scelgono di impegnarsi con una terza parte anche se sono ben informati sui rischi di cybersecurity associati. Tracciare le decisioni aiuta i team di sicurezza ad allineare i controlli di compensazione per l’accettazione del rischio e ad avvisare i team di sicurezza di proprietari di aziende particolarmente rischiose che potrebbero richiedere una maggiore supervisione della sicurezza informatica.

Pianificare la risposta agli incidenti

Un Tpcrm efficace non si limita all’individuazione e alla segnalazione dei rischi legati alla sicurezza informatica. I Chief Information Security Officers devono garantire che l’organizzazione abbia robusti piani di emergenza per prepararsi a scenari imprevisti e per essere in grado di riprendersi efficacemente in seguito a un incidente.

Collaborare con le terze parti critiche

In un contesto fortemente interconnesso, il pericolo associato a terze parti critiche diventa un rischio diretto per l’organizzazione stessa. Collaborare con le terze parti critiche per migliorare le loro pratiche di gestione del rischio di sicurezza aiuta a promuovere la trasparenza e la collaborazione.