Với nỗ lực giảm chi phí, tăng hiệu quả và xây dựng lợi thế chiến lược, các tổ chức Dịch vụ tài chính đang mở rộng họ sử dụng dịch vụ thuê ngoài và phụ thuộc nhiều vào các bên thứ ba cho các quy trình kinh doanh và CNTT quan trọng. Trong khi các bên thứ ba mang lại nhiều lợi ích cho hoạt động kinh doanh, thì mức độ rủi ro trên không gian mạng sẽ gia tăng tương ứng khi các bên thứ ba truy cập vào các hệ thống quan trọng, thông tin nhạy cảm và có khả năng thu hút các nhà thầu phụ. Ngoài không gian mạng, còn có những rủi ro khác của bên thứ ba như rủi ro bị khóa, tuân thủ quy định và những rủi ro khác, nhưng những rủi ro này sẽ không được xem xét trong bài đăng trên blog này.

Mặc dù phụ thuộc nhiều vào bên thứ ba, các tổ chức vẫn chưa quản lý rủi ro một cách tổng thể và phối hợp. Ngoài ra, các ngành được quản lý chặt chẽ, chẳng hạn như Ngành dịch vụ tài chính và ngân hàng, bắt buộc phải suy nghĩ một cách chiến lược về quản lý rủi ro mạng của bên thứ ba . Các hình phạt tiềm ẩn đối với việc quản lý rủi ro không gian mạng của bên thứ ba không đủ bao gồm từ tiền phạt theo quy định đến mất giấy phép hoạt động. Với ngày càng nhiều cơ quan quản lý châu Âu chuẩn bị áp dụng các yêu cầu nghiêm ngặt như được nêu trong các quy định mạng mới của Bộ Dịch vụ Tài chính Bang New York (NYDFS), các tổ chức Dịch vụ Tài chính của Thụy Sĩ buộc phải thực hiện các biện pháp chủ động để quản lý rủi ro này.

Quản lý rủi ro mạng của bên thứ ba

Quản lý rủi ro mạng của bên thứ ba (TPCRM) là quá trình xác định, đánh giá và ngăn ngừa hoặc giảm thiểu rủi ro mạng liên quan đến bên thứ ba đến mức có thể chấp nhận được. Việc xác định mức đó phụ thuộc vào tổ chức, giá trị của tài sản, mức độ đe dọa và quy mô ngân sách của tổ chức đó. Khung TPCRM toàn diện yêu cầu cách tiếp cận nhiều lớp bao gồm các yêu cầu tuân thủ (ví dụ:thông báo vi phạm, hỗ trợ khám phá điện tử, yêu cầu vị trí dữ liệu, v.v.), yêu cầu bảo mật (ví dụ:xác thực đa yếu tố để truy cập từ xa, mã hóa, khôi phục thảm họa, v.v.) và các yêu cầu pháp lý (ví dụ:quyền kiểm toán, quyền sở hữu dữ liệu, hợp đồng phụ, NDA, v.v.).

Các bước cần xem xét để thực hiện một TPCRM hiệu quả

Để triển khai TPCRM hiệu quả, gia tăng giá trị, chương trình phải được nhúng vào quản lý vòng đời của nhà cung cấp của công ty bạn, bắt đầu từ quy trình thẩm định cho đến khi lên máy bay và ký hợp đồng, đến giám sát liên tục và cuối cùng là quá trình lên máy bay và chấm dứt.

Cốt lõi của mỗi khung TPCRM là phương pháp tiếp cận để đánh giá rủi ro mạng của bên thứ ba, trong đó phương pháp tiếp cận hai cấp được coi là phương pháp tốt nhất. Đầu tiên, đánh giá rủi ro cố hữu sẽ được sử dụng để phân loại bên thứ ba thành các nhà cung cấp có rủi ro cố hữu thấp, trung bình hoặc cao dựa trên bản chất của dịch vụ và không tính đến các biện pháp kiểm soát của bên thứ ba. Thứ hai, dựa trên xếp hạng rủi ro vốn có, bạn cần đánh giá xem nhà cung cấp có các biện pháp kiểm soát an ninh hợp lý để đáp ứng nhu cầu rủi ro của tổ chức của bạn hay không. Thực hiện bài tập 'cho tôi biết' thông qua bảng câu hỏi để hiểu rõ hơn về mức độ rủi ro bảo mật hiện tại trong cơ sở nhà cung cấp quan trọng của bạn. Cuối cùng, sử dụng những thông tin chi tiết này để lập kế hoạch và thực hiện đánh giá tại chỗ hoặc đánh giá từ xa bằng cách áp dụng phương pháp 'chỉ cho tôi' để kiểm tra kiểm soát.

Trong một số tổ chức, số lượng nhà cung cấp bằng hoặc cao hơn số lượng nhân viên. Để quản lý rủi ro mạng của bên thứ ba trên quy mô lớn, tổ chức của bạn cần suy nghĩ về việc bố trí nhân sự và một mô hình thực thi nhanh nhẹn, có thể mở rộng. Việc sử dụng dịch vụ được quản lý ngày càng phổ biến vì một số lý do:

• Nó cho phép các tổ chức hưởng lợi từ lợi ích kinh tế theo quy mô và các lợi ích liên quan đến chi phí.
• Nó cung cấp khả năng tăng và giảm quy mô nhanh chóng tùy theo nhu cầu.
• Người đánh giá bên ngoài thường được các cơ quan quản lý ưa thích và thường có mức độ tin cậy cao.
• Theo cách đó, mối quan tâm về việc tìm kiếm các chuyên gia bảo mật lành nghề có tư duy kiểm toán có thể giảm bớt.

Những điểm cần lưu ý

Với việc áp dụng nhanh chóng các giải pháp điện toán đám mây và gia công các quy trình kinh doanh, sự phụ thuộc của các doanh nghiệp vào bên thứ ba sẽ ngày càng gia tăng. Dựa trên kinh nghiệm của chúng tôi, các tổ chức được khuyến khích xem xét:

1. Xác định chương trình TPCRM để cải thiện tính bảo mật và cung cấp giá trị cho doanh nghiệp sở hữu rủi ro chứ không chỉ giải quyết vấn đề tuân thủ.
2. Triển khai các giải pháp quản lý rủi ro của bên thứ ba được tích hợp đầy đủ trong vòng đời của nhà cung cấp để ít gây gián đoạn nhất cho hoạt động kinh doanh.
3. Thực hiện các đánh giá rủi ro của bên thứ ba theo cách có thể mở rộng để đảm bảo mức độ nhất quán và tiêu chuẩn hóa cao của các đánh giá.
4. Có được bức tranh toàn cảnh về các rủi ro mạng liên quan đến các bên thứ ba bằng cách xem xét tính hiệu quả của khuôn khổ kiểm soát nội bộ của công ty bạn (ví dụ:xác nhận lại quyền truy cập, các biện pháp bảo vệ dữ liệu, quản lý bản vá, v.v.).
5. Bao gồm quản lý rủi ro mạng của bên thứ ba vào nhận thức về rủi ro và bảo mật trong toàn công ty của bạn cũng như các chương trình đào tạo.

Nguồn:Deloitte Quản lý rủi ro quản trị bên thứ ba (TPGRM) Khảo sát toàn cầu về quản lý rủi ro doanh nghiệp mở rộng năm 2017