Когда вы работаете со сторонним сервисом и доверяете ему данные о компании, сотруднике или клиенте, вы не можете позволить себе рисковать. Вам нужно убедиться, что вы работаете с самыми надежными, высокопроизводительными и безопасными решениями из существующих.
Итак, какие подходы, системы, процессы и процедуры вы могли бы внедрить для защиты своего бизнеса при работе с третьими лицами? В этой статье мы поделимся некоторыми лучшими практиками, которые вы можете внедрить для систематического управления рисками третьих лиц.
Многие факторы способствуют росту и изменению рисков, с которыми сталкиваются предприятия, когда речь заходит о сторонних поставщиках. Вот основные из них:
1. Организации все чаще полагаются на программное обеспечение сторонних производителей для ведения своего бизнеса
Примером этого может служить то, что многие предприятия используют решения для расчета заработной платы, управления взаимоотношениями с клиентами и маркетинга по электронной почте, которые легко доступны и не требуют разработки чего-либо собственными силами. Но это также означает, что организации размещают больше своих данных в сторонних приложениях и создают больше рисков.
2. Организации стали больше полагаться на подрядчиков
Существует множество сотрудников, на которых организации могут положиться при выполнении задач, таких как партнеры, поставщики, продавщицы и подрядчики. Расширение обмена информацией и совместной работы расширило возможности киберпреступников для атак.
3. Регулирующие органы стали уделять больше внимания тому, как компании управляют аутсорсингом и рисками третьих сторон
Сюда входят штрафы за нарушения, которые в некоторых случаях достигают сотен миллионов долларов. Штрафы часто сопровождаются негативной рекламой и наносят ущерб репутации бренда, возместить который может быть сложнее, чем денежные потери.
Распространенные типы рисков третьих сторон
Риски, с которыми приходится сталкиваться при работе с третьими лицами, во многом совпадают с другими бизнес-рисками и обычно делятся на три категории:
Финансовые и репутационные: Когда организация должна платить сборы или штрафы, потенциальная потеря дохода также является результатом репутационного удара, который иногда следует за утечкой данных.
Правовые и нормативно-правовые акты: Третьи стороны могут негативно повлиять на соблюдение законодательства вашей организацией. Например, если вы работаете с поставщиком, который нарушает трудовое, экологическое законодательство, законодательство о защите данных или другие законы, вы также можете быть привлечены к ответственности.
Операционные: Третья сторона может нарушить вашу работу любым количеством способов, например утечка данных или сбой в работе, который влияет на ваши данные.
Наиболее эффективные способы устранения рисков третьих сторон
Когда дело доходит до управления рисками третьих сторон, не существует универсального подхода. То, что имеет смысл для крупной организации, такой как Microsoft или Adobe, почти наверняка не будет иметь смысла для стартапа трехлетней давности, ориентированного на потребителя. Однако, вот набор основополагающих элементов, которые следует учитывать предприятиям всех типов:
1. Обновите свою карту данных, включив в нее сторонних поставщиков
Основой вашей сторонней программы управления рисками должна стать карта данных, содержащая все данные о потребителях, которыми располагают ваши поставщики. Четкое представление о том, к каким данным могут получить доступ ваши поставщики и как они их используют, поможет вам заключить правильные соглашения и запросить необходимую информацию о соблюдении требований у каждого из ваших поставщиков.
2. Иметь структуру и определенный процесс для оценки рисков третьих сторон
Вместо того чтобы оценивать поставщиков в каждом конкретном случае, ваша организация должна иметь систему оценки рисков сторонних организаций еще до того, как вы начнете исследовать поставщиков, и точно знать, чего вы ожидаете от потенциальных сторонних поставщиков услуг.
Как правило, структура, как правило, должна представлять собой руководство высокого уровня, в котором подробно описывается, как именно будет осуществляться управление рисками поставщиков. Это руководство поможет определить шаги, которым следует следовать высшему руководству в различных сферах бизнеса. Как правило, в руководстве будут подробно описаны повседневные обязанности поставщика по управлению рисками, чтобы ни один шаг не был упущен из виду.
3. Разработайте структурированные процессы адаптации поставщиков и вывода их за пределы компании
Точно так же, как у вас есть процесс адаптации новых сотрудников, чтобы ознакомить их с вашей корпоративной политикой, важно разработать стандартизированный процесс адаптации для ваших поставщиков. В процессе адаптации вы захотите убедиться, что поставщики понимают ваши стандарты/политики информационной безопасности и согласились придерживаться этих стандартов.
Например, если поставщик планирует, чтобы отдельные лица выполняли работу от вашего имени на своих личных устройствах, вам необходимо сообщить о своих ограничениях в отношении того, какие данные поставщик может хранить на своих устройствах, а какие нет.
4. Не ждите, пока ваша платформа станет идеальной, чтобы начать ее использовать
Когда дело доходит до управления рисками и соответствия требованиям, внедрение чего-либо лучше, чем ничего. Программы обеспечения соответствия требованиям и безопасности данных часто нуждаются в обновлениях, настройках, дополнениях и корректировках, поскольку вы обнаруживаете, что процессы не работают, сталкиваетесь с новыми рисками или к ним предъявляются новые требования конфиденциальности. Поэтому не ждите, пока ваша система безопасности поставщика станет идеальной – разверните ее сейчас и приступайте к постоянному анализу и совершенствованию.
5. Установите и внедрите контрактные стандарты
Хотя для начала можно использовать общий шаблон для контрактов, которые вы заключаете со сторонним поставщиком, следует также понимать, что не существует двух абсолютно одинаковых контрактов. Обязательно пообщайтесь, чтобы убедиться, что обе стороны понимают обязанности, прежде чем приступать к заключению контракта. Контракт должен включать такие шаги, как порядок проведения переговоров и процесс утверждения того, как следует вносить изменения в контракт, в дополнение к тому, как они будут храниться и утверждаться.
6. Определите процесс внутреннего аудита рисков поставщика
Процесс внутреннего аудита станет важным компонентом вашей программы оценки рисков поставщика. Заключительный внутренний аудит станет замечательным процессом последней проверки для вашего поставщика перед прибытием эксперта на место. Гораздо лучше выявлять любые ошибки, присутствующие в вашем процессе, до того, как это сделает ваш эксперт. В целом, это также поможет снизить наличие любых рисков, которые присутствуют в целом.
