Ein Drittparteienrisikomanagement-Programm (TPRM) zu starten und zu glauben, es würde Ihr Unternehmen für immer schützen ist ein Trugschluss. Täglich treten neue Cybersicherheitsrisiken auf und Ihr Drittanbieternetzwerk wird sich weiterentwickeln.
Gartner schätzt, dass 45 % der Unternehmen weltweit bis 2025 einen Angriff auf ihre digitale Lieferketten erleben werden. Um sich vor solchen Angriffen zu schützen, benötigen Unternehmen reaktionsfähige Sicherheitsmaßnahmen, die mit den Veränderungen in der Bedrohungslandschaft Schritt halten.
Bei TPRM-Programmen ist die Wartung genauso wichtig wie die Entwicklung selbst. Durch regelmäßige Aktualisierung ihrer Drittanbieterprozesse können Unternehmen potenziellen Problemen vorbeugen und negative Auswirkungen minimieren, falls sie dennoch auftreten.
Wir haben sechs führende Experten für Informationssicherheit und Drittanbieterrisiken von OneTrust und Fortune Global 500 Unternehmen gefragt, wie ein TPRM-Programm am besten aufrechterhalten werden kann und wie sie die Ergebnisse normalerweise an die Geschäftsleitung kommunizieren. Dies ist der letzte Artikel unserer Serie zum Aufbau eines TPRM-Programms.
Laden Sie unseren InfoSec-Leitfaden für das Drittparteienrisikomanagement herunter. Darin werden alle Schritte zur Einrichtung eines TPRM-Programms behandelt, von der Planung bis zur Überwachung und Berichterstattung.
Wie überwachen Sie Risiken durch Drittanbieter?
Die meisten Drittanbieter werden während des gesamten TPRM-Lebenszyklus kontinuierlich überwacht. Selbst wenn sie die initiale Bewertung mit Bravour bestehen, stellt diese nur eine Momentaufnahme dar - eine kontinuierliche Überwachung ist daher erforderlich, um die Risiken während der gesamten Geschäftsbeziehung zu minimieren.
Die Überwachung von Drittanbietern erfolgt in der Regel durch ein automatisiertes Risikoüberwachungs-Tool. Darüber hinaus sollte ein Schritt-für-Schritt-Plan erstellt werden, um auf Sicherheitswarnungen zu reagieren und geeignete Maßnahmen festzulegen.
„Auch nach der Aufnahme eines Lieferanten ist es wichtig, Überwachungsprozesse und -verfahren für den Fall zu planen, dass ein Problem auftritt. Was, wenn Problem im Bereich ESG (Environmental, Social & Governance) auftaucht - wer kümmert sich darum? Das ist kein Sicherheitsproblem. Wenn Sie Rollen und Verantwortlichkeiten im Voraus festlegen, wissen Sie, was als Nächstes zu tun ist“, sagt Kevin Liu, Senior Director of Information Security bei OneTrust.
„Wenn ich eine Warnung sehe, bewerte ich sie zuerst, um sie einzuordnen, denn nicht alle Warnungen sind gleich. Schauen Sie sich an, was Sie überwachen - die Sicherheitslage, den Bereich der sozialen Unternehmensführung, in einigen Fällen die finanzielle Gesundheit und so weiter.“
Wenn Ihre Teams auf eine Warnung reagieren müssen, sollten sie den Drittanbieter kontaktieren, um weitere Untersuchungen durchzuführen und potenzielle Bedrohungen einzudämmen. Dazu kann es erforderlich sein, den Zugriff des Drittanbieters auf Ihre internen Systeme zu sperren und Statusupdates anzufordern, während der Drittanbieter seinen Plan zur Fehlerbehebung ausführt. Erst wenn der Drittanbieter nachweisen kann, dass das Problem behoben wurde, sollte ihm der Zugriff auf Ihre Systeme wieder gewährt werden.
Betreiben Sie ein TPRM-Programm
Der Schlüssel zum Erfolg eines TPRM-Programms liegt in der Fähigkeit, auf Veränderungen in Ihrer Drittanbieter- und Risikolandschaft zu reagieren.
Tim Mullen, Chief Information Security Officer bei OneTrust, erklärt: „Wenn Sie immer noch dasselbe Geschäft betreiben wie im letzten Jahr und sich nichts wirklich geändert hat, müssen Sie wahrscheinlich nicht viel tun, aber wenn etwas Neues auftaucht - eine neue Schwachstelle, ein neues Zero-Day-Risiko, etwas, das Aufmerksamkeit erregt - dann müssen Sie natürlich handeln.“
Die folgenden Fragen können Ihnen bei der Planung Ihrer routinemäßigen Wartungsarbeiten helfen:
- Haben Sie einen neuen Vertrag mit einem Drittanbieter?
- Geben Sie unterschiedliche Arten von Daten weiter?
- Hat das Unternehmen mögliche neue Risiken identifiziert?
- Haben Sie einen neuen Geschäftsbereich eröffnet?
- Waren Sie an Fusionen oder Übernahmen beteiligt oder haben Sie Vermögenswerte veräußert?
„Es kommt auch häufig vor, dass ein Lieferant unter Vertrag genommen wird und sich dann der Projektumfang ändert. Wenn Sie beispielsweise eine neue Funktion einführen, kann es sein, dass ein Lieferant, der zuvor ein geringes Risiko darstellte, plötzlich Zugang zu hochsensiblen Daten erhält“, erklärt Jose Costa, Senior Director of GRC Labs & Research bei OneTrust. „Selbst geringfügige Änderungen in den Lieferantenbeziehungen sollten einem erneuten Bewertungsprozess unterzogen werden.“
In den meisten Fällen sollten Sie Ihr TPRM-Programm einmal jährlich überprüfen. Das Ziel der Neubewertung der TPRM-Prozesse ist nicht nur die Aufrechterhaltung der Sicherheit, sondern auch die Weiterentwicklung Ihres Programms.
„Bewerten Sie nicht nur das TPRM, sondern alles, was damit zusammenhängt. Wie sehen Ihre Richtlinien für das Lieferantenmanagement aus? Gibt es Probleme, die das Unternehmen mit diesem oder einem anderen Lieferanten derselben Kategorie hatte? Bringen Sie alle relevanten Informationen ein und bewerten Sie Ihr TPRM-Programm holistisch, um zu sehen, wie es weitergehen kann“, sagt Liu.
Informieren Sie das Management über die Leistung Ihres TPRM-Programms
Die Berichterstattung über die Leistung von TPRM-Programmen wird von Unternehmen zu Unternehmen unterschiedlich gehandhabt.
Je nach Reifegrad des Programms und den Prioritäten des Managements können folgende Indikatoren einbezogen werden:
- Gesamtzahl der bewerteten Drittanbieter
- Dauer der Bewertung der Drittanbieter
- Verteilung der Drittparteien auf die Stufen niedrig, mittel und kritisch
- Gesamtausmaß der Risikoexposition durch Drittanbieter
- Ausmaß der Probleme im Zusammenhang mit Drittanbietern (über einen bestimmten Zeitraum)
- Durchschnittliche Zeit bis zur Behebung
- Alle überfälligen Maßnahmen zur Risikominderung
„Wenn Sie gerade erst mit der Implementierung eines TPRM-Programms begonnen haben, können Sie berichten, wie viele Lieferanten den Prozess durchlaufen haben, wie viele die Anforderungen erfüllen und so weiter. Sie können auch angeben, welche Hauptrisiken Sie bewertet haben und wie Sie sie minimiert haben und regelmäßig bewerten werden“, sagt Costa „Das hängt wirklich ganz davon ab, was das Management sehen will. Ich würde zumindest sicherstellen, dass 100 % meiner Lieferanten, unabhängig von ihrer Größe und Komplexität, den Prozess durchlaufen und dass er funktioniert.“
Mit zunehmender Reife des Programms wird das Management wissen wollen, inwieweit Ihre TPRM-Bemühungen konkret zur Risikominimierung beitragen. Zu diesem Zweck müssen Wege gefunden werden, um die Veränderung des Risikoniveaus von Drittanbietern aussagekräftig zu quantifizieren und in der Berichterstattung hervorzuheben.
„Im Bereich der Informationssicherheit sind genaue Schätzungen des tatsächlichen Risikos sehr selten. Deshalb müssen wir nach Risikoindikatoren, Risikoproxies oder sogar nach nachlaufenden Indikatoren für tatsächliche Vorfälle suchen“, sagt Matthew Solomon, VP of Technology and Cyber Risk Management bei Humana. „Die Kunst besteht darin, das Risikoniveau so genau wie möglich zu quantifizieren und herauszufinden, wie es reduziert werden kann.“
Minimieren Sie Risiken mit TPRM
Unabhängig davon, wie weit Sie auf dem Weg zu einer TPRM-Strategie gekommen sind, besteht das Endziel darin, die Risiken in Ihrem gesamten Unternehmen zu verringern. Dies kann erreicht werden, indem Sie Sicherheitswarnungen aktiv überwachen, potenzielle Probleme angehen und Ihr Programm regelmäßig auf wichtige Änderungen oder Updates überprüfen. Präsentieren Sie abschließend die Ergebnisse Ihres Teams, indem Sie das Risikoniveau der Drittanbieter quantifizieren und die konkreten Auswirkungen Ihres Engagements hervorheben.
Vereinheitlichen Sie das Management von Drittanbietern in den Bereichen Datenschutz, Sicherheit, Ethik und ESG, um Risiken zu minimieren, Vertrauen aufzubauen und die Widerstandsfähigkeit Ihres Unternehmens zu erhöhen. Fordern Sie noch heute eine Demo an.
