Una più grande quantità di dati comporta una maggiore responsabilità. Al giorno d'oggi, le aziende che raccolgono, elaborano, trasmettono o archiviano dati personali si trovano al centro di un panorama in rapida evoluzione. Infatti, la pressione per garantire che i dati personali siano gestiti e protetti in modo adeguato è considerevole. 

Non solo le normative su privacy e sicurezza sono in aumento ovunque, ma negli Stati Uniti l'86% dei clienti è sempre più preoccupato per la privacy dei loro dati. Chris Paterson, Direttore della strategia della soluzione Third-Party Management di OneTrust ha dichiarato: ''La consapevolezza del pubblico dei potenziali danni che potrebbero subire in caso di utilizzo improprio o di abuso dei propri dati non è mai stata così alta''.   

Garantire la privacy e la sicurezza dei dati nei sistemi interni è di per sé una sfida. Ma cosa succede quando non sei tu a gestire i dati in prima persona? Un'organizzazione media lavora con 10 diverse terze parti e ognuno di questi terzi instaura un numero di relazioni con quarte parti 60-90 volte superiore. 

Ma indipendentemente da chi detiene i dati, qualsiasi violazione o incidente è responsabilità tua. 

L'evoluzione delle normative su privacy e sicurezza e il flusso di dati lungo il ciclo di vita della gestione di terze parti (Third-Party Management, TPM) richiedono un monitoraggio e una supervisione costanti. Pertanto, come puoi garantire che la tua organizzazione sia protetta e che rispetti le normative in vigore?

La soluzione Third-Party Management di OneTrust adotta un approccio incentrato sui dati e basato sul rischio per aumentare la visibilità sulle interazioni con le terze parti. 
 

Conformità alle normative sulla privacy e sicurezza dei dati

Esistono centinaia di leggi, normative, standard e quadri di riferimento progettati per aiutare le organizzazioni a gestire correttamente i dati e quasi tutti includono indicazioni su come gestire le terze parti.

''Nessun quadro di riferimento si concentra solo sulle operazioni interne di un'organizzazione'', ha affermato Chris Paterson. ''Richiedono a tutte le organizzazioni soggette a un quadro di riferimento di imporre gli stessi standard e aspettative alle terze parti con cui collaborano''. 

E questo non si applica solamente alla sicurezza dei dati. Infatti, la privacy è messa significativamente a rischio anche quando i dati personali vengono raccolti, trasferiti, elaborati o conservati da terze parti. 

Di conseguenza, il conseguimento della conformità comporta oggi un delicato equilibrio tra sicurezza delle informazioni e standard in materia di privacy. I due seguenti quadri di riferimento sono stati recentemente aggiornati e affrontano sia il rischio per la sicurezza che quello per la privacy. 

• Serie ISO 27000: ISO 27001 è stato introdotto nell'ottobre 2005 come primo standard della serie ISO 27000, progettato per certificare le policy di sicurezza delle informazioni delle organizzazioni. Invece, ISO 27701 è arrivato 14 anni dopo nell'agosto 2019, si concentra sulla privacy dei dati e riequilibria lo standard riconosciuto per la sicurezza delle informazioni.
    
• Standard NIST: Il CSF NIST è stato introdotto per la prima volta nel febbraio 2014 come una serie di linee guida, pratiche consigliate e standard progettati per aiutare le organizzazioni a gestire e ridurre i rischi per la sicurezza informatica. Il NIST Privacy Framework, presentato sei anni dopo nel gennaio 2020, è un quadro di riferimento complementare che si concentra specificamente sulla gestione del rischio per la privacy.  

Fase 1: acquisizione 

La prima fase si concentra sulla raccolta centralizzata di tutte le informazioni sulle terze parti, eliminando i molteplici punti di ingresso e i potenziali punti ciechi. 

La centralizzazione può essere ottenuta attraverso un unico portale self-service in cui i dipendenti richiedono l'aggiunta di vendor, fornitori o altre parti, oppure come parte di uno strumento di gestione del ciclo di vita dei contratti o di pianificazione delle risorse.

Implementando un processo di acquisizione self-service, le organizzazioni possono ottenere un vantaggio nella raccolta di informazioni critiche sulle terze parti, tra cui le certificazioni sulla privacy, l'ambito di assunzione e tipi di dati gestiti. Questo aiuta a categorizzare e dare priorità a determinate terze parti in base al loro rischio intrinseco per l'organizzazione. 
 

Fase 2: screening

La seconda fase consiste nello screening e nella conduzione di verifiche di due diligence su potenziali terze parti. Alcune domande da porti durante questa fase includono:

• ''Come posso verificare che questa terza parte non sia politicamente esposta?'' 
  
  
• ''Come posso verificare la presenza di casi di antiriciclaggio o anticorruzione?'' 

Per rispondere a queste domande, le organizzazioni di solito controllano le terze parti in base a liste di sanzioni, liste di controllo o anche fonti mediatiche per identificare i problemi che potrebbero rendere altamente rischiosa una collaborazione.

Nella maggior parte dei casi, la TPRM va oltre la privacy e la sicurezza dei dati. È importante considerare tutti gli altri tipi di rischi, come conformità normativa, etica, ESG, geopolitica, ecc., che possono avere un impatto potenziale sulle tue operazioni. 

L'obiettivo di questa fase è quello di identificare tutti i rischi associati a una terza parte e, se nel caso in cui la tua organizzazione dovesse decidere di procedere, di progettare una valutazione appropriata e un approccio di mitigazione.

Fase 3: valutazione

Durante l'intero ciclo di vita della TPM, la valutazione è la fase più impegnativa in termini di tempo e risorse. È anche dove la gestione dei rischi può essere combinata con le valutazioni della privacy e altri problemi di conformità per una valutazione più completa. 

Semplifica le valutazioni utilizzando strumenti dedicati con modelli integrati per affrontare diverse aree di rischio, tra cui privacy e conformità, protezione dei dati, rischio informatico e altro ancora. 

Anche un exchange del rischio di terzi può offrire informazioni preconvalidate per aiutare a verificare le informazioni fornite da una terza parte.  
 

Fase 4: revisione

In questa fase vengono revisionate tutte le informazioni su una terza parte raccolte durante le fasi precedenti.  

Ad esempio, supponiamo che una terza parte sottoposta a valutazione abbia una struttura di sicurezza matura, ma abbia appena iniziato il suo programma di tutela della privacy. Non è in grado di definire a chi appartengono i dati che sta raccogliendo, quali elementi vengono raccolti e qual è la finalità del trattamento dei dati. Ciò rappresenta un rischio significativo in termini di privacy per la tua organizzazione. 

Sulla base di queste informazioni, le parti interessate possono assegnare un punteggio di rischio e un livello di criticità appropriati e determinare l'approccio migliore per gestire la terza parte in questione. 

Fase 5: monitoraggio 

Con l'emergere di nuovi rischi e normative e l'evoluzione dell'ambito dei servizi delle terze parti, il monitoraggio continuo è fondamentale per mantenere una collaborazione solida e robusta.

Il monitoraggio delle terze parti, per essere definito efficace, include tipicamente i seguenti passaggi:   

• valutazione di aree di rischio specifiche;
  
  
• impostazione di una cadenza raccomandata per quanto riguarda le valutazioni;
  
  
• scelta delle domande da includere nel questionario inviato a ciascuna terza parte in base a domini specifici, ambito di attività, conformità alla sicurezza e alla privacy. 

Chris Paterson ha dichiarato: ''In base alla mia esperienza, è qui che molte organizzazioni hanno un'enorme opportunità di migliorare l'efficienza, automatizzando il monitoraggio continuo delle terze parti''.

Cinque suggerimenti per ridurre l'esposizione ai rischi correlati alle terze parti 

Mentre la tua organizzazione continua a far crescere la sua rete di terze parti, è necessario stabilire un processo affidabile che identifichi i rischi e riduca l'esposizione in tutti i settori.  

Continua a leggere per ottenere alcuni suggerimenti su come garantire la protezione dei dati e rispettare le normative sulla sicurezza in ogni fase del ciclo di vita della TPM.

Suggerimento 1: identifica dove vanno a finire i dati 

Un'organizzazione può gestire centinaia o migliaia di terze parti, ma quando si tratta di dati personali, non basta monitorare solo i processi delle terze parti. Ma deve anche tenere traccia di come i dati passano dalla terza alla quarta parte, dalla quarta alla quinta e così via.  

Per comprendere appieno dove vanno a finire i dati, chiedi ai potenziali terzi quali sono le altre parti che utilizzano. Ciò è particolarmente importante per operazioni complesse come: 

• trasferimenti di dati transfrontalieri, che spesso comportano requisiti di conformità aggiuntivi;
  
  
• terze parti con un ampio ambito di servizi, in quanto ogni servizio può coinvolgere diversi tipi di dati;
  
  
• aggiunte o modifiche all'ambito di una terza parte che richiedono aggiornamenti a contratti e valutazioni.

Crea un modello che aiuti i team a visualizzare ogni passaggio dei dati tra le parti (come mostrato di seguito).

Suggerimento 4: preparati a qualsiasi evenienza  

Uno degli errori più comuni nella gestione del rischio di terzi è quello di destinare la maggior parte delle risorse alla valutazione e all'onboarding, lasciando ben poco alla gestione continua. Tuttavia, questa è tendenzialmente la fase più lunga del ciclo di vita delle terze parti ed è fondamentale per mitigare il rischio a lungo termine. 

Prepara la tua organizzazione ad affrontare gli imprevisti rafforzando la capacità difensiva delle terze parti con cui collabori. A tal fine, puoi svolgere un'ampia gamma di attività, come: 

• organizzare tutti i dati in un unico inventario a cui i team che si occupano di privacy, sicurezza e terze parti possano accedere e comprendere tutto ciò che è in gioco;
  
  
• fare in modo che le parti interessate e i vari team siano allineati e condividano informazioni utili per raggiungere meglio gli obiettivi comuni;
  
  
• eseguire un'esercitazione con terze parti critiche per capire cosa accadrebbe se subissero una violazione;
  
  
• esaminare tutti i potenziali cambiamenti che possono influire sull'esposizione al rischio dell'organizzazione e perfezionare continuamente le pratiche di TPM consolidate.

Come per qualsiasi processo di routine, l'automazione può contribuire a snellire le operazioni e a ridurre gli sforzi manuali non necessari. Di seguito sono elencate le principali opportunità di automazione in ogni fase del ciclo di vita della TPM. 

• Acquisizione: automatizza la raccolta dei dati attraverso un portale self-service che possa essere utilizzato dai team per richiedere un nuovo servizio di terze parti o visualizzare i dettagli delle terze parti esistenti.
  
  
• Screening: sfrutta l'automazione per condurre le verifiche di due diligence iniziali, ispezionare le sanzioni governative e le liste di controllo ed effettuare l'analisi dei dati per ogni terza parte in esame.
  
  
• Valutazione: implementa strumenti sul flusso di lavoro che individuino in modo automatico lacune o rischi, inviino risposte appropriate in base agli input ricevuti e raccolgano dati per agevolare il processo decisionale su larga scala.
  
  
• Revisione: crea e assegna automaticamente attività ai team pertinenti per eseguire revisioni di terze parti in base alle risposte ai questionari e ad altri dati raccolti.
  
  
• Monitoraggio: metti in atto un sistema automatico di rilevamento delle minacce e di avviso che notifichi i team di qualsiasi problema o cambiamento nel profilo di rischio di una terza parte.
  
  
• Analisi: utilizza strumenti di analisi dei dati per identificare automaticamente le tendenze tra terze parti e generare registri e analisi dei rischi per le parti interessate.

Privacy dei dati: una priorità assoluta

Con l'aumento della dipendenza delle aziende dai servizi forniti da terze parti, e quindi dei dati e dei rischi complessivi, è ancora più importante che la privacy e la TPM vadano di pari passo. I team che si occupano di privacy forniscono un ulteriore livello di protezione dei dati rispetto all'attuale attenzione della TPM ai controlli di rischio, normativi e di sicurezza.

I suggerimenti sopra descritti possono aiutare ad allineare i team in ogni fase del ciclo di vita della TPM. Centralizzando tutti i dati delle terze parti e utilizzando l'automazione per snellire i processi, un programma integrato di tutela della privacy e TPM facilita il conseguimento della conformità, preserva la fiducia e garantisce l'integrità dei dati.

Riduci i rischi, crea rapporti basati sulla fiducia e migliora la resilienza aziendale unificando la gestione di terze parti in materia di privacy e sicurezza. Prenota subito una demo.