BitSight en het Center for Financial Professionals (CeFPro) hebben een gezamenlijk onderzoek gepresenteerd naar de uitdagingen waar financiële instellingen mee te maken hebben op het gebied van third-party cyberrisico’s. Het rapport, getiteld ‘Third Party Cyber Risk for Financial Service: Blind Spots, Emerging Issues & Best Practices’, concludeert dat het beheren van third-party cyberrisico’s noodzakelijk is, maar dat onder andere een gebrek aan continue monitoring en consistente rapportages ertoe leiden dat organisaties kwetsbaar zijn voor datalekken.
Veel organisaties werken met honderden third-parties, waardoor risico’s ontstaan die actief moeten worden beheerd. Met name spelers in de financiële sector hebben te maken met een groot zakelijk leveranciersnetwerk van juridische organisaties, accountancy- en HR-organisaties, consulting en outsourcing, IT en softwareleveranciers. Al deze leveranciers zijn een potentiële kwetsbaarheid wanneer de opdrachtgever het intrinsieke risico bij de uitwisseling van gevoelige data niet actief beheert.
Bedrijfsbeslissingen
“Het beheren van third-party cyberrisico’s is een topprioriteit voor bedrijven”, zegt Jake Olcott, Vice President of Communications and Government Affairs bij BitSight. “In de financiële sector wordt al veel gedaan om risico’s te beheren. Het rapport toont echter aan dat er veel ruimte voor verbetering is, met name als het gaat om monitoring en effectieve rapportage.”
Third-party cyberrisico’s sturen belangrijke bedrijfsbeslissingen. Bijna 97% van de respondenten zegt dat cyberrisico’s die invloed hebben op third-parties een groot probleem vormen. Bijna 80% zegt dat ze een relatie hebben opgezegd of zouden weigeren vanwege de cybersecurity-prestaties van een leverancier. 1 op de 10 organisaties heeft een functie in het leven geroepen die zich bezighoudt met risico’s van leveranciers of third-parties.
Consistente metingen
Er is een gebrek aan consistente metingen en rapportages van third–party risico’s. Slechts 44% van de respondenten rapporteert regelmatig aan hun managers en directie. Het gebrek aan consistente rapportages verklaart mogelijk waarom één op de vijf respondenten denkt dat de directie of managers hun aanpak van third-party risicobeheer (TPRM) niet begrijpt.
Een meerderheid van de organisaties gebruikt geen kritieke tools. Respondenten vertrouwen nog steeds op methodieken zoals jaarlijkse on-site assessments, vragenlijsten en rondleidingen om de houding van third-party ten aanzien van security te beoordelen. Hierdoor ontstaat slechts een beperkt beeld van third-party cyberrisico’s. Ondertussen maakt slechts 22% van de organisaties gebruik van een leverancier van security ratings om de prestaties van derden continu te monitoren, dit terwijl 30% aangeeft te kijken naar een leverancier van security ratings.
TPRM-uitdagingen
Third Party Risk Management (TPRM)-uitdagingen en zorgen voor de toekomst blijven groeien. Bedrijven maken zich zorgen over de nauwkeurigheid en praktische waarde van risico-assessment data en over de onduidelijkheid over wie binnen een organisatie verantwoordelijk is voor dit type risicobeheer. Kijkend naar de toekomst richten respondenten zich op het ontwikkelen van effectievere security-programma’s, up-to-date blijven op het gebied van nieuwe regelgevingen en het prioriteren van continue monitoring en zichtbaarheid.
Potentiële oplossingen
“Dit rapport roept een aantal interessante vragen en uitdagingen op voor de industrie. C-level managers nemen verantwoordelijkheid en het is duidelijk dat de meerderheid van de respondenten begrijpt hoe groot third-party risico’s kunnen zijn. Daarnaast is ook duidelijk dat er helderheid moet zijn, met meer communicatie op directieniveau”, zegt Andreas Simou, Managing Director bij CeFPro. “Hoewel er de laatste jaren een significante groei is in effectiviteit, aandacht en resources voor third-party cyberrisico’s, is er nog steeds veel te doen. Bijvoorbeeld het inzetten van effectievere tools en technieken om de groeiende dreigingen binnen de industrie het hoofd te bieden, waarmee onder meer third (en fourth) party cyberrisico’s (zogenaamde concentratierisico’s) worden aangepakt. Dit rapport toont een aantal potentiële oplossingen en mogelijkheden.”
Er komen steeds meer tools en best practices op de markt om organisaties te helpen bij belangrijke uitdagingen en zorgen die bij het onderzoek naar boven zijn gekomen. Om de risico’s effectief te beheren en toekomstige uitdagingen het hoofd te kunnen bieden, moeten organisaties gebruikmaken van best practices en continue monitoring zoals security ratings om cyberrisico’s te meten en te beheren met accurate third-party data.