Onderzoek BitSight en Center for Financial Professionals: ‘Veel zorgen over third-party cyberrisico’s’

BitSight en het Center for Financial Profes­si­o­nals (CeFPro) hebben een geza­men­lijk onderzoek gepre­sen­teerd naar de uitda­gingen waar finan­ciële instel­lingen mee te maken hebben op het gebied van third-party cyberrisico’s. Het rapport, getiteld ‘Third Party Cyber Risk for Financial Service: Blind Spots, Emerging Issues & Best Practices’, conclu­deert dat het beheren van third-party cyberrisico’s nood­za­ke­lijk is, maar dat onder andere een gebrek aan continue moni­to­ring en consis­tente rappor­tages ertoe leiden dat orga­ni­sa­ties kwetsbaar zijn voor datalekken.

Veel orga­ni­sa­ties werken met honderden third-parties, waardoor risico’s ontstaan die actief moeten worden beheerd. Met name spelers in de finan­ciële sector hebben te maken met een groot zakelijk leve­ran­ciers­net­werk van juri­di­sche orga­ni­sa­ties, accoun­tancy- en HR-orga­ni­sa­ties, consul­ting en outsour­cing, IT en soft­wa­re­le­ve­ran­ciers. Al deze leve­ran­ciers zijn een poten­tiële kwets­baar­heid wanneer de opdracht­gever het intrin­sieke risico bij de uitwis­se­ling van gevoelige data niet actief beheert.

Bedrijfsbeslissingen

“Het beheren van third-party cyberrisico’s is een toppri­o­ri­teit voor bedrijven”, zegt Jake Olcott, Vice President of Commu­ni­ca­tions and Govern­ment Affairs bij BitSight. “In de finan­ciële sector wordt al veel gedaan om risico’s te beheren. Het rapport toont echter aan dat er veel ruimte voor verbe­te­ring is, met name als het gaat om moni­to­ring en effec­tieve rapportage.”

Third-party cyberrisico’s sturen belang­rijke bedrijfs­be­slis­singen. Bijna 97% van de respon­denten zegt dat cyberrisico’s die invloed hebben op third-parties een groot probleem vormen. Bijna 80% zegt dat ze een relatie hebben opgezegd of zouden weigeren vanwege de cyber­se­cu­rity-pres­ta­ties van een leve­ran­cier. 1 op de 10 orga­ni­sa­ties heeft een functie in het leven geroepen die zich bezig­houdt met risico’s van leve­ran­ciers of third-parties.

Consistente metingen

Er is een gebrek aan consis­tente metingen en rappor­tages van third–party risico’s. Slechts 44% van de respon­denten rappor­teert regel­matig aan hun managers en directie. Het gebrek aan consis­tente rappor­tages verklaart mogelijk waarom één op de vijf respon­denten denkt dat de directie of managers hun aanpak van third-party risi­co­be­heer (TPRM) niet begrijpt.

Een meer­der­heid van de orga­ni­sa­ties gebruikt geen kritieke tools. Respon­denten vertrouwen nog steeds op metho­dieken zoals jaar­lijkse on-site assess­ments, vragen­lijsten en rond­lei­dingen om de houding van third-party ten aanzien van security te beoor­delen. Hierdoor ontstaat slechts een beperkt beeld van third-party cyberrisico’s. Onder­tussen maakt slechts 22% van de orga­ni­sa­ties gebruik van een leve­ran­cier van security ratings om de pres­ta­ties van derden continu te monitoren, dit terwijl 30% aangeeft te kijken naar een leve­ran­cier van security ratings.

TPRM-uitdagingen

Third Party Risk Mana­ge­ment (TPRM)-uitdagingen en zorgen voor de toekomst blijven groeien. Bedrijven maken zich zorgen over de nauw­keu­rig­heid en prak­ti­sche waarde van risico-assess­ment data en over de ondui­de­lijk­heid over wie binnen een orga­ni­satie verant­woor­de­lijk is voor dit type risi­co­be­heer. Kijkend naar de toekomst richten respon­denten zich op het ontwik­kelen van effec­tie­vere security-programma’s, up-to-date blijven op het gebied van nieuwe regel­ge­vingen en het prio­ri­teren van continue moni­to­ring en zichtbaarheid.

Potentiële oplossingen

“Dit rapport roept een aantal inte­res­sante vragen en uitda­gingen op voor de industrie. C‑level managers nemen verant­woor­de­lijk­heid en het is duidelijk dat de meer­der­heid van de respon­denten begrijpt hoe groot third-party risico’s kunnen zijn. Daarnaast is ook duidelijk dat er helder­heid moet zijn, met meer commu­ni­catie op direc­tie­ni­veau”, zegt Andreas Simou, Managing Director bij CeFPro. “Hoewel er de laatste jaren een signi­fi­cante groei is in effec­ti­vi­teit, aandacht en resources voor third-party cyberrisico’s, is er nog steeds veel te doen. Bijvoor­beeld het inzetten van effec­tie­vere tools en tech­nieken om de groeiende drei­gingen binnen de industrie het hoofd te bieden, waarmee onder meer  third (en fourth) party cyberrisico’s (zoge­naamde concentratierisico’s) worden aangepakt. Dit rapport toont een aantal poten­tiële oplos­singen en mogelijkheden.”

Er komen steeds meer tools en best practices op de markt om orga­ni­sa­ties te helpen bij belang­rijke uitda­gingen en zorgen die bij het onderzoek naar boven zijn gekomen. Om de risico’s effectief te beheren en toekom­stige uitda­gingen het hoofd te kunnen bieden, moeten orga­ni­sa­ties gebruik­maken van best practices en continue moni­to­ring zoals security ratings om cyberrisico’s te meten en te beheren met accurate third-party data.