Wat is risicobeheer van derden (TPRM)?

Derden zijn belangrijk voor het succes van het bedrijf, maar kunnen op verschillende manieren risico's met zich meebrengen.

Samenwerken met derden kan risico's met zich meebrengen voor uw bedrijf. Als ze toegang hebben tot gevoelige gegevens, kunnen ze een beveiligingsrisico vormen. Als ze een essentieel onderdeel of een essentiële service voor uw bedrijf bieden, kunnen ze operationele risico's met zich meebrengen, enzovoort. Met risicobeheer van derden kunnen organisaties het risico van derden controleren en beoordelen om te bepalen waar de drempel wordt overschreden die door het bedrijf is ingesteld. Hierdoor kunnen organisaties beslissingen nemen op basis van risico's en de risico's van leveranciers tot een aanvaardbaar niveau beperken.

Derden zijn een belangrijk onderdeel van het succes van een bedrijf. Organisaties van elke omvang zijn steeds meer afhankelijk van derden voor hun innovatie, groei en digitale transformatie.

Maar een sterke afhankelijkheid van derden kan riskant zijn. De risicohouding van een derde partij is cruciaal voor de risicohouding, veerkracht en reputatie van een bedrijf dat gebruik maakt van een derde partij. Het kan erg kostbaar en moeilijk zijn om een incident van derden aan te pakken, met gevolgen als juridische maatregelen, reputatieschade en inkomstenderving. Derden moeten zorgvuldig worden gescreend met doorlopende risicobeoordelingen om ervoor te zorgen dat een organisatie wordt beschermd en beveiligd.

Tot nu toe was het risicobeheer van leveranciers tijdrovend en foutgevoelig. Het bestond uit handmatige processen met behulp van e-mails, spreadsheets en tools voor risicobeheer van leveranciers in silo's. Deze processen en tools zijn simpelweg ontoereikend - noch de tools, noch de teams kunnen het groeiende aantal derden bijhouden. Veel voorkomende uitdagingen van bedrijven die geen moderne of uitgebreide oplossingen hebben geïmplementeerd, zijn:

  • Handmatige processen: Lage efficiëntie bij het bewaken van derden en een langere tijd om problemen op te sporen en te beperken.
  • Gebrek aan beoordeling: Teams kunnen het beheer van derden niet bijbenen wanneer ze een tool gebruiken die niet beoordeelbaar is, wat de risico's kan verhogen.
  • Silo's: Te veel silo's kunnen problemen veroorzaken bij de toegang tot risicogegevens in de hele organisatie.
  • Niet verbonden: Geen enkele bedrijfscontext maakt het moeilijk om risico's van derden te prioriteren tijdens de levenscyclus van de leverancier of wanneer de vereisten veranderen.

Hieronder staan enkele belangrijke overwegingen waarmee rekening moet worden gehouden bij het kiezen van een derde. De antwoorden bepalen het risiconiveau dat ze voor het bedrijf vormen:

  • Tot welk type gegevens hebben ze toegang? Welk type toegang is verleend?
  • Werken ze samen met vierde partijen die leveringsproblemen kunnen veroorzaken?
  • Bevinden ze zich in een onstabiel deel van de wereld?
  • Leveren ze een kritiek product of een cruciale dienst? Zo ja, moeten we dan een alternatieve leverancier hebben?
  • Wat is hun beveiligingsgeschiedenis, welke best practices hebben ze en voeren ze uit? (Basishygiëne, patches voor SLA's, geschiedenis van inbreuken, enz.)
  • Hebben ze plannen voor bedrijfscontinuïteit?
  • Zijn ze in overeenstemming met de voorschriften die uw organisatie heeft geïdentificeerd?
  • Wat is hun financiële situatie?

Strategisch risico

Strategie kan bedreigd worden wanneer derden en organisaties niet op één lijn zijn met betrekking tot beslissingen en doelstellingen. Het is van cruciaal belang om derden te controleren om ervoor te zorgen dat strategische risico's niet leiden tot een gebrek aan naleving of uiteindelijk financiële risico's.

Afbeelding met de verschillende soorten risico's van derden.

Reputatierisico

De reputatie van een bedrijf kan afhankelijk zijn van de reputatie van een derde met wie ze zaken doen. Als een derde partij een reputatieprobleem of een gegevensinbreuk ervaart, kan dit het vertrouwen van de klant in een bedrijf dat met de derde partij samenwerkt, verminderen.

Operationeel risico

Activiteiten kunnen soms afhankelijk zijn van toepassingen en diensten van derden, en er bestaat altijd een risico dat de derde het slachtoffer wordt van een cyberaanval of een serviceonderbreking die kan leiden tot operationele onderbrekingen, gegevensverlies of een privacyschending. Als er vierde partijen bij betrokken zijn, gelden dezelfde problemen voor hen.

Transactierisico

Er kunnen problemen zijn met de levering van een product of dienst door een derde partij, die transactionele problemen binnen een organisatie kunnen veroorzaken.

Nalevingsrisico

Risico's van derden worden geleidelijk vaker opgenomen als een vereiste voor naleving. Daarom moet de risicotolerantie voor naleving ook worden uitgebreid naar derden.

Risico van informatiebeveiliging

Ongeacht de vorm van gegevens, bestaat er een risico dat voortvloeit uit het toestaan van interactie tussen een derde partij en gegevens, inclusief risico's door onbevoegde toegang, verstoring, wijziging, opname, inspectie, of vernietiging van informatie.

Financieel risico

Het is belangrijk om samen te werken met financieel rendabele derden om onderbrekingen in de leveringsketen te voorkomen. Bovendien zijn derden die in financiële problemen zijn mogelijk niet zo gefocust op beveiligingsmaatregelen, waardoor ze zich openstellen voor onnodige risico's.

Er zijn een paar essentiële stappen voor risicobeheer van derden:

Onboarding

Wanneer u overweegt om samen te werken met derden, is het belangrijk om een eerste risicobeoordeling uit te voeren als onderdeel van het besluitvormingsproces - voordat u een derde formeel aan boord neemt. U kunt externe gegevens gebruiken om een breder beeld te krijgen van de risico's van derden door bijvoorbeeld cyberbeveiligingsbeoordelingen te gebruiken om hun beveiligingssituatie te meten. Dit vermindert de kans op onbewust overnemen van ongewenste risico's.

Niveau

Als onderdeel van de eerste risicobeoordeling, idealiter uitgevoerd vóór de introductie, of zodra de derde aan boord is gebracht, moet er een gelaagde beoordeling worden uitgevoerd. Deze beoordeling wordt intern uitgevoerd en de derde wordt in een niveau geplaatst waarin het type en de frequentie van de beoordelingen wordt bepaald die de derde zal ontvangen. Niveau 1 of kritieke leveranciers zijn het hoogste niveau. Sommige leveranciers bevinden zich op een niveau dat geen regelmatige evaluaties vereist (bijvoorbeeld de derden die zaken voorbereiden). Externe gegevens van bijvoorbeeld providers van beveiligingsbeoordelingen kunnen worden gebruikt om het niveau zo nodig aan te passen.

Beoordelen

Derden in de hoogste niveaus moeten regelmatig risicobeoordelingen laten uitvoeren, die moeten worden gebaseerd op het risicogebied dat de derde vormt. Leveranciers die bijvoorbeeld een onderdeel vervaardigen, kunnen vragen hebben over werknemers, gezondheid en veiligheid, terwijl adviesbureaus dat niet doen. Maar alle derden zouden vragen hebben over hun beveiligingssituatie en financiële levensvatbaarheid. De frequentie van deze beoordelingen is gebaseerd op het niveau, waarbij het hoogste niveau de meest frequente beoordelingen heeft.

Bevindingen genereren

Wanneer een beoordeling wordt geretourneerd, zijn er mogelijk antwoorden die niet naar tevredenheid of onvolledig zijn. Daarnaast moeten alle objectieve externe gegevens die worden verzameld rond de financiële status of beveiligingsstatus van derden, op dit moment worden geëvalueerd op eventuele problemen. Problemen of bevindingen kunnen vervolgens worden teruggestuurd naar de derde om te reageren.

Problemen verhelpen

Er kan een periode zijn waarin een beoordeling heen en weer wordt gestuurd, taken worden gegenereerd, problemen worden opgelost en er indien nodig bewijs wordt verstrekt. Alle communicatie moet worden vastgelegd voor toekomstig gebruik. Uiteindelijk kunnen er enkele risico's worden aanvaard.

Risico's rapporteren

Na het identificeren, analyseren en verhelpen van het risico, dient u hierover verslag uit te brengen aan de noodzakelijke partijen. Alle belanghebbenden moeten het gewenste niveau aan inzicht kunnen krijgen.

Monitoren

Zoals eerder vermeld, moeten derden voortdurend worden beoordeeld. Dit is in het ideale geval het controleren op eventuele wijzigingen in risico's of prestaties. Dit kan worden gedaan door frequentere beoordelingen of externe gegevensfeeds, zoals continu bijgewerkte beoordelingen van cyberbeveiliging. Wijzigingen moeten automatisch een probleem, beoordeling en/of niveauwijziging triggeren. Het is van cruciaal belang om voortdurend te controleren of alle derden aan hun verplichtingen voldoen en geen ongewenst risico voor de organisatie vormen.

Intrekken

Alle organisaties moeten een formeel proces hebben om derden buiten gebruik te stellen en ervoor te zorgen dat alle informatie die niet mag worden opgeslagen permanent wordt verwijderd.

  • Volledig inzicht in alle relaties met derden
  • Een formele beoordeling vóór contractondertekening en due diligence
  • Gebruik van gestandaardiseerde, risicobeperkende termen
  • Risicogebaseerde bewaking en toezicht
  • Formeel offboarding aan het einde van de relatie

  • Digitaliseer en integreer alle aspecten van de levenscyclus van leveranciersbeheer. Het beoordelen van risico's moet deel uitmaken van de vroege stadia.
  • Consolideer leveranciersinformatie en werk samen met derden terwijl u een auditspoor van alle samenwerkingen bijhoudt.
  • Inzicht krijgen in en zicht houden op risico's en prestaties van derden, inclusief dochterondernemingen (of vierde partijen).
  • Ontwikkel een nauwkeurige beoordeling van waar het risico vandaan komt.
  • Maak risicoscores om risico's te vergelijken, prioriteren en communiceren.
  • Gebruik machine learning- en automatiseringssystemen om meer te bereiken en tegelijkertijd kosten te verlagen.
  • Maak een herstelplan en integreer een plan in elk aspect van het leveranciersbeheersysteem.
  • Integratie met andere toepassingen (zoals gegevensfeeds voor cyberbeveiligingstarieven) en systemen van derden.

  • Verbeterde klantbeleving
  • Verbeterde algehele beveiligingspostuur
  • Betere operationele efficiëntie
  • Verbeterde klantenwerving en -behoud
  • Verbeterd vertrouwen van de klant
  • Verbeterde omzet, prognoses en winstgevendheid
  • Consistente prestaties van derden die aan de verwachtingen voldoen
  • Beter vermogen om de doelstellingen van een organisatie uit te voeren, zowel strategische doelstellingen op bedrijfs- als projectniveau
  • Minimaliseer bedrijfsonderbrekingen
  • Sneller herstellen van onderbrekingen

Ga aan de slag met ServiceNow Governance, Risk, and Compliance

Beheer risico en veerkracht in real time met ServiceNow.


Contact
Demo