제3자 관계로 인한 사이버 위험을 얼마나 잘 관리하고 있습니까?


비용 절감, 효율성 증대 및 전략적 이점 구축을 위한 노력의 일환으로 금융 서비스 조직은 확장하고 있습니다. 아웃소싱을 사용하고 중요한 비즈니스 및 IT 프로세스를 제3자에게 광범위하게 의존하고 있습니다. 제3자는 비즈니스에 다양한 이점을 제공하지만 제3자가 중요한 시스템, 민감한 정보에 액세스하고 잠재적으로 하청업체를 고용함에 따라 사이버 위험 노출도 증가합니다. 사이버 외에도 종속 위험, 규정 준수 등과 같은 제3자 위험이 더 있지만 이 블로그 게시물에서는 다루지 않습니다.

타사에 대한 높은 의존도에도 불구하고 조직은 아직 전체적이고 조정된 방식으로 위험을 관리하지 못하고 있습니다. 또한 은행 및 금융 서비스 산업과 같이 규제가 심한 산업은 제3자 사이버 위험 관리에 대해 전략적으로 생각해야 합니다. . 제3자 사이버 위험 관리에 대한 잠재적인 처벌은 규제 벌금에서 운영 라이센스 상실에 이르기까지 충분하지 않습니다. 점점 더 많은 유럽 규제 기관이 뉴욕주 금융 서비스부(NYDFS)의 새로운 사이버 규정에 설명된 대로 엄격한 요구 사항을 채택할 준비를 함에 따라 스위스 금융 서비스 조직은 이러한 위험을 관리하기 위한 사전 조치를 취해야 합니다.

타사 사이버 위험 관리

제3자 사이버 위험 관리(TPCRM)는 제3자와 관련된 사이버 위험을 식별, 평가 및 방지하거나 수용 가능한 수준으로 줄이는 프로세스입니다. 해당 수준을 결정하는 것은 조직, 자산 가치, 위협 수준 및 예산 규모에 따라 다릅니다. 전체론적 TPCRM 프레임워크에는 규정 준수 요구 사항(예:위반 알림, e-디스커버리 지원, 데이터 위치 요구 사항 등), 보안 요구 사항(예:원격 액세스, 암호화, 재해 복구를 위한 다단계 인증)을 다루는 다계층 접근 방식이 필요합니다. 및 법적 요구 사항(예:감사 권리, 데이터 소유권, 하청 계약, NDA 등).

효과적인 TPCRM 구현을 위해 고려해야 할 단계

효과적이고 부가가치가 높은 TPCRM을 구현하려면 실사 프로세스에서 시작하여 온보딩 및 계약, 지속적인 모니터링, 마지막으로 오프보딩 및 종료.

각 TPCRM 프레임워크의 핵심은 2계층 접근 방식이 모범 사례로 간주되는 제3자 사이버 위험을 평가하는 접근 방식입니다. 첫째, 고유 위험 평가는 제3자를 서비스의 특성에 따라 통제를 고려하지 않고 낮음, 중간 또는 높음 고유 위험 공급업체로 분류하는 데 사용됩니다. 둘째, 고유한 위험 등급을 기반으로 공급업체가 조직의 위험 선호도를 충족하는 건전한 보안 통제를 갖추고 있는지 평가해야 합니다. 설문지를 통해 '알려주세요' 연습을 수행하여 중요한 공급업체 기반의 현재 보안 위험 수준에 대한 통찰력을 얻으십시오. 마지막으로 이러한 통찰력을 사용하여 제어 테스트에 대한 '보여주기' 접근 방식을 채택하는 현장 검토 또는 원격 평가를 계획하고 수행합니다.

일부 조직에서는 공급업체 수가 직원 수와 같거나 더 많습니다. 제3자 사이버 위험을 대규모로 관리하려면 조직에서 인력과 민첩하고 확장 가능한 실행 모델을 고려해야 합니다. 다음과 같은 여러 가지 이유로 관리형 서비스를 사용하는 것이 점점 더 보편화되고 있습니다.

  • 조직은 규모의 경제 및 관련 비용 이점을 누릴 수 있습니다.
  • 수요에 따라 빠르게 확장 및 축소할 수 있는 기능을 제공합니다.
  • 규제 당국은 외부 평가자를 선호하는 경우가 많으며 일반적으로 높은 수준의 신뢰를 받습니다.
  • 감사 마인드를 가진 숙련된 보안 전문가를 찾는 데 대한 걱정은 그렇게 하면 줄일 수 있습니다.

핵심 사항

클라우드 컴퓨팅 솔루션의 급속한 채택과 비즈니스 프로세스의 아웃소싱으로 인해 타사에 대한 비즈니스의 의존도는 더욱 증가할 것입니다. 우리의 경험을 바탕으로 조직은 다음을 고려하는 것이 좋습니다.

  1. 보안을 개선하고 규정 준수 문제뿐만 아니라 위험을 소유한 기업에 가치를 제공하는 TPCRM 프로그램을 정의합니다.
  2. 공급업체 수명 주기에 완전히 통합된 타사 위험 관리 솔루션을 구현하여 비즈니스 중단을 최소화합니다.
  3. 평가의 높은 수준의 일관성과 표준화를 보장하기 위해 확장 가능한 방식으로 제3자 위험 평가를 실행합니다.
  4. 회사의 내부 통제 프레임워크(예:액세스 재인증, 데이터 보호 조치, 패치 관리 등)의 효율성도 조사하여 제3자와 관련된 사이버 위험에 대한 완전한 그림을 얻습니다.
  5. 제3자 사이버 위험 관리를 전사적 위험 및 보안 인식과 교육 프로그램에 포함합니다.

출처:Deloitte TPGRM(Third Party Governance Risk Management) 확장 엔터프라이즈 위험 관리 글로벌 설문조사 2017


은행업
  1. 외환 시장
  2.   
  3. 은행업
  4.   
  5. 외환 거래