비용 절감, 효율성 증대 및 전략적 이점 구축을 위한 노력의 일환으로 금융 서비스 조직은 확장하고 있습니다. 아웃소싱을 사용하고 중요한 비즈니스 및 IT 프로세스를 제3자에게 광범위하게 의존하고 있습니다. 제3자는 비즈니스에 다양한 이점을 제공하지만 제3자가 중요한 시스템, 민감한 정보에 액세스하고 잠재적으로 하청업체를 고용함에 따라 사이버 위험 노출도 증가합니다. 사이버 외에도 종속 위험, 규정 준수 등과 같은 제3자 위험이 더 있지만 이 블로그 게시물에서는 다루지 않습니다.
타사에 대한 높은 의존도에도 불구하고 조직은 아직 전체적이고 조정된 방식으로 위험을 관리하지 못하고 있습니다. 또한 은행 및 금융 서비스 산업과 같이 규제가 심한 산업은 제3자 사이버 위험 관리에 대해 전략적으로 생각해야 합니다. . 제3자 사이버 위험 관리에 대한 잠재적인 처벌은 규제 벌금에서 운영 라이센스 상실에 이르기까지 충분하지 않습니다. 점점 더 많은 유럽 규제 기관이 뉴욕주 금융 서비스부(NYDFS)의 새로운 사이버 규정에 설명된 대로 엄격한 요구 사항을 채택할 준비를 함에 따라 스위스 금융 서비스 조직은 이러한 위험을 관리하기 위한 사전 조치를 취해야 합니다.
제3자 사이버 위험 관리(TPCRM)는 제3자와 관련된 사이버 위험을 식별, 평가 및 방지하거나 수용 가능한 수준으로 줄이는 프로세스입니다. 해당 수준을 결정하는 것은 조직, 자산 가치, 위협 수준 및 예산 규모에 따라 다릅니다. 전체론적 TPCRM 프레임워크에는 규정 준수 요구 사항(예:위반 알림, e-디스커버리 지원, 데이터 위치 요구 사항 등), 보안 요구 사항(예:원격 액세스, 암호화, 재해 복구를 위한 다단계 인증)을 다루는 다계층 접근 방식이 필요합니다. 및 법적 요구 사항(예:감사 권리, 데이터 소유권, 하청 계약, NDA 등).
효과적이고 부가가치가 높은 TPCRM을 구현하려면 실사 프로세스에서 시작하여 온보딩 및 계약, 지속적인 모니터링, 마지막으로 오프보딩 및 종료.
각 TPCRM 프레임워크의 핵심은 2계층 접근 방식이 모범 사례로 간주되는 제3자 사이버 위험을 평가하는 접근 방식입니다. 첫째, 고유 위험 평가는 제3자를 서비스의 특성에 따라 통제를 고려하지 않고 낮음, 중간 또는 높음 고유 위험 공급업체로 분류하는 데 사용됩니다. 둘째, 고유한 위험 등급을 기반으로 공급업체가 조직의 위험 선호도를 충족하는 건전한 보안 통제를 갖추고 있는지 평가해야 합니다. 설문지를 통해 '알려주세요' 연습을 수행하여 중요한 공급업체 기반의 현재 보안 위험 수준에 대한 통찰력을 얻으십시오. 마지막으로 이러한 통찰력을 사용하여 제어 테스트에 대한 '보여주기' 접근 방식을 채택하는 현장 검토 또는 원격 평가를 계획하고 수행합니다.
일부 조직에서는 공급업체 수가 직원 수와 같거나 더 많습니다. 제3자 사이버 위험을 대규모로 관리하려면 조직에서 인력과 민첩하고 확장 가능한 실행 모델을 고려해야 합니다. 다음과 같은 여러 가지 이유로 관리형 서비스를 사용하는 것이 점점 더 보편화되고 있습니다.
클라우드 컴퓨팅 솔루션의 급속한 채택과 비즈니스 프로세스의 아웃소싱으로 인해 타사에 대한 비즈니스의 의존도는 더욱 증가할 것입니다. 우리의 경험을 바탕으로 조직은 다음을 고려하는 것이 좋습니다.
출처:Deloitte TPGRM(Third Party Governance Risk Management) 확장 엔터프라이즈 위험 관리 글로벌 설문조사 2017