Bedrijven zien ondanks investeringen derde partijen bedrijfsvoering verstoren

Dit blijkt uit een nieuw onderzoek van Gartner. Het onderzoek is in juli en augustus 2023 uitgevoerd onder 376 senior executives die betrokken zijn bij cyberbeveiligingsrisicobeheer van derden bij organisaties uit verschillende sectoren, regio’s en omvang.“Cybersecurity-risicobeheer van derden is vaak arbeidsintensief, te procesgericht en levert weinig op in termen van resultaten”, zegt Zachary Smith, Sr Principal Research bij Gartner. “Cybersecurityteams hebben moeite om veerkracht op te bouwen tegen verstoringen door derden en om zakelijke beslissingen over derden te beïnvloeden.”

Voorwaarden voor effectieve TPCRM

Het Succesvol beheren van cyberveiligheidsrisico's gerelateerd aan derden hangt af van het vermogen van de beveiligingsorganisatie om drie resultaten te behalen: efficiënt gebruik van hulpbronnen, risicobeheer en veerkracht en invloed op de zakelijke besluitvorming. Bedrijven hebben echter moeite om effectief te zijn in twee van deze drie uitkomsten, en slechts 6% van de organisaties is effectief in alle drie de uitkomsten (zie figuur 1).

Figuur 1. Het vermogen van beveiligingsorganisaties om drie resultaten te behalen voor effectieve TPCRM

Bron: Gartner (december 2023)

Vier acties voor effectief TPCRM

Op basis van de onderzoeksresultaten identificeert Gartner vier acties die leiders op het gebied van beveiliging en risicobeheer moeten ondernemen om hun effectiviteit bij het beheersen van cyberbeveiligingsrisico's van derden te vergroten. Uit het onderzoek blijkt dat organisaties die een van deze acties implementeerden een toename van 40-50% in de TPCRM-effectiviteit zagen.

Deze acties omvatten:

• Controleer regelmatig hoe effectief risico's van derden worden gecommuniceerd naar de bedrijfseigenaar van de relatie met derden: Chief Information Security Officers (CISO's) moeten regelmatig beoordelen hoe goed het bedrijf hun berichtgeving over risico's van derden begrijpt om ervoor te zorgen dat ze actiegerichte maatregelen bieden inzichten rond deze risico’s.
• Kijk goed welke samenwerkingen de business aangaat: Bedrijfseigenaren zullen er vaak voor kiezen om met een derde partij in zee te gaan, zelfs als deze goed op de hoogte zijn van de bijbehorende cyberbeveiligingsrisico's. Het volgen van beslissingen helpt beveiligingsteams om compenserende controles voor risicoacceptatie op elkaar af te stemmen en waarschuwt beveiligingsteams voor bijzonder risicovolle bedrijfseigenaren die mogelijk meer toezicht op de cyberbeveiliging nodig hebben.
• Voer incidentresponsplanning van derden uit: Effectief TPCRM gaat verder dan het identificeren en rapporteren van cyberbeveiligingsrisico's. CISO's moeten ervoor zorgen dat de organisatie over sterke noodplannen beschikt om zich voor te bereiden op onverwachte scenario's en om goed te kunnen herstellen na een incident.
• Werk samen met cruciale derde partijen om hun praktijken op het gebied van beveiligingsrisicobeheer waar nodig te perfectioneren: in een hyper-connected omgeving is het risico van een kritische derde partij ook het risico van de organisatie. Door samen te werken met de cruciale derde partijen om hun praktijken op het gebied van beveiligingsrisicobeheer te verbeteren, bevorderen partijen de transparantie en samenwerking.

Meer informatie is voor klanten van Gartner beschikbaar in 'Infographic: Minimize Disruption from Third-Party Cybersecurity Risks'. Daarnaast delen Gartner-analisten het nieuwste onderzoek en advies voor leiders op het gebied van beveiliging en risicobeheer presenteren op de Gartner Security & Risk Management Summits, die plaatsvinden van 12-13 februari 2024 in Dubai, 26-27 februari in India, 18-19 maart in Sydney, juni 3-5 in National Harbor, MD, 24-26 juli in Tokio en 23-25 september in Londen.