Come gestire i rischi di terze parti prima, durante e dopo la firma di un Service Level Agreement

Uno dei principali vantaggi di eventi come il Next-Generation Security Summit è l’opportunità di entrare in contatto e condividere informazioni con i responsabili della sicurezza di vari settori. Nelle sessioni recenti, il rischio di terze parti è stato un argomento di particolare interesse.

Nel settore bancario, il dibattito è condotto in gran parte dallo US Office of the Comptroller of the Currency, che ha di recente aggiornato le sue linee guida al risk management nelle relazioni con terze parti. Nel campo dell’assistenza sanitaria, le disposizioni dell’Health Insurance Portability and Accountability Act (HIPAA), dell’Health Information Technology for Economic and Clinical Health Act e della sentenza finale dell’HIPAA Omnibus sanciscono che chiunque custodisca informazioni sanitarie protette, inclusi i consulenti e collaboratori esterni, deve osservare gli stessi obblighi di sicurezza e privacy.

I responsabili della sicurezza, siano essi guidati dalla conformità o da una maggiore considerazione dei rischi nella propria supply chain, devono avere oggi una sempre più elevata consapevolezza del rischio di terze parti. In base a questo dibattito sul rischio di terze parti, di seguito sono riportati cinque aspetti chiave per la gestione dei rischi prima, durante e dopo la firma di un Service Level Agreement.

Prima della firma del contratto

Nell’ambito di una nuova relazione con le terze parti, una delle considerazioni più importanti deve essere che la sicurezza, la privacy, la conformità e il rischio non vanno lasciati agli ultimi momenti prima della firma. Al contrario, la best practice consiglia di stabilire una partnership tra approvvigionamento, risk management relativo ai vendor, IT, sicurezza e personale legale dall’inizio del coinvolgimento della terza parte. Questa partnership tra le funzioni è fondamentale per garantire quanto segue:

  1. Obiettivi aziendali allineati: Entrambe le parti devono avere una visione comune rispetto agli obiettivi di business della relazione e rispetto al valore previsto del processo o del servizio della terza parte.
  2. Controlli di sicurezza: I controlli di sicurezza necessari devono essere inclusi nella richiesta di proposta e il team di sicurezza deve essere coinvolto nella revisione di ciascuna risposta.
  3. Criteri di valutazione: I criteri per valutare il rischio relativo ai vendor e service provider di servizi di terze parti devono essere chiaramente definiti.
  4. Standard linguistici: È necessario definire la lingua del contratto da includere in ciascun accordo con terze parti.
  5. Considerazioni sull’integrazione I dettagli dell’integrazione e della configurazione IT con sistemi di terze parti devono essere inclusi in ciascun accordo con terze parti.

Durante le negoziazioni

Sia che si utilizzi l’accordo della terza parte o l’accordo master dell’organizzazione, i seguenti argomenti meritano particolare attenzione:

  1. Dati: Discutere del modo in cui vengono trasferiti i dati; della loro ubicazione, conservazione e distruzione.
  2. Assessment in corso: Stabilire il diritto di svolgere audit; eseguire assessment dei rischi; condurre test di penetrazione e/o accedere ai risultati dei test di penetrazione e di effettuare visite on-site.
  3. Business Continuity Analizzare i dati delle strutture dei data center, che possono includere quarte parti; i piani e i test per il disaster recovery (DR) e i piani e i test e per l’incident response (IR).
  4. Risoluzione del contratto: Delineare i mezzi per una risoluzione consensuale e il trasferimento del processo o del servizio nuovamente all’organizzazione o a un’altra terza parte.
  5. Costi nascosti: Ad esempio, scoprire se l’accesso non autorizzato o attacchi di tipo denial-of-service distribuiti sono definiti come “forza maggiore” e pertanto esclusi dalla responsabilità della terza parte o se sono presenti restrizioni significative e/o costi per l’organizzazione legati all’esercizio del diritto di svolgere audit.

Dopo la firma del contratto

La firma di un Service Level Agreement non indica la fine della gestione del rischio di terze parti. L’atteggiamento delle terze parti e la relazione con esse devono essere rivalutati regolarmente, particolarmente ogni volta che viene apportata una modifica all’oggetto del contratto, una modifica fisica alla tecnologia oppure si verifica un incidente di sicurezza. Gli elementi da incorporare in tali assessment periodici includono quanto segue:

  1. Contesto di assessment: Ad esempio, chi le ha eseguito l’assessment, in che modo e quando. È stato in remoto oppure on-site? La documentazione è stata ricevuta? Ci sono state revisioni indipendenti? Deve inoltre esistere un elenco di rischi identificati in precedenza e procedure consigliate per ridurre tali rischi.
  2. Visite on-site Documentare l’ambito, gli obiettivi e i risultati della visita on-site.
  3. Revisione dei controlli di sicurezza: Prendere nota dei controlli tecnici, amministrativi e fisici.
  4. Revisione della Business Continuity: Rivedere i piani di DR e di IR, i risultati dei test, i risultati dei test indipendenti e le certificazioni.
  5. Opinione degli analisti: Ricercare informazioni approfondite oggettive e raccomandazioni sull’assessment e qualsiasi rischio residuo associato a terze parti. Questo è solo uno dei modi per elencare alcuni degli elementi più importanti. In organizzazioni più grandi, sono presenti team di persone che si concentrano in modo specifico su questi importanti argomenti.

Garantendo il rispetto degli standard in ogni fase di creazione di un Service Level Agreement, le relazioni di terze parti con altri vendor possono diventare un asset per un’organizzazione e non una responsabilità.

No Comments