Risikomanagement für Drittanbietersicherheit erfordert regelmäßige Neubewertungen

Auch wenn die Sicherheitsrichtlinien und -prozesse Ihrer Geschäftspartner zu Beginn Ihrer Geschäftsbeziehungen gründlich geprüft wurden, erfordert das Risikomanagement für Drittanbietersicherheit regelmäßige neue Bewertungen, um einen angemessenen Grad an Sicherheit, Datenschutz, Compliance und Ausfallsicherheit sicherzustellen.

Wie häufig sollte eine Neubewertung von Sicherheitsrisiken stattfinden?

Experten sind sich einig, dass eine geschäftliche Vereinbarung nicht das Ende des Risikomanagements für Drittanbietersicherheit ist – sie ist der Anfang. Die Sicherheitssituation des Drittanbieters und der allgemeine Status der Geschäftsbeziehung sollten mindestens einmal pro Jahr neu bewertet werden, auch wenn viele Drittanbieter eine dreijährige Vertragslaufzeit bevorzugen. Neubewertungen sollten auch nach Vertragsänderungen erfolgen, unabhängig davon, ob es sich um eine Änderung im Leistungsumfang der Vereinbarung oder eine wesentliche Änderung in der IT handelt, die von beiden Parteien verwendet wird. Der Drittanbieter sollte auch überprüft werden, wenn Probleme wie ein Sicherheitsereignis oder ein wesentlicher Auditmangel auftreten.

In vergangenen Sitzungen desNext-Generation Security Summit war das Drittanbietersicherheitsrisiko ein Schwerpunktthema und Sicherheitsexperten aus zahlreichen Branchen gaben ihr Wissen und ihre Erfahrungen in diesem Bereich weiter. Entsprechend ihren Erkenntnissen sollten bei einer Neubewertung die folgenden vier Aspekte schwerpunktmäßig betrachtet werden:

1. Unabhängige Überprüfungen des Drittanbieters

Dazu zählen sowohl geschäftliche und finanzielle Überprüfungen als auch technische Überprüfungen von physischen, administrativen und technischen Sicherheitskontrollen. Es gibt verschiedene Arten von objektiven und unabhängigen Überprüfungen, z. B. das Statement on Standards for Attestation Engagements (SSAE 16, früher SAS 70), Service Organisation Controls (SOC 1undSOC 2), ISO 27001:2013 (eine spezielle Zertifizierung für Sicherheitskontrollen), ISO 22301:2012 (eine spezielle Zertifizierung für Business Continuity) sowie unabhängige Penetrationstests von Netzwerken und Anwendungen.

2. Evidenzbasierte Überprüfungen

Zusätzlich zu den Ergebnissen und Zertifizierungen von unabhängigen Prüfern sollten Sie nach den aktuellen Plänen und Verfahren des Drittanbieters für Disaster Recovery (DR) und Incident-Response (IR) und den neuesten Testergebnissen fragen.

3. Überprüfung der vorhandenen Kontrollmechanismen

Hierzu gehören physische, administrative und technische Sicherheitskontrollen, Datenschutzrichtlinien in Bezug auf Erfassung, Nutzung, Speicherung, Zugriff, Korrektur und Löschung personenbezogener Daten sowie betriebliche Pläne sowie Kontingenzpläne einschließlich von DR und IR. In Bezug auf cloudbasierte Anwendungen, die von einem Drittanbieter gehostet werden, muss in diesem Zusammenhang auch Folgendes geprüft werden: Authentifizierung und Autorisierung, Konfiguration und Management, Verschlüsselung und andere Datenschutzverfahren, Validierung der Dateneingabe, Sitzungsmanagement sowie Echtzeitüberwachung und -warnung. Bitten Sie unbedingt um eine detaillierte Übersicht über etwaige Änderungen, die seit dem ursprünglichen Audit an diesen Kontrollmaßnahmen durchgeführt wurde.

4. Überprüfung der Interaktions- und Kommunikationsverfahren

Selbst wenn sich beide Parteien größtmögliche Mühe geben und ein reibungsloses und erfolgreiches Onboarding sicherstellen möchten, sind bei vielen Aktivitäten in der Frühphase Anpassungen unvermeidlich. Eine erfolgreiche Partnerschaft erfordert unter anderem eine kontinuierliche Überprüfung von Technologien, Anrufpläne für außergewöhnliche Situationen, Übergabe- und Synchronisationsverfahren (wer führt wann welche Vorgänge durch?) sowie Mitarbeiterautorisierungen.

Die strategischen Ziele Ihres Unternehmens werden sich weiterentwickeln und verändern und Ihre Beziehungen mit Drittanbietern müssen damit Schritt halten. Diese regelmäßigen Neubewertungen von Drittanbieter-Beziehungen sollten nicht auf die unbelohnten Risiken in den Bereichen Sicherheit, Datenschutz und Compliance beschränkt sein. Mit ihnen sollte ebenfalls sichergestellt werden, dass Drittanbieter-Beziehungen die belohnten Risiken in den Bereichen Innovation, Produktivität und Wachstum optimal unterstützen, die das Unternehmen eingehen möchte.

Leave a Reply

Your email address will not be published. Required fields are marked *

No Comments