16/04/2024
Athens, GR 24 C

Διαχείριση του ρίσκου που προέρχεται από την εφοδιαστική αλυσίδα

Ο ψηφιακός μετασχηματισμός των οργανισμών αυξάνεται με ταχύτατους ρυθμούς, ενώ παράλληλα διευρύνεται και η εφοδιαστική τους αλυσίδα. Ως αποτέλεσμα, οι οργανισμοί αντιμετωπίζουν καθημερινά ολοένα και περισσότερες απειλές, καθιστώντας δυσκολότερη τη διαχείριση του κυβερνο-ρίσκου (cyber risk). Η ανάγκη αντιμετώπισης των κινδύνων που προέρχονται από την εφοδιαστική τους αλυσίδα, σε συνδυασμό με τις συνεχώς αυξανόμενες κανονιστικές οδηγίες (π.χ. GDPR, DORA, PCI DSS), με τις οποίες οι οργανισμοί πρέπει να συμμορφώνονται, καθιστούν επιτακτική την ανάγκη δημιουργίας και εφαρμογής ενός προγράμματος διαχείρισης ρίσκου προμηθευτών (Vendor Risk Management Program).

Ειδικότερα, η κανονιστική οδηγία Digital Operational Resilience Act “DORA” της Ευρωπαϊκής Ένωσης, με την οποία οφείλουν να συμμορφώνονται χρηματοοικονομικοί οργανισμοί (όπως Τράπεζες, Ασφαλιστικές εταιρείες, επενδυτικοί οργανισμοί, κ.α.), αφορά συγκεκριμένα τη διαχείριση του ρίσκου που προέρχεται από την εφοδιαστική τους αλυσίδα. Για να γίνει αυτό, ο πιο συνήθης τρόπος μέχρι τώρα είναι μέσω ερωτηματολογίων σε υπολογιστικά φύλλα που ανταλλάσσονται με τον εκάστοτε προμηθευτή με emails. Η παραδοσιακή αυτή μέθοδος δυσκολεύει τις ομάδες διαχείρισης ρίσκου των οργανισμών να ελέγχουν και να διατηρούν ενημερωμένα όλα αυτά τα έγγραφα, δημιουργώντας τους «πονοκέφαλο» και επιπλέον φόρτο εργασίας.

Ο εκσυγχρονισμός αυτής της διαδικασίας, γίνεται με την πλατφόρμα Vendor Risk Management (VRM) της BitSight, μια SaaS λύση που χωρίζει τη διαχείριση ρίσκου προμηθευτών σε 3 βασικά στάδια:

•        Δημιουργία λίστας προμηθευτών

Πρώτο βήμα είναι η δημιουργία ενός portfolio όλων των προμηθευτών του οργανισμού, προσκαλώντας τους εντός της πλατφόρμας.

•        Δημιουργία και αποστολή απαιτήσεων

Το δεύτερο βήμα περιλαμβάνει τη δημιουργία και ανάθεση ενός συνόλου απαιτήσεων όπως ερωτηματολόγια (SIG Core 2023, ISO 27001), πιστοποιήσεις (HIPAA, ISO 27001, SOC ½ Type ½), αποτελέσματα επιθεωρήσεων/ελέγχων (Pen Test, Vulnerability Assessment) και ασφαλιστικά έγγραφα (Cyber Liability / Data Privacy), τα οποία ζητούνται από τον προμηθευτή, ανάλογα με τα χαρακτηριστικά του.

•        Αξιολόγηση απαντήσεων

Τρίτο και τελευταίο στάδιο, αποτελεί η αξιολόγηση των απαντήσεων του προμηθευτή και η δημιουργία ευρημάτων στην περίπτωση που κάποια απάντηση δε συμβαδίζει με τις απαιτήσεις του οργανισμού. Μόλις δημιουργηθεί το εύρημα ειδοποιείται ο συνεργάτης και ξεκινά μια επικοινωνία μέσω της πλατφόρμας, με σκοπό την αντιμετώπιση των ευρημάτων και κατά συνέπεια τη μείωση του ρίσκου που προέρχεται από αυτόν.

Συνοψίζοντας, η πλατφόρμα VRM βοηθά τους οργανισμούς να διαχειριστούν και να μειώσουν το ρίσκο, μειώνοντας παράλληλα και τον φόρτο εργασίας των ομάδων διαχείρισης ρίσκου.

Για περισσότερες πληροφορίες επικοινωνήστε με τη SysteCom στο 211 180900 ή στο technology@systecom.gr.

Previous Article

NSS – GlobalSign. Βιομετρική ταυτοποίηση: Τα καλά, τα κακά, και τα άσχημα

Next Article

Η EXA “ρίχνει” 550 km DWDM dark fiber προς τα Χανιά – σύνδεση και με το Balkan Gate της Lancom

You might be interested in …