Perché inseguire le valutazioni del rischio ti farà inseguire la coda

Le valutazioni del rischio di terze parti sono spesso descritte come lunghe, ripetitive, opprimenti e obsolete. Pensaci: le organizzazioni, in media, hanno oltre 5.000 terze parti, il che significa che potrebbero sentire la necessità di condurre oltre 5.000 valutazioni del rischio. Nel metodo della vecchia scuola, sono 5.000 questionari ridondanti. 5.000 prolissi fogli Excel. Non c’è da stupirsi che si sentano così.

inseguendo le valutazioni del rischio

Il motivo per cui le valutazioni del rischio sono diventate così temute è che è sempre stato un processo di ispezione e valutazione individuale. In prospettiva, si tratta di circa 14 valutazioni del rischio completate al giorno nell’arco di un anno. Come possiamo aspettarci che i professionisti della sicurezza, del rischio e dell’approvvigionamento svolgano qualsiasi altro lavoro con questo tipo di attività sul loro piatto? Con lo stato del panorama delle minacce odierno, non preferiresti che il tuo team di sicurezza si concentri sull’analisi e sulla mitigazione effettive, piuttosto che sulla semplice valutazione? E, per non parlare del fatto che un noioso processo di valutazione del rischio contribuirà al burnout che può portare a una scarsa fidelizzazione dei dipendenti all’interno del team di sicurezza. Con l’aspetto attuale del mercato del lavoro di sicurezza informatica, questa non è una posizione in cui nessuna organizzazione vorrebbe trovarsi.

Quindi, ora che sai come si sentono effettivamente le persone con le loro “mani nel piatto” riguardo alle valutazioni del rischio, diamo un’occhiata al motivo per cui questo approccio è imperfetto e cosa possono fare le organizzazioni per costruire un processo di valutazione del rischio migliore.

Il carosello per la valutazione del rischio senza fine

La chiave per sconfiggere i criminali informatici è essere vigili e proattivi. Non si può fare molto quando si sta reagendo a un incidente di sicurezza poiché il danno è già stato fatto. Sfortunatamente, l’attuale approccio alla gestione del rischio è reattivo e pieno di lacune che non forniscono una visione accurata dei livelli di rischio complessivi. Io come sono? I processi attuali misurano solo un momento e non tengono conto del periodo durante il quale la valutazione è stata completata o di eventuali violazioni verificatesi dopo la presentazione della valutazione. In altre parole, le valutazioni dovranno essere regolarmente riempite, un giro in giostra senza fine, che non è fattibile.

Non dovrebbe sorprendere che le valutazioni non siano aggiornate tanto quanto dovrebbero, e non è colpa di nessuno. Nessuno ha il tempo di compilare continuamente fogli Excel lunghi e ridondanti. E, per non parlare del fatto che, a meno che i dati raccolti non siano standardizzati, si può fare ben poco dal punto di vista dell’analisi. Di conseguenza, le valutazioni vengono praticamente gettate in un cassetto e non vedono mai la luce.

Ogni volta che si verifica una violazione di terze parti, c’è un’ondata di preoccupazione e i dirigenti dell’azienda e i membri del consiglio si rivolgono immediatamente al loro team di sicurezza per ordinare valutazioni del rischio, mandandoli a caccia di un’oca selvaggia. Quello che non si rendono conto è che ordinare valutazioni dopo che si è verificata una violazione di terze parti è già troppo tardi. E le organizzazioni che vengono scelte per una valutazione più approfondita molto probabilmente non sono quelle con il rischio più alto. Come un giro in giostra senza fine, la ricerca delle valutazioni del rischio non si fermerà mai a meno che tu non scenda dal giro adesso.

Mostrami la data!

L’ingrediente segreto per sviluppare un migliore processo di raccolta di gestione del rischio sono dati standardizzati. Non puoi fare il pane senza farina e non puoi avere un solido programma di gestione del rischio senza dati standardizzati. I dati standardizzati sono il processo di raccolta dei dati in un formato comune, che semplifica la conduzione di un’analisi e la determinazione dei passaggi successivi necessari. Pensa in questo modo, se stai guardando un grafico che confronta i voti dei test degli studenti e sono stati tutti elencati in vari formati (0,75, 68%, 3/16, ecc.), avresti difficoltà a confrontare questi punti dati. Tuttavia, se tutti i dati sono elencati in percentuale (80%, 67%, 92%, ecc.), potresti facilmente identificare chi sta fallendo e ha bisogno di più supporto in classe. Questo è il modo in cui funziona l’utilizzo di dati standardizzati nel processo di valutazione del rischio. Tutti i dati raccolti dalle valutazioni sarebbero nello stesso formato e puoi capire quali terze parti sono ad alto rischio e richiedono un’attenuazione prioritaria.

I CISO che sono ancora concentrati sulle valutazioni puntuali non stanno facendo bene. Le organizzazioni devono comprendere che la raccolta della valutazione del rischio da sola non equivale di fatto a una riduzione del rischio. Sebbene le valutazioni del rischio siano importanti, ciò che si fa con la valutazione del rischio dopo che è stata completata è ciò che conta davvero. Usalo come catalizzatore per creare un profilo di rischio più ampio e contestuale. Integra informazioni sulle minacce, valutazioni di sicurezza, apprendimento automatico e altre origini dati e ti ritroverai con tutti i dati e le informazioni di cui hai bisogno e altro ancora per ridurre in modo proattivo i rischi. Sarai armato con le informazioni necessarie per mitigare il rischio e implementare i controlli prima che si verifichi la violazione, non il patchwork affrettato successivo. Un approccio basato sui dati alla valutazione del rischio di terze parti fornirà un quadro più solido del rischio e porrà fine alla ricerca di valutazioni una volta per tutte.

Leave a Comment

Your email address will not be published. Required fields are marked *