Scheda di valutazione per la gestione del rischio dei fornitori: Criteri di valutazione

Scopri come creare una scorecard di valutazione dei fornitori, automatizzare i questionari di garanzia e rilevare le aree di rischio per l’organizzazione causate da un fornitore.

La validazione dei fornitori terzi è diventata parte integrante delle strategie di cybersecurity, approvvigionamento, conformità e catena di fornitura. In precedenza, abbiamo discusso le pratiche generali dietro la scheda di valutazione; in questo articolo, discuteremo la creazione di una scorecard di valutazione dei fornitori, utilizzando la gestione del rischio dei fornitori come esempio.

Un modello per una scorecard di rischio fornitori in BSC Designer Fonte: Vendor Risk Management Scorecard.

Dimostreremo come:

• Definire i criteri di valutazione,
• Calcolare il punteggio di sicurezza complessivo,
• Raccogliere le prove necessarie,
• Monitorare dinamicamente i punteggi di sicurezza e
• Allineare i risultati con altre schede di valutazione funzionali.

Tendenze di convalida del fornitore: quantificazione e processo continuo

Definire il set di criteri di valutazione

Seguire le migliori pratiche attuali per definire il set di criteri di valutazione per lo scorecard di rischio del fornitore.

Questo può includere:
Esistenza di un programma formale di cybersecurity
Implementazione dell’autenticazione multi-fattore
Test di vulnerabilità regolari
Adozione della pratica del ‘Minimo Privilegio’
Conformità SOC 2 del data center
Crittografia dei dati in transito e a riposo
Assicurazione sulla cybersecurity
Sistemi di prevenzione e rilevamento delle intrusioni
Formazione sulla consapevolezza della cybersecurity
Violazioni dei dati segnalate
Il numero di violazioni dei dati segnalate

A seconda del tipo di criteri, può essere configurato come:

• Binario – con stati possibili “sì” o “no”.
• Quantitativo (ad esempio, misurato in %) o qualitativo (scelta naturale o scala Likert).
• I criteri possono essere ottimizzati per la massimizzazione (come % di dipendenti che hanno superato la formazione sulla consapevolezza della cybersecurity) o la minimizzazione (come il numero di violazioni dei dati).

Scopri di più sulle migliori pratiche per gestire lo scorecard di valutazione.

In BSC Designer:

1. Passare a Spazio di lavoro strategico.
2. Vai a Nuovo > Nuovo scorecard > Più modelli…
3. Utilizzare il modello di scorecard “Gestione del rischio del fornitore”.

Assegna peso in base ai profili di rischio

Pesa i criteri di valutazione secondo il profilo di rischio del fornitore.

Per esempio:

• Fornitori con accesso a informazioni sensibili avranno un peso elevato per criteri come “Assicurazione Cybersecurity” o “Violazioni dei dati riportate,” mentre
• Fornitori senza accesso a informazioni sensibili avranno un peso elevato per criteri più comuni come “Autenticazione a più fattori” e l’implementazione della pratica del “Privilegio minimo.”

In BSC Designer:

• Seleziona un criterio di valutazione.
• Passa alla scheda Prestazioni.
• Regola il peso rilevante nella proprietà Peso.

Costruire gerarchia di fornitori

Raggruppare i fornitori in una gerarchia basata sul livello del fornitore. Propagare i criteri di valutazione per ciascun fornitore.

In BSC Designer:

• Creare gruppi utilizzando il pulsante “Aggiungi”,
• Copiare e incollare un insieme di criteri di valutazione in ciascun gruppo, e
• Rinominare il nome dell’insieme per corrispondere al nome del fornitore.

Quando si copia e incolla, considerare l’utilizzo dell’opzione “Incolla e sincronizza” per garantire che le repliche dei criteri di valutazione rimangano sincronizzate con il modello originale. Qualsiasi modifica al modello sarà automaticamente propagata ai criteri di valutazione per fornitori specifici.

Costruisci e distribuisci questionari

Prepara e distribuisci questionari di sicurezza ai fornitori e successivamente importa i risultati nel punteggio di gestione del rischio del fornitore.

Per preparare un questionario:

1. Apri un punteggio.
2. Seleziona un insieme di criteri.
3. Seleziona Strumenti > Esporta dati.
4. Seleziona le caselle di controllo: “Esporta solo l’elemento corrente” e “Includi elementi figli”.
5. Utilizza l’opzione “Esporta come modello”.
6. Fai clic su “Avanti” per finalizzare l’esportazione.

Sentiti libero di adattare il modello risultante alle tue esigenze. Ad esempio, rinominando la colonna “Valore” in “Risposta” e fornendo eventuali raccomandazioni pertinenti per i rispondenti al questionario.

Inizia la valutazione dei fornitori

Valuta i fornitori in base ai criteri di valutazione per identificare le vulnerabilità rilevanti.

• Inserisci manualmente i punteggi di valutazione nella scheda di valutazione oppure
• importali da un foglio di calcolo Excel per il questionario di autovalutazione del fornitore.

Allega le prove rilevanti fornite dal fornitore, come certificazioni e politiche in pratica.

In BSC Designer:

• Aggiorna i punteggi manualmente tramite la scheda Dati.
• Usa Strumenti > Esporta dati per esportare i criteri di valutazione in Excel per l’autovalutazione del fornitore.
• Allega prove ai criteri di valutazione o ai piani di mitigazione articolati tramite la finestra di dialogo Iniziative.

Valutazione del rischio del fornitore

Possiamo utilizzare i dati di valutazione del fornitore per stimare il rischio di violazioni della sicurezza informatica per il fornitore.

In questo caso:

• Il punteggio totale della valutazione del fornitore contribuirà alla Probabilità del rischio.
• L’Impatto del rischio può essere stimato in base al ruolo del fornitore nella catena di approvvigionamento.

Per impostare questo in BSC Designer:

1. Fare clic su Aggiungi – Aggiungi Rischio.
2. Fare clic sul pulsante Fonte Dati per l’indicatore di Probabilità.
3. Cambiare la formula in: 100-%[Fornitore 1] (maggiore è il progresso del fornitore secondo lo scorecard, minore è la probabilità del rischio).

Aggiungere il diagramma del rischio al dashboard per visualizzare il panorama complessivo del rischio:

Monitoraggio continuo del rischio

Tieni traccia delle modifiche nei punteggi di valutazione dei fornitori nel tempo, come i cambiamenti nelle certificazioni rilevanti o il numero di violazioni dei dati.

• Definisci il periodo di revisione per ciascun criterio di valutazione
• Monitora le questioni rilevanti per i criteri di valutazione.
• Pianifica il miglioramento dei punteggi di valutazione dei fornitori.
• Pianifica l’offboarding dei fornitori.

Un modello per una scheda di valutazione in BSC Designer. Fonte: Scheda di valutazione.

In BSC Designer:

• Imposta l’intervallo di aggiornamento per un indicatore tramite Editor dei Valori
• Usa l’Editor dei Valori per assegnare punteggi a date specifiche.
• Usa colonne dinamiche per vedere come cambia il punteggio nel tempo.
• Usa le iniziative per monitorare le violazioni dei dati e le azioni di mitigazione—aggiorna lo stato e la durata.
• Usa i commenti per il punteggio per monitorare le questioni e le iniziative per mappare i piani di miglioramento.

Allineamento con la strategia

Allinea lo scorecard di valutazione del rischio del fornitore con altri scorecard di strategia e funzione, come gli scorecard di governance o di conformità.

• Utilizza il punteggio di rischio complessivo del portafoglio fornitori.
• Utilizza i punteggi di rischio di fornitori specifici.
• Collega iniziative da vari scorecard.

Un buon esempio della necessità di allineamento strategico è l’IA. Anche se la vostra organizzazione non sta pianificando di implementare tecnologie IA, sarà molto probabilmente influenzata dal loro uso attraverso fornitori terzi e la catena di fornitura. Uno scorecard del fornitore deve essere allineato con lo scorecard funzionale di governance dell’IA.

In BSC Designer:

• Copia l’elemento di valutazione del fornitore e Incollalo nello scorecard pertinente.
• Seleziona l’opzione “Collega per dati” o “Collega per contesto”.

Conclusioni

In questo articolo, abbiamo discusso i passaggi per creare una scorecard di gestione del rischio del fornitore:

1. Definizione dei criteri di valutazione
2. Assegnazione dei pesi a seconda del profilo di rischio del fornitore
3. Monitoraggio continuo del rischio
4. Allineamento del punteggio di rischio del fornitore con altre scorecard

Scopri di più sui meccanismi specifici delle scorecard di valutazione.

Usa il modello Scorecard di gestione del rischio del fornitore

BSC Designer aiuta le organizzazioni a implementare le loro strategie complesse:

1. Iscriviti per un piano gratuito sulla piattaforma.
2. Usa il modello Scorecard di gestione del rischio del fornitore come punto di partenza. Lo troverai in Nuovo > Nuova Scorecard > Altri Modelli.
3. Segui il nostro Sistema di Implementazione della Strategia per allineare stakeholder e ambizioni strategiche in una strategia completa.

Inizia oggi e scopri come BSC Designer può semplificare l'implementazione della tua strategia!

Alexis Savkín

Alexis Savkin è un architetto dell’implementazione della strategia e fondatore di BSC Designer, una piattaforma software per l’esecuzione della strategia e la Scheda di valutazione bilanciata. Aiuta le organizzazioni ad automatizzare la gestione delle prestazioni e a trasformare la strategia in risultati misurabili. Alexis è il creatore dello “Strategy Execution Canvas”, l’autore di oltre 100 articoli su strategia e misurazione delle prestazioni, e un relatore abituale in occasione di eventi di settore.