¿Qué es el riesgo de cuarta parte?

La subcontratación es una parte fundamental de la gestión empresarial y un ingrediente importante en el crecimiento empresarial. Una empresa subcontrata una tarea a otra, pero esa segunda empresa también puede delegar algunos de sus propios procesos comerciales en otra empresa. Esa última empresa se convierte entonces en una cuarta parte de la primera.

A medida que se amplía el papel de los proveedores de terceros, contar con una estrategia de gestión de riesgos de proveedores se convierte en clave para el éxito de la organización.

Los proveedores tienen acceso a los sistemas críticos y los datos confidenciales de los clientes, lo que significa que las organizaciones quedan sujetas a una exposición de alto riesgo como nunca antes. Más de la mitad de las organizaciones no evalúan las prácticas de seguridad de la información de sus terceros antes de darles a esos proveedores acceso a información confidencial. ¿Cuántos también evalúan la seguridad de los propios proveedores de sus proveedores externos? Muy pocos, seguro.

Aún así, las cuartas partes pueden representar riesgos para tu negocio. Son víctimas de alguna amenaza, que luego infecta a tu tercero, que luego te infecta a ti. Por lo tanto, es imperativo que tu organización lleve a cabo una monitorización continua y evite los posibles riesgos de ciberseguridad que las relaciones entre terceros podrían traspasar a tu empresa.

Veamos qué es el riesgo de cuarta parte y cómo gestionarlo en la empresa.

¿Qué es una cuarta parte?

Los cuartos son los proveedores de los proveedores de tu organización. La mayoría de las organizaciones no tienen ningún contacto directo con entidades más allá de los proveedores externos.

Tu equipo de seguridad de la información sigue siendo tan responsable de la gestión de riesgos de cuartas partes como de la gestión de riesgos de terceros.

Puedes identificar las cuartas partes de tu organización a partir de los informes de Control de sistema y organización (SOC) de tu propio proveedor. Es importante que tus terceros cuenten con un sólido programa de gestión de riesgos de proveedores para garantizar que los cuartos sean examinados adecuadamente.

Informes SOC

Los informes SOC incluyen información sobre cómo tus proveedores protegen los datos confidenciales y la información personal del acceso no autorizado.

Hay dos tipos de informes SOC:

  • Informe SOC Tipo 1: Detalla que una organización cuenta con controles adecuados de gestión de riesgos de ciberseguridad en su lugar en la fecha de emisión.
  • Informe SOC Tipo 2: Se centra en la eficacia de los controles descritos en el informe Tipo 1. Los informes de tipo 2 SOC generalmente cubren un período de tiempo de seis meses a un año para evaluar si los controles están operando efectivamente en la práctica.

¿Por qué es importante el riesgo de cuarta parte?

Tu organización hereda todo el riesgo en su ecosistema o cadena de suministro. Si bien los terceros están conectados más directamente a tu organización que los cuartos, es igualmente importante monitorizar a los proveedores, subcontratistas y proveedores de servicios de tus proveedores.

Si una cuarta parte sufre una violación de datos, la tercera parte asociada puede ofrecer una capa adicional de seguridad, pero esta no es una protección suficiente.

Independientemente del lugar donde se produzca la infracción, tu organización es totalmente responsable de implementar una gestión integral de la superficie de ataque. Esta responsabilidad significa que tu organización sigue siendo responsable de las consecuencias reglamentarias, financieras o de reputación que una cuarta parte pueda traer a la organización.

También es importante tener en cuenta que siempre que una organización pueda tener fácilmente más de 1000 relaciones con terceros, este número se multiplica exponencialmente cuando también se tienen en cuenta los cuartos. Los equipos de seguridad deben reconocer el aumento significativo que las cuartas partes aportan a los vectores de ataque totales de una organización.

Principales riesgos de cuarta parte

Las cuartas partes no tienen un contrato directo con tu organización, o es posible que ni siquiera sepas quiénes son tus proveedores de cuarta parte. Esta falta de documentación significa que tu organización tampoco conoce las prácticas de gestión de riesgos de ciberseguridad que tienen implementadas tus cuartas partes.

Esto representa una amenaza para tu organización en caso de que uno de los proveedores críticos de tus proveedores experimente un incidente de seguridad, ya que tu no conocerás el plan de continuidad comercial de la cuarta parte, si lo hubiera.

Por ejemplo, si tu proveedor se ve obligado a interrumpir sus operaciones debido a una filtración de datos, un ataque cibernético u otro incidente de seguridad que afecte a uno de sus proveedores críticos, esto afectará directamente las operaciones de tu organización.

Peor aún, si un proveedor de terceros tiene acceso a cualquiera de los datos confidenciales de tu organización, también correrás el riesgo de verte comprometido en caso de un incidente de seguridad.

Además del riesgo de ciberseguridad, otros riesgos potenciales que plantean los proveedores de terceros pueden incluir:

Normativa y cumplimiento

El riesgo regulatorio generalmente se crea por una falla de control de seguridad de una cuarta parte. Esto da como resultado violaciones de datos y los consiguientes problemas legales «en la cadena», hasta llegar a tu negocio. Por lo tanto, tus socios comerciales deben cumplir con regulaciones como el Reglamento General de Protección de Datos (GDPR) o la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA).

Estratégico

Los riesgos estratégicos provienen de no adoptar la estrategia correcta para una organización en primer lugar. Si un proveedor crítico no responde a los entornos cambiantes de manera oportuna, entonces un riesgo estratégico será inevitable.

Operacional

El riesgo operacional se refiere a la pérdida directa o indirecta que surge de procesos internos, personas y sistemas insuficientes. No deseas que tus proveedores se encuentren con amenazas para la continuidad del negocio o fallas en los sistemas de TI. Debido a que los riesgos operativos son menos visibles que otros riesgos potenciales, son difíciles de precisar con precisión.

Obtener visibilidad sobre sus cuartas partes es el primer paso para mitigar estos riesgos.

¿Qué necesitas saber sobre tus proveedores de cuarta parte?

Tu organización debe priorizar la identificación de quiénes son los proveedores críticos de tus proveedores. Estas cuartas partes son las más propensas a plantear riesgos operativos y de ciberseguridad para tu organización, especialmente si también son fundamentales para tus proveedores.

Comprender los servicios que brindan estos proveedores de terceros y otra información sobre su relación comercial con tus proveedores ayudará a tu organización a responder en consecuencia durante un incidente de seguridad.

También debes asegurarte de que tus proveedores hayan realizado la debida diligencia con sus proveedores para asegurarse de que sean administrados y monitorizados en un programa eficaz de administración de proveedores.

Identifica los riesgos de cuarta parte de tu cadena de suministro

Después de identificar las cuartas partes más críticas de tu organización, también es importante averiguar quiénes son los proveedores mutuos de tus proveedores. Por ejemplo, muchos proveedores tendrán los servicios de Amazon y Microsoft como cuartas partes comunes.

Es posible que estos proveedores no representen un gran riesgo para tu organización por sí mismos. Sin embargo, la combinación de todos los proveedores que experimentan interrupciones comerciales debido a un incidente de seguridad de una cuarta parte mutua es ciertamente un motivo de preocupación.

¿Deberían las evaluaciones de los proveedores incluir a las cuartas partes?

Es probable que tu organización tenga miles de relaciones entre terceros, que serían imposibles de evaluar de forma independiente.

Tus terceros deben ser responsables de realizar evaluaciones de riesgos y deben contar con un marco de gestión de riesgos de terceros eficaz.

Un programa TPRM definido garantiza que tus proveedores estén realizando su debida diligencia y rastreando a sus cuartos a través de métricas de ciberseguridad adecuadas.

Monitorización del riesgo de cuarta parte

Para monitorizar el riesgo de cuarta parte de manera efectiva, tu organización debe enfocar sus esfuerzos en examinar las cuartas partes más relevantes para establecer un programa de riesgo de cuarta parte manejable. Los métodos tradicionales de supervisión de terceros dependen en gran medida de los informes de terceros.

Es posible que estos informes no siempre sean precisos y los fallos de comunicación pueden impedir el flujo de información actualizada.

La forma más eficaz de hacerlo es centrándose en la concentración de riesgos en tu cadena de suministro. Identificar el riesgo de concentración implica identificar áreas críticas de su exposición al riesgo de cuarta parte.

Este proceso debe cubrir:

  • La calificación de seguridad de cada cuarta parte.
  • El número total de productos que utilizan tus proveedores.
  • Cuántos de tus proveedores están usando la cuarta parte.

Cómo gestionar y evaluar los riesgos de cuarta parte

Gestionar y evaluar con éxito a tus cuartas partes requiere una estrecha colaboración con tus proveedores externos. Escalar tu equipo de seguridad a través de una base de proveedores en crecimiento puede resultar difícil.

El uso de la automatización de la gestión de riesgos de proveedores puede ayudar a tu organización a mejorar las velocidades de evaluación de riesgos de proveedores y mantener una visión integral del riesgo de concentración en su cadena de suministro sin la necesidad de informes complejos.

La forma más eficaz de gestionar el riesgo de terceros es crear un programa de gestión de riesgos de terceros (TPRM) maduro e integral. Si cuentas con las prácticas y los procesos de TPRM correctos, entonces la incorporación de cuartas partes en esos procesos debería resultar manejable y, en su mayoría, transparente.

Por otro lado, si no has definido y desarrollado completamente tu enfoque del riesgo de terceros, te resultará difícil, si no imposible, «saltar hacia adelante» y comenzar a abordar el riesgo de cuarta parte.

Hay tres pasos críticos que puedes tomar y que contribuirán en gran medida a proteger a tu organización de niveles inaceptables de riesgo de cuarta parte.

Establecer una base mediante la contratación de proveedores y la debida diligencia inicial

La base de la gestión de cuarta parte debe ser el contrato. Siempre que firmes un contrato de proveedor, debes comprender la participación de las cuartas partes clave en la entrega de ese contrato, especialmente las cuartas partes que almacenarán o procesarán información confidencial o tendrán contacto directo con los clientes. La plantilla de contrato debe incluir cláusulas que requieran que tu proveedor te notifique si cambian materialmente estas relaciones entre terceros.

Para mitigar aún más el riesgo, considera un lenguaje que obligue a tus proveedores a supervisar a las cuartas partes y asegúrate de que esas partes cumplan con su contrato de proveedor y cualquier estipulación o requisito. Cuando realices la debida diligencia inicial para nuevos terceros, asegúrate de sentirte cómodo con el tercero y cualquier cuarto que brinde soporte.

Evalúa los programas de riesgo de terceros de tus proveedores

Tiene tantas relaciones entre terceros que nunca podría evaluarlas todas directamente. En su lugar, debe confiar en que sus terceros supervisen a sus proveedores de manera adecuada.

Antes de que puedas confiar en las actividades de TPRM de tus proveedores, deberás examinar sus programas y asegurarte de que estén realizando la debida diligencia en sus propias relaciones con los proveedores. Si tu proveedor puede demostrar que su programa TPRM cumple con tus expectativas y aborda adecuadamente el riesgo, puedes sentirte mucho más seguro de que el riesgo de terceros está bajo control. También ayuda a validar que los proveedores no solo definen una política para TPRM, sino que también han evaluado a las cuartas partes importantes para ti.

Haz un inventario de las cuartas partes clave

No cada cuarta parte presenta el mismo riesgo, y no es necesario que nombres a cada cuarta parte en tu inventario de relaciones con proveedores. Sin embargo, tu inventario debe incluir una breve lista de cuartas partes de misión crítica y de alto riesgo. Estas relaciones críticas entre terceros deben salir a la luz cuando realices tu debida diligencia inicial con el proveedor, con un enfoque en los cuartos que almacenarán y procesarán los datos y se pondrán en contacto con los clientes.

Por ejemplo, si estás entablando una relación de proveedor con una empresa de desarrollo que depende de un subcontratista para el 80% de su trabajo, es posible que desees insertar una cláusula en tu contrato que te otorgue el derecho contractual de evaluar directamente al subcontratista. Este tipo de supervisión directa debe ser limitada y dirigida, pero la adición de estas cuartas partes críticas a tu inventario puede ayudar enormemente con tu esfuerzo general de gestión de riesgos. Es posible que también desees agregar estas cuartas partes a plataformas de monitorización para que puedas recibir alertas en caso de una infracción.

Desafíos para implementar una adecuada gestión de riesgos de proveedores

Dicho esto, existen varios desafíos que enfrentan los equipos de ciberseguridad que dificultan la implementación de una solución de gestión de riesgos de proveedores bien estructurada, que incluyen:

Una dependencia cada vez mayor de la tecnología

Con demasiada frecuencia, los equipos piensan que la creación de una solución o plataforma basada en la tecnología que llegue al segmento de ‘talla única’ resolverá instantáneamente cualquier problema persistente de riesgo del proveedor. Desafortunadamente, no existe una solución tecnológica que pueda llenar todos estos vacíos, especialmente a medida que las amenazas cibernéticas se vuelven más generalizadas y ominosas.

La construcción de un sólido proceso de gestión de riesgos de proveedores debe comenzar con las personas involucradas y el valor que esta solución proporcionará a una empresa y sus socios. La tecnología debería entonces responder a la pregunta de «cómo» para impulsar estos procesos, no la razón por la que existen en primer lugar.

Silos de datos persistentes

Muchos equipos corporativos todavía tienen la impresión de que la gestión de riesgos de los proveedores y la seguridad de los datos es responsabilidad de un equipo de TI o de productos por sí solo. En realidad, la gestión de riesgos de los proveedores afecta a todos los departamentos de una organización, desde el jurídico hasta el financiero y la gestión ejecutiva.

Con los silos de datos persistentes entre estos equipos, así como la falta de comprensión de cómo la gestión de riesgos afecta a cada uno de ellos individualmente, puede ser difícil dar pasos reales hacia una estrategia de gestión de riesgos de proveedores a largo plazo.

Priorizar las relaciones sobre la seguridad

En la mayoría de las industrias, las relaciones y asociaciones con los proveedores son extremadamente importantes y necesarias para el éxito financiero a largo plazo de una empresa. Sin embargo, estas relaciones no se pueden priorizar sobre la seguridad de la empresa y sus clientes.

Si un equipo de seguridad encuentra una laguna en la evaluación de seguridad de un proveedor o identifica un proveedor potencialmente riesgoso, tendrá que tener una conversación seria. Las empresas deben estar preparadas para priorizar la seguridad sobre las relaciones con los proveedores.

Flujos de trabajo basados ​​en papel

A medida que los equipos de seguridad intentan mantenerse al día con el cambiante panorama digital para defenderse con éxito de las amenazas a la seguridad, los flujos de trabajo basados ​​en papel ya no serán suficientes. En pocas palabras, es casi imposible luchar contra una amenaza digital con procesos manuales o en papel.

Estos flujos de trabajo anticuados pueden provocar errores no intencionales, puntos críticos que se escapan e incluso dar lugar a brechas de seguridad. Sin embargo, al reemplazar los procesos en papel con flujos de trabajo digitales, los equipos de seguridad pueden agregar otra capa de seguridad y proteger sus negocios contra errores manuales.

Conclusión

Para muchas empresas, los proveedores externos globales se han convertido en una fuente importante de ventaja estratégica y valor comercial. Sin embargo, la subcontratación no está exenta de riesgos. A medida que la dependencia de terceros continúa creciendo, también lo hace el número de historias de titulares de acciones regulatorias y daños a la reputación que surgen de infracciones o fallas de terceros.

Las organizaciones impulsoras deben reconsiderar cómo abordan, identifican y gestionan el riesgo de terceros.

Las organizaciones de servicios financieros o que operan en ellos deben tener un fuerte enfoque en la gestión de riesgos de terceros debido al creciente enfoque regulatorio y la complejidad de las relaciones con terceros nacionales y extranjeros.

Los proveedores externos pueden proporcionar grandes ventajas estratégicas a tu organización y las mejores empresas están utilizando a los proveedores en gran medida, centrándose en lo que hacen mejor y subcontratando el resto. Pero estas mismas relaciones con terceros presentan un riesgo de seguridad cibernética cuando no se gestiona bien.

A medida que las organizaciones crecen en tamaño y complejidad, la capacidad de administrar las relaciones con terceros se vuelve cada vez más crítica para el éxito. Las organizaciones que luchan por expandir su ecosistema de terceros, por temor a los riesgos que puede crear, serán interrumpidas por organizaciones que pueden identificar y administrar el riesgo con confianza.

Ya sea que se trate de un requisito reglamentario o no, todas las organizaciones deben mitigar los riesgos digitales instituyendo un plan de gestión de terceros, e incluso de cuartos, en sus procesos de gestión de riesgos de seguridad.