La gestión de riesgos de terceros es una parte vital del programa general de gestión de riesgos de un programa de seguridad. La organización puede tener cientos o incluso miles de terceros y proveedores que tienen acceso a sus redes o manejan datos confidenciales en su nombre, dejando una gran superficie abierta a posibles ataques cibernéticos.
Una de las causas más comunes de violaciones a gran escala es la explotación de terceros. Las vulnerabilidades en los vendedores o proveedores se utilizan para obtener acceso al entorno objetivo para robar o comprometer información confidencial.
Los objetivos clave de un programa de gestión de riesgos de terceros son reducir la capacidad de los ciberatacantes para pasar de un entorno de terceros al suyo. Un programa eficaz de gestión de riesgos de terceros debe identificar, medir y gestionar los riesgos que rodean a las organizaciones que tienen acceso a sus sistemas e infraestructura, o gestionar información confidencial o confidencial para su empresa.
Explicaremos aquí en qué consiste la gestión de riesgos de terceros, su importancia y beneficios para la empresa y cómo evaluar a esos terceros.
Indice
¿Qué es la gestión de riesgos de terceros?
La gestión de riesgos de terceros es el proceso de analizar y minimizar los riesgos asociados con la subcontratación a proveedores o servicios de terceros. Esto se conoce comúnmente como riesgo de terceros o riesgo de proveedor y puede incluir riesgos financieros, ambientales, de reputación y de seguridad debido al acceso de un proveedor a propiedad intelectual, datos confidenciales, información de identificación personal e información de salud protegida.
La gestión de riesgos de terceros nunca ha sido más importante ya que las organizaciones de todo el mundo dependen cada vez más de las relaciones con terceros.
¿Qué es un tercero?
Un tercero es cualquier entidad con la que trabaja tu organización. Esto incluye proveedores, fabricantes, proveedores de servicios, socios comerciales, afiliados, distribuidores, revendedores y agentes.
Pueden ser ascendentes (proveedores y vendedores) y descendentes (distribuidores y revendedores), y pueden incluir entidades no contractuales.
Por ejemplo, podrían proporcionar un producto SaaS que mantenga a tus empleados productivos, proporcionar logística y transporte para tu cadena de suministro física, o podrían ser tu institución financiera.
Diferencias entre tercera parte y cuarta parte
Un tercero es un proveedor, vendedor, socio u otra entidad que hace negocios directamente con tu organización, mientras que una cuarta parte es el tercero de tu tercero. Las cuartas partes reflejan relaciones más profundas en la cadena de suministro que no necesariamente se contactan contractualmente con tu organización, pero que están conectadas a través de terceros.
¿Por qué es importante la gestión de riesgos de terceros?
La gestión de riesgos de terceros es importante porque el uso de terceros, ya sea directa o indirectamente, afecta tu seguridad cibernética.
Los terceros aumentan la complejidad de la seguridad de tu información por varias razones:
- Cada empresa depende de terceros, ya que a menudo es mejor externalizar internamente a un experto que a la operación comercial interna.
- Los terceros generalmente no están bajo tu control ni tienes total transparencia en sus controles de seguridad.
- Algunos proveedores tienen estándares de seguridad sólidos y buenas prácticas de gestión de riesgos, mientras que otros dejan mucho que desear.
- Cada tercero es un vector de ataque potencial para una violación de datos o ataque cibernéticos. Si un proveedor tiene una superficie de ataque vulnerable, podría usarse para obtener acceso a tu organización. Cuantos más proveedores uses, mayor será la superficie de ataque y más vulnerabilidades potenciales podrías enfrentar.
La introducción de leyes generales de protección de datos y notificación de violación de datos como el RGPD han aumentado dramáticamente la reputación y el impacto regulatorio de los programas inadecuados de gestión de riesgos de terceros.
Por ejemplo, si un tercero tiene acceso a la información de tu cliente, una violación de datos en ese tercero podría hacer que tu organización enfrentara multas y sanciones regulatorias, incluso si tu no fueras directamente responsable de la violación.
¿Qué riesgos presentan los terceros?
Existen muchos riesgos potenciales que enfrentan las organizaciones cuando trabajan con terceros.
Riesgo de ciberseguridad
El riesgo de exposición o pérdida resultante de un ciberataque, violación de seguridad u otros incidentes de seguridad. El riesgo de ciberseguridad a menudo se mitiga a través de un proceso de diligencia debida antes de la incorporación de un proveedor y la monitorización continua durante todo el ciclo de vida del proveedor.
Riesgo operativo
El riesgo de que un tercero cause interrupción en las operaciones comerciales. Esto generalmente se gestiona a través de acuerdos de nivel de servicio (SLA) vinculados contractualmente y planes de continuidad del negocio y respuesta a incidentes. Dependiendo de la criticidad del proveedor, puedes optar por tener un proveedor de respaldo, lo cual es una práctica común en la industria de servicios financieros.
Riesgo legal, regulatorio y de cumplimiento
El riesgo de que un tercero afecte tu cumplimiento de la legislación, regulación o acuerdos locales. Esto es particularmente importante para los servicios financieros, la atención médica y las organizaciones gubernamentales y sus socios comerciales.
Riesgo reputacional
El riesgo de opinión pública negativa debido a un tercero. Los clientes insatisfechos, las interacciones inapropiadas y las malas recomendaciones son solo la punta del iceberg. Los eventos más dañinos son las violaciones de datos de terceros que resultan de una seguridad de datos deficiente.
Riesgo financiero
El riesgo de que un tercero tenga un impacto perjudicial en el éxito financiero de tu organización. Por ejemplo, es posible que tu organización no pueda vender un nuevo producto debido a una mala gestión de la cadena de suministro.
Riesgo estratégico
El riesgo de que tu organización no cumpla con sus objetivos comerciales debido a un proveedor externo.
¿Por qué debes invertir en la gestión de riesgos de terceros?
Existen varias razones por las que debes invertir en la gestión de riesgos de terceros.
Reducción de costes
Es apropiado pensar que la gestión de riesgos de terceros es una inversión. Te cuesta dinero (y tiempo) por adelantado, pero te ahorra dinero a largo plazo. El coste medio de una violación de datos que involucra a terceros es de más de 4 millones. Una estrategia eficaz de gestión de riesgos de terceros puede reducir drásticamente el riesgo de una violación de datos.
Cumplimiento normativo
La gestión de terceros es un componente central de muchos requisitos reglamentarios. Dependiendo de tu industria y el tipo de datos que manejas, es posible que legalmente debas evaluar tu ecosistema de terceros para evitar ser responsable de incidentes de seguridad de terceros. La verdad es que la gestión de riesgos de terceros ahora es parte de los estándares de la industria en la mayoría de los sectores y el incumplimiento no es una opción.
Reducción de riesgos
Realizar la debida diligencia agiliza el proceso de incorporación de proveedores y reduce el riesgo de violaciones de seguridad de terceros y fugas de datos. Además de la debida diligencia inicial, los proveedores deben ser revisados de manera continua a lo largo de su ciclo de vida, ya que pueden introducirse nuevos riesgos de seguridad con el tiempo.
Conocimiento y confianza
La gestión de riesgos de terceros aumenta tu conocimiento y visibilidad de los proveedores de terceros con los que estás trabajando y mejora la toma de decisiones en todas las etapas, desde el proceso de evaluación inicial hasta la exclusión.
¿Qué implica la gestión de riesgos de terceros?
Para desarrollar un marco eficaz de gestión de riesgos de terceros que pueda alimentar tu gestión general de riesgos empresariales, es importante establecer un proceso sólido de gestión de riesgos de terceros que incluya los siguientes pasos.
1. Análisis
Antes de incorporar a un tercero, es importante identificar los riesgos que presentaría a tu organización y el nivel de diligencia debida requerido.
Una forma cada vez más popular de hacerlo es usar clasificaciones de seguridad para determinar si la postura de seguridad externa del proveedor cumple con un puntaje mínimo aceptado. Si es así, entonces pasa al paso 2.
2. Compromiso
Si la calificación de seguridad del proveedor es suficiente, el siguiente paso es que el proveedor proporcione (o complete) un cuestionario de seguridad que brinde información sobre sus controles de seguridad que no sean visibles para los extraños.
3. Remediación
Si el proveedor tiene riesgos inaceptables, puedes decidir que no deseas trabajar con ellos hasta que solucionen los problemas de seguridad que hayas encontrado. Aquí es donde una herramienta que puede ayudar con la corrección es importante, ya que sin una, puede perder problemas importantes en las hojas de cálculo de Excel y las bandejas de entrada de correo electrónico fácilmente.
4. Aprobación
Después de la remediación (o falta de ella), tu organización puede decidir si desea incorporar al proveedor o elegir buscar un proveedor diferente en función de su tolerancia al riesgo, la criticidad del proveedor y los requisitos de cumplimiento que pueda tener.
5. Monitorización
Es importante no dejar de monitorizar la seguridad de un proveedor una vez que se ha incorporado. En todo caso, es más importante monitorizarlos ya que ahora tienen acceso a tus sistemas internos, datos confidenciales y se utilizan en tus procesos comerciales.
Aquí es donde entra en juego la monitorización continua de seguridad (CSM). Este es un enfoque de inteligencia de amenazas que automatiza la monitorización de los controles de seguridad de la información, las vulnerabilidades y otras amenazas cibernéticas para respaldar las decisiones de administración de riesgos organizacionales.
¿Qué es una política de gestión de proveedores?
Una política de gestión de proveedores identifica a los proveedores que representan el mayor riesgo y luego define controles para minimizar el riesgo de terceros.
Esto podría incluir garantizar que todos los contratos de proveedores cumplan con una calificación de seguridad mínima, implementar una inspección anual o reemplazar a los proveedores existentes por proveedores nuevos que puedan cumplir con los estándares de seguridad, o el requisito de garantía SOC 2 para proveedores críticos.
También puede proporcionar una breve descripción del marco y los procesos de gestión de riesgos de terceros de tu organización.
Muchas organizaciones entablan relaciones con proveedores y no comprenden completamente cómo el proveedor administra y procesa sus datos y los de sus clientes a pesar de invertir mucho en sus propios controles de seguridad internos.
Cómo evaluar a terceros
Existen varias soluciones y métodos para evaluar a terceros. En general, la alta gerencia y la junta decidirán las formas que sean más relevantes para ellos, lo que depende de su industria, el número de proveedores empleados y las políticas de seguridad de la información.
Las soluciones y métodos comunes incluyen clasificaciones de seguridad, cuestionarios de seguridad, pruebas de penetración y evaluaciones virtuales y en el sitio.
Clasificaciones de seguridad
Las clasificaciones de seguridad son una parte cada vez más popular de la gestión de riesgos de terceros. Pueden ayudar con:
- Comprender el riesgo de terceros que representan las relaciones de la cadena de suministro, el proveedor de terceros y los socios comerciales en tiempo real.
- La suscripción de seguros cibernéticos, la fijación de precios y la gestión de riesgos al permitir a las aseguradoras obtener visibilidad del programa de seguridad de aquellos a quienes aseguran para evaluar y fijar mejor el precio de sus pólizas de seguro.
- Inversión o adquisición de una empresa al proporcionar a las organizaciones una evaluación independiente de una inversión o controles de seguridad de la información del objetivo.
- Permitir que los gobiernos comprendan y administren mejor el desempeño de ciberseguridad de sus proveedores.
Cuestionario de seguridad
Los cuestionarios de seguridad (o evaluaciones de riesgo de terceros) están diseñados para ayudarte a identificar los posibles puntos débiles entre tus terceros proveedores, socios comerciales y proveedores de servicios que podrían resultar en una violación de datos u otros tipos de ataque cibernético.
Pruebas de penetración
La prueba de penetración, la prueba de la pluma o el pirateo ético es la práctica de probar la seguridad cibernética de un sistema informático, red o aplicación web buscando vulnerabilidades de seguridad explotables. Las pruebas de penetración se pueden automatizar con herramientas de prueba de penetración o manualmente mediante probadores de penetración.
Evaluaciones virtuales y en el sitio
Las evaluaciones virtuales y en el sitio generalmente son realizadas por una entidad externa y pueden incluir revisiones de políticas y procedimientos, así como una revisión física de los controles de seguridad física.
¿Cuáles son los desafíos comunes de la gestión de riesgos de terceros?
Hay una serie de dificultades comunes que la mayoría de las organizaciones enfrentan al implementar y ejecutar un programa de gestión de riesgos de terceros.
Falta de velocidad
No es ningún secreto que hacer que un proveedor complete un cuestionario de seguridad y procese los resultados puede ser un proceso largo. Un proceso que empeora cuando los cuestionarios se presentan en forma de largas hojas de cálculo sin control de versión, lo que resulta en un proceso propenso a errores, lento y poco práctico que no escala.
Falta de profundidad
Muchas organizaciones cometen el error de creer que no necesitan monitorizar a terceros de bajo riesgo, como herramientas de marketing o servicios de limpieza. En el mundo de hoy, debes supervisar a todos los proveedores, por lo que la mayoría de las empresas han recurrido a herramientas automatizadas para hacerlo.
Falta de visibilidad
Las metodologías tradicionales de evaluación de riesgos, como las pruebas de penetración, los cuestionarios de seguridad y las visitas in situ, requieren mucho tiempo, son puntuales, costosas y, a menudo, se basan en evaluaciones subjetivas. Además, puede ser difícil verificar las afirmaciones que hace un proveedor sobre sus controles de seguridad de la información.
Incluso si un cuestionario revela la efectividad de los controles de seguridad de un proveedor determinado, solo lo hace en ese momento. La infraestructura de TI está cambiando en la mayoría de las organizaciones, por lo que es posible que no refleje las realidades actuales en unos meses.
Es por eso que las organizaciones están utilizando clasificaciones de seguridad junto con técnicas tradicionales de evaluación de riesgos.
Al utilizar las calificaciones de seguridad junto con las técnicas de gestión de riesgos existentes, los equipos de gestión de riesgos de terceros pueden tener una información objetiva, verificable y siempre actualizada sobre los controles de seguridad de un proveedor.
Falta de coherencia
Los procesos ad-hoc de gestión de riesgos de terceros significan que no todos los proveedores son monitorizados y, cuando lo están, no tienen el mismo estándar que otros proveedores.
Aunque está bien, incluso se recomienda, evaluar a los proveedores críticos con mayor intensidad que a los no críticos, es importante evaluar a todos los proveedores con los mismos controles estandarizados para asegurarse de que nada pase por alto.
Falta de contexto
Muchas organizaciones no proporcionan un contexto en torno a su evaluación, a pesar de que diferentes tipos de relaciones con los proveedores (incluso con el mismo proveedor) pueden presentar diferentes niveles de riesgo. Por ejemplo, un proveedor solo puede usarse para transferir información no confidencial, como publicaciones de blog, mientras que otro proveedor puede manejar, almacenar y procesar los datos confidenciales de tu cliente.
Si bien proteger uno puede no ser una prioridad, tomar medidas para mitigar los riesgos asociados con este último es fundamental, ya que representan un riesgo significativo para ti y la privacidad de tus clientes.
Falta de rastreabilidad
Es probable que tu organización emplee a cientos o incluso miles de terceros y realizar un seguimiento de ellos puede ser un desafío.
Es importante controlar de cerca quiénes son tus proveedores y a quién se les han enviado cuestionarios de seguridad, cuánto han respondido y cuándo se completaron.
Falta de compromiso
Es difícil comunicar la importancia de la ciberseguridad, particularmente a los vendedores con poco tiempo que pueden tener diferentes perspectivas y objetivos que tu organización. No es raro tener que hacer un seguimiento durante semanas o incluso meses para que un proveedor responda un cuestionario.
Es por eso que es tan importante tener un lugar centralizado donde puedas enviar y revisar cuestionarios de seguridad sin tener que hacer un seguimiento de diferentes archivos y correos electrónicos.
¿Qué características debo buscar en una plataforma de gestión de riesgos de terceros?
El software puede ser una forma efectiva de gestionar el riesgo de terceros. Es importante tener en cuenta todas las listas descritas anteriormente al evaluar una posible plataforma de gestión de riesgos de terceros. Un buen producto podrá abordar el ciclo de vida completo desde el análisis hasta la monitorización continua.
Clasificaciones de seguridad
Las clasificaciones de seguridad son una medición dinámica, objetiva y basada en datos de la postura de seguridad de una organización. Son creados por una plataforma de calificación de seguridad confiable e independiente que los hace valiosos como un indicador objetivo del desempeño de seguridad cibernética de una organización.
Las calificaciones de seguridad apuntan a proporcionar una medida cuantitativa del riesgo cibernético.
Cuanto mayor sea la calificación de seguridad, mejor será la postura de seguridad de la organización.
Biblioteca de cuestionarios
Busca una solución que proporcione una biblioteca de cuestionarios preconstruidos para que puedas monitorizar rápidamente a tus proveedores según las mejores prácticas de la industria y los requisitos reglamentarios.
Cuestionarios personalizables
Más allá de los cuestionarios estandarizados, algunas organizaciones pueden desear desarrollar sus propios cuestionarios de seguridad basados en sus necesidades y deseos únicos.
Escalabilidad y automatización
No todas las soluciones podrán proporcionar la automatización necesaria para escalar y administrar rápidamente cientos o incluso miles de terceros.
Tampoco todas las soluciones proporcionan el mismo nivel de cobertura. Si tu organización emplea pequeños vendedores especializados, asegúrate de que la solución los cubra.
Flujos de trabajo de remediación
Una plataforma con flujos de trabajo de remediación te permitirá solicitar remediación de un proveedor específico basado en escaneo automatizado y cuestionarios completos. También te permitirá ver las solicitudes de reparación actuales, los riesgos que se solicitaron que se solucionen y cuándo se envió la solicitud de reparación.
Informes
Es importante poder informar sobre los resultados de tu programa de gestión de riesgos de terceros, ya sea a la Junta, la alta gerencia, o a los reguladores. Es por eso que una capacidad de informes robusta y fácil de entender es una parte importante.
Descubrimiento del cuarto partido
Es importante comprender quiénes son tus proveedores externos. Si bien es posible que no tengas un acuerdo contractual con ellos, pueden afectar la confidencialidad, integridad y disponibilidad de tu organización.
Monitorización continua
Para asegurarte de estar al tanto de los nuevos riesgos, necesitas una solución que esté siempre actualizada.
Precisión y minuciosidad
Tu programa de gestión de riesgos de terceros es tan efectivo como los datos en los que se basa. Si usas cuestionarios de seguridad, intenta usar una plantilla bien probada, y si usas calificaciones de seguridad, busca aquellas que cumplan con los Principios de calificaciones de seguridad justas y precisas.
- Transparencia
- Disputas, correcciones y apelaciones
- Precisión y validación
- Modelo de gobierno
- Independencia
- Confidencialidad