Evitar la "zona crepuscular" del riesgo cibernético de los proveedores

¿Cómo puede ayudarle una solución VRM a evitar dramas indeseados?

Riesgo para los proveedores

Presentado para su aprobación: Has sido convocado a una importante reunión del comité ejecutivo.

Como CIO del banco, todo lo que sabes es que John, que dirige Retail, tiene una presentación importante.

No sabe que está a punto de entrar en otra dimensión...

Una vez que todo el mundo se ha unido a la llamada, John presenta inmediatamente su última bala de plata para exprimir los préstamos al consumo y garantizar la bonificación anual de todos: la última y más brillante novedad en marketing digital, con la promesa de aumentar la producción de préstamos en un 150%.

Todo el mundo está entusiasmado. ¿Cuándo podrá lanzarse? 

¿La respuesta de John? "Todo lo que tenemos que hacer es que el departamento de TI conecte el nuevo widget a nuestro sitio web y lo vincule a nuestros archivos principales de clientes para que pueda hacer lo suyo". 

Sin dudarlo, el Director General declara: "¡Hagámoslo!". 

Perdón por la melodramática analogía que acabo de exponer. Pero si eres el CIO, encargado de proteger los activos de datos de tu empresa, esta reunión puede darte la sensación de que has entrado en un episodio de La dimensión desconocida.

El problema es que tienes razón.

Cuando el riesgo supera la ficción

Aunque esto pueda parecer una representación ficticia de cómo la estrategia y la acción ganan impulso y aprobación dentro de una organización, se lo prometo: No es descabellado. Cualquiera que lleve unos años en el mundo corporativo se da cuenta de que los tiempos desesperados a menudo motivan a las organizaciones a adoptar medidas desesperadas, sin contemplar los peligros. Eso incluye no hacer la debida diligencia con los proveedores, o investigarlos en busca de riesgos ocultos.

El problema es que, al igual que en la serie de televisión, esto puede acabar en un inoportuno giro en el tercer acto.

.vc_do_cta3{padding-top:28px;padding-right:28px;padding-bottom:28px;padding-left:28px;margin-bottom:35px;}.vc_custom_1631891849000{background-image: url(https://mitratech.com/wp-content/uploads/Green-A-Page-Header.png?id=42780) !important;background-position: center !important;background-repeat: no-repeat !important;background-size: cover !important;border-radius: 2px !important;}

Infografía: Directrices para la incorporación eficaz de proveedores

Mitigar los riesgos al tiempo que se establecen sólidas relaciones con los proveedores.

Puede que su producto cumpla lo prometido. Pero si afecta a sus datos o a los de sus usuarios, ¿qué garantías tiene? Por ejemplo, si se trata de una aplicación web integrada en su sitio, puede incluir etiquetas ocultas que exporten datos a los socios y subcontratistas de su proveedor (sin su permiso). Estas etiquetas ocultas pueden causar problemas de seguridad, violar las leyes de privacidad y degradar la experiencia del usuario.

¿Cómo moderar este entusiasmo desenfrenado y garantizar un nivel adecuado de evaluación y escrutinio del proveedor antes de comprometerse irreversiblemente con su producto? ¿Un compromiso en el que vas a cargar con la responsabilidad del éxito de la implantación y el riesgo operativo permanente?

Diligencia debida ampliada

El primer requisito para cualquier nueva relación de productos o servicios de terceros tiene que ser un examen de la documentación de diligencia debida proporcionada por el proveedor. Esto incluiría estados financieros y sus certificados de seguro, junto con cualquier auditoría de control (SOC 1 o SOC 2), planes de continuidad de negocio y recuperación y resultados de pruebas, y probablemente documentación de seguridad de la información.

Es posible que desee dar un paso más para evaluar los antecedentes de los principales responsables de la oferta del producto o servicio, entrevistar a clientes existentes y hacer una búsqueda para identificar cualquier noticia negativa. En el caso de un recién llegado al mercado, aunque todo lo disponible pueda parecer en orden -al menos, en cuanto a lo visible-, ¿tiene realmente una visión completa? ¿Está preparado para permitir el acceso a su activo más crítico, los datos confidenciales de su organización y de sus clientes? ¿Qué más debería hacer?

Quizás el paso más importante que puede dar es el siguiente: realizar una evaluación independiente de la postura de ciberseguridad de un proveedor, junto con una evaluación de si realmente practican lo que documentan en sus procedimientos de diligencia debida proporcionados en relación con las prácticas de seguridad de la información y las normas de política de privacidad. Con una solución de gestión de riesgos de proveedores (VRM) (como nuestra propia Mitratech TPRM (Prevalent)) como solución de gestión de riesgos de terceros, puede obtener dicha evaluación antes de firmar con ellos, o incluso en cualquier momento posterior de la relación.

Múltiples etapas de la evaluación del riesgo cibernético de los proveedores

En el caso de nuestra propia solución VRM, integrada con la renombrada plataforma de supervisión de la ciberseguridad Black Kite, la evaluación de la postura técnica de un proveedor es sólo una de las diversas etapas de la evaluación. La postura técnica puede revelar muchos posibles escollos futuros en una relación pendiente o existente, como actualizaciones y protecciones ineficaces en los activos de procesamiento y el entorno del proveedor. O puede detectar dónde ya ya existen.

Mientras que la postura técnica requiere una formación técnica para evaluarla en su totalidad, hay un aspecto de la supervisión de la ciberseguridad más "comprensible desde el punto de vista de la gestión". Se trata de ser capaz de determinar la conformidad del proveedor con los requisitos estándar del sector y las certificaciones aceptadas. Se trata de una capacidad secundaria importante .

Por ejemplo, el Reglamento General de Protección de Datos (RGPD ), la ley de la Unión Europea que define los controles que tienen los ciudadanos de la UE sobre sus datos personales. Ha sido fuente de litigios y multas importantes para los infractores, por lo que es un área de riesgo que debe evitarse.

A través de la supervisión de la ciberseguridad mediante la solución VRM antes mencionada, puede recibir la validación de que las instalaciones GDPR requeridas funcionan dentro de la presencia web pública de un proveedor propuesto, lo que le da confianza sobre su conformidad con los requisitos del GDPR. Se pueden hacer sugerencias de mejora e incluirlas en la evaluación.

Este mismo procedimiento se puede aplicar a otras certificaciones y mandatos normativos, como la CCPA, la evaluación compartida SIF, la ISO 27001, el NIST y otros.  Son solo algunas de las docenas (y cada vez más) de normas definidas por la industria. En el caso de Mitratech TPRM (Prevalent), nuestro cuestionario de evaluación de proveedores de seguridad de la información se basa en las normas NIST y está certificado para la certificación de proveedores en Normshield.

Alejarse de los límites exteriores del ciberriesgo de los proveedores

Lo siento, no he podido evitarlo. Pero en lugar de perder el control, como en la introducción de ese viejo programa, ahora puede ganar más control sobre el riesgo cibernético de los proveedores. El conocimiento (y los datos), después de todo, es poder, y la solución VRM adecuada se lo da.

Conocer las deficiencias de ciberseguridad de un proveedor (y el correspondiente riesgo indebido para su organización) proporciona una ventaja excepcional a la hora de negociar un contrato, o de llamar la atención a un proveedor para que adopte medidas correctivas y realice ajustes financieros. También le permite determinar la exposición financiera existente, basándose en los datos que residen en la relación. Se trata de una información extremadamente potente, que se puede obtener utilizando la herramienta del Instituto FAIR™ Valor en Riesgo (VaR) del Instituto FAIR™.

En el ejemplo hipotético con el que empezamos, ser capaz de analizar la postura de ciberseguridad de terceros de nuestro posible proveedor puede ser la mejor forma de garantizar que el widget propuesto es aceptable. Ser capaz de mantener una supervisión continua de la postura de ciberseguridad de un tercero y el riesgo recíproco para su organización es empoderador y esencial para su organización. Con el proveedor y la solución de VRM adecuados a mano, evitará dramas no deseados. Especialmente del tipo Rod Serling.

.vc_do_btn{margin-bottom:22px;}.vc_custom_1605296946307{background-image: url(https://mitratech.com/wp-content/uploads/background-3-1.jpg?id=32674) !important;background-position: center !important;background-repeat: no-repeat !important;background-size: cover !important;}.vc_custom_1596163214368{margin-left: 40px !important;}

Defiéndase contra los riesgos de proveedores y empresas

Conozca nuestras soluciones VRM/ERM, las mejores de su categoría.