Recientemente nos sentamos a entrevistar a un líder de opinión en gestión de riesgos de terceros con el objetivo de entender cómo ve el riesgo de terceros en el contexto de otras consideraciones de seguridad y riesgo. En este blog, este CISO ofrece su perspectiva sobre lo que se necesita para construir un programa sostenible de gestión de riesgos de terceros. Debido a las opiniones que aquí se ofrecen y a que el riesgo y la seguridad son temas delicados, este CISO pidió que no se utilizara su nombre ni el de su empresa.
¿Cómo ha evolucionado la gestión de riesgos de terceros? ¿Cómo ha influido en su superficie de riesgo global?
Lo que hemos visto en los últimos 10-15 años es que, gracias a la digitalización, los ecosistemas se han ampliado rápidamente para incluir a más terceros. Antes proporcionaban bienes y servicios in situ. Pero ahora, el modelo ha cambiado para ser más "como servicio" en la nube y eso amplía tu exposición al riesgo. Se acaba cediendo un poco de control en nombre de la experiencia y la reducción de costes. Pero hay que tener cuidado y no caer en la trampa: externalizar el riesgo no es necesariamente externalizar la responsabilidad.
¿Cuál es el mayor reto al que se enfrenta a la hora de evaluar a sus proveedores y otros terceros?
Lo que busco es si mis terceros se adhieren a los mismos principios que yo, lo que rara vez o nunca es el caso. El problema es el alcance. Responden a una pregunta en su cuestionario de evaluación de riesgos, pero no responden a la pregunta dentro del ámbito. Por ejemplo, cuando pregunto a un tercero si cifra los datos "en movimiento y en reposo" y responde "sí", ya está. Llegar al fondo de la cuestión requiere un esfuerzo mucho mayor y un contexto que va más allá de esa simple pregunta, y es difícil de validar. Eso no es escalable.
Hablando de validación, ¿qué hay de las medidas externas para validar si existen controles?
Depende. Si te refieres a herramientas de análisis y puntuación, creo que suelen ser erróneas. Todas producen datos diferentes sin contexto ni transparencia. Todo es "salsa secreta".
¿Qué tipo de informes tienes que presentar al consejo? ¿Qué les interesa?
Esto variará según la organización, pero se trata de encontrar un equilibrio entre lo que quieres que les importe y lo que realmente les importa. Enfoca todas las conversaciones con los directivos desde un punto de vista empresarial, identificando los riesgos para la empresa, no el riesgo o incidente de seguridad en sí, sino las consecuencias reales de ese riesgo o incidente.
El problema es que sigue existiendo un abismo entre lo que realmente es el riesgo y cómo comunicarlo de forma significativa. El problema radica en la rendición de cuentas; conceptualmente, no es diferente de la información financiera. Hay que aplicar el mismo rigor y enfoque a la información sobre riesgos de seguridad que al riesgo financiero. Creo que la mayoría de los consejos de administración no lo están entendiendo hoy en día y, hasta que no lo hagan, esas organizaciones sufrirán una brecha en la comprensión. ¿Recuerdan lo que hizo Enron con los informes financieros? Espero sinceramente que no haga falta un incidente del tipo "ciber-Enron" para que los consejos despierten. Sin embargo, si no se puede definir el daño, no se conseguirá la aceptación.
¿Y la privacidad? Aparte de la "resistencia empresarial" o la "continuidad" a raíz de la crisis del COVID-19, la "privacidad" ha dominado últimamente las conversaciones entre terceros.
Entre la CCPA
y otros proyectos de ley relacionados, la privacidad impulsará los debates sobre responsabilidad. Ese es el resultado más esperanzador de cualquier legislación: la responsabilidad. Ese nivel de aplicación debe aumentar el escrutinio y obligar a las empresas a tomárselo más en serio en lugar de limitarse a "marcar la casilla".
El problema es que las leyes se trazan dentro de las fronteras, pero internet ha roto las fronteras. ¿Qué ley rige internet a nivel mundial? No se aplica a las fronteras físicas. Conceptualmente, es diferente a cómo se construyó este país.
¿Qué le parece a usted el programa ideal de gestión de riesgos de terceros? ¿Cuáles son los componentes o elementos adecuados?
En primer lugar, acérquese a la empresa y documéntese sobre lo que es importante para ella. Determina si sus necesidades coinciden con la misión y los objetivos de tu empresa. Y lo que es más importante, siga el consejo de la empresa de forma holística. A continuación, haga una lista de las X cosas más importantes, póngalas por orden de prioridad y vuelva a la empresa con una serie de riesgos que estén dispuestos a tolerar. Este es el principio de la gobernanza.
Una vez definido el marco de gobernanza, hay que examinar a los terceros y ver cómo se comparan con el riesgo que la empresa está dispuesta a tolerar. A continuación, y esta es la parte que suele requerir más trabajo, hay que encontrar la forma de hacerlo de forma continua. Determine qué información se necesita para hacerlo, si se aplica a todos los terceros y cómo se gestionará a lo largo del tiempo.
Disponer de la estructura de gobierno adecuada -con una transparencia educativa permanente- es fundamental para el éxito a largo plazo.
Cuando habla con otras organizaciones, ¿qué orientación les da? Por dónde empezar, cómo priorizar, etc.
Hay que empezar por entender lo que es importante para la empresa, como he dicho en la pregunta anterior. Una vez que sepas lo que es importante -y que la comunicación fluya en ambos sentidos entre tú y la empresa- tendrás una base más firme sobre la que construir y podrás llevar a cabo la diligencia debida y tomar decisiones basadas en el riesgo.
Además, recuerde que no se trata sólo de evaluar el riesgo financiero para su empresa: también debe tener en cuenta la privacidad de los datos. Hay que mantener estas conversaciones desde arriba. La decisión y la responsabilidad recaen en la empresa, no en la seguridad. El trabajo de seguridad no es aceptar el riesgo, mi trabajo es hacer la evaluación. Hay que educar a la empresa en lo que significa el riesgo, examinar los datos, hacer preguntas e informarles para que puedan aceptar un apetito de riesgo adecuado a la empresa.
¿Qué le quita el sueño?
Soy un CISO. Hace años que no duermo 😊. En serio, sin embargo, considero regularmente si he hecho todo lo que razonablemente puedo hacer para cumplir con la misión. Por ejemplo, si pasa algo, ¿puedo ir a la empresa e informar con confianza de lo que ha pasado, cómo y qué estamos haciendo al respecto? Hace tiempo que acepté que no hay seguridad en el trabajo como CISO, pero tengo que estar bien conmigo mismo porque he dado todo lo que he podido y estoy controlando lo que puedo controlar. Ahora, esos vendedores salvajes míos son una historia completamente diferente...
Para obtener más información sobre cómo Prevalent puede ayudarle a abordar sus retos de gestión de derechos de terceros, póngase en contacto con nosotros hoy mismo, descargue nuestra guía de mejores prácticas o realice una rápida evaluación en línea que le ayudará a determinar el nivel de madurez de su programa de gestión de derechos de terceros.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
