Recientemente viajé a las oficinas de TAG Cyber en Nueva York para reunirme con John Masserini. Hablamos de cómo la gestión de riesgos de terceros se está expandiendo para involucrar a más partes interesadas, cubrir más categorías de riesgo y abordar más etapas de la relación con el proveedor que nunca. He aquí un vídeo y la transcripción de nuestra conversación.
John Masserini: Buenos días. Soy John Masserini, Analista Senior de Investigación de TAG Cyber. La sesión de hoy forma parte del Intercambio de Ejecutivos de TAG Cyber. Estoy aquí con Brad Hibbert, Director de Estrategia y Director de Operaciones de Prevalent. Brad, me alegro de volver a verte y bienvenido a TAG.
Brad Hibbert: Gracias, John. Encantado de estar aquí.
John: Hablemos un poco del riesgo de terceros. En los últimos años, hemos asistido a un cambio en la forma de tratar a terceros y los riesgos que se producen en las empresas. Al principio, solíamos preocuparnos por el control de acceso, intentando que se realizara un escaneado de vulnerabilidades a un tercero, o quizás, en un buen día, obteníamos un informe SOC 2. Ahora el mundo es muy diferente, con el suministro y la seguridad. Ahora el mundo es muy distinto, con los problemas de la cadena de suministro y los retos que plantean los terceros. ¿Puede hablarnos un poco de lo que está viendo en el sector y hacia dónde se dirige?
Brad: En los últimos años hemos asistido a algunos cambios dinámicos en el sector. La gestión de riesgos de proveedores empezó hace años centrándose en los proveedores de TI y el control de acceso, es decir, en las personas que acceden a los datos, los procesan o los almacenan. Desde entonces hemos asistido a un pequeño cambio. En parte, esto se debe a los recientes acontecimientos con COVID, y la resiliencia empresarial ha surgido cada vez más.
También estamos observando una gran presión por parte de los consejos de administración, los consumidores y los accionistas en relación con los riesgos no relacionados con la TI asociados con ESG, la diversidad y la esclavitud moderna. Esto hace que las organizaciones se paren a pensar en las dimensiones más amplias de los riesgos asociados a terceros.
Pero no me malinterprete, los controles de seguridad informática siguen siendo prioritarios. Prevalent realizó recientemente un estudio de investigación sobre gestión de riesgos de terceros, y el 45% de los encuestados indicaron que los controles informáticos siguen siendo su principal preocupación. Pero lo interesante es que el 40% también indicó que los riesgos no informáticos son motivo de preocupación. Por lo tanto, creo que la gente está tratando de obtener una comprensión más completa del riesgo a través de esa relación con el proveedor y aplicar procesos y planes para mitigar ese riesgo.
John: Como anterior CSO, estaba muy centrado en los riesgos centrados en TI y los riesgos que las aplicaciones traían a la organización, que por defecto se extendían al ámbito de terceros. Ahora, con los riesgos ambientales, sociales y medioambientales, la esclavitud moderna y otros riesgos no relacionados con las TI, muchas organizaciones de la sociedad civil se enfrentan a la cuestión de cómo encajarlos en sus programas. ¿Cómo se están adaptando las OSC?
Brad: Las organizaciones son cada vez más sofisticadas y tienen en cuenta los riesgos no informáticos. Están poniendo en marcha programas de riesgos de terceros que pueden empezar por examinar un determinado tipo de control o riesgo. Quizá empiece por el riesgo de seguridad informática, pero ¿cómo se consigue visibilidad sobre un perfil de riesgo más completo? Por ejemplo, desde el punto de vista de las adquisiciones, estamos viendo mucha más demanda de preselección del riesgo de los proveedores, identificación de problemas de sanciones y comprensión de los riesgos para la reputación. Aunque puede no haber un impacto o requisito directo de cumplimiento, estamos viendo mucha presión sobre las organizaciones por parte de los consumidores y accionistas activistas que les piden que mejoren en estas áreas.
En Prevalent, analizamos qué personas de la organización interactuaban con los proveedores en las distintas fases del ciclo de vida y qué tipos de riesgos debían abordar. A continuación, creamos capacidades para ayudarles a comprender los riesgos, minimizar los retos y mitigar las preocupaciones a lo largo del ciclo de vida del proveedor.
John: Desde el punto de vista de la tecnología de seguridad, encontramos formas de clasificar los riesgos, como las vulnerabilidades con CVSS. Así que haces lo mismo con los riesgos no centrados en la tecnología, ¿no? Puedes sentarte frente a una junta y decir: "Esta es la parte tecnológica, esta es la parte reputacional y esta es la parte ESG". ¿Esa es la solución "todo en uno" a la que te refieres?
Brad: Así es. Recopilamos la información y te ofrecemos una comprensión global del riesgo en sus diferentes dimensiones. Lo hacemos desde distintos ángulos.
Como has dicho, está la visión desde fuera: Examinamos la vulnerabilidad, el riesgo para la reputación de la empresa y el riesgo financiero. Nos fijamos en las distintas sanciones. Vigilamos continuamente los datos de riesgo y los incorporamos a nuestra plataforma. También disponemos de una capacidad de evaluación de la perspectiva interna. Su objetivo es comprender las políticas y procedimientos de terceros y pedirles pruebas.
Lo complementamos elaborando perfiles de proveedores con información adicional que obtenemos de sensores globales. Por ejemplo, datos demográficos del proveedor, relaciones con terceros, información ESG, etc. Y luego lo agrupamos en un perfil completo que la empresa pueda comprender.
John: Has mencionado la integración de la seguridad y las adquisiciones: siempre ha sido un reto en todas las organizaciones para las que he trabajado; encontrar ese equilibrio entre lo que quiere hacer el equipo de seguridad y avanzar en el ciclo de vida de las adquisiciones. Ha sido un gran reto. También parece que estás abriendo esto a mucha más gente de la organización, no solo al equipo de seguridad.
Brad: Así es. Muchos de los programas empiezan con el equipo de seguridad; el 45% de los encuestados en nuestro estudio de 2022 indicaron que esa es la principal preocupación. Muchas organizaciones están preocupadas por la seguridad porque las violaciones de datos de terceros se han acelerado en los últimos dos años. En nuestra investigación, también mostramos que alrededor del 45% de los encuestados indicaron que recientemente se habían visto afectados por una filtración de datos de terceros. Puede tratarse de un impacto de un proveedor de TI o de otro tipo de proveedor que haya sufrido una violación de la seguridad. Y eso es más del 21% que en 2020. Por lo tanto, estamos viendo un cambio real en los atacantes que van tras la cadena de suministro. Eso es lo que realmente está impulsando la concienciación.
Esa suele ser la base del programa, comprender el riesgo de seguridad. Tradicionalmente, los usuarios de nuestras soluciones han sido los CSO y los equipos de seguridad. Ahora estamos empezando a ver un poco de convergencia. Vemos que se pide a los equipos de seguridad que comprendan mejor el riesgo. Vemos que a los equipos de compras -que normalmente solían ocuparse de la calidad, la entrega y el riesgo financiero- se les pide ahora que comprendan los factores relacionados con la diversidad, la esclavitud moderna y los ASG. Una vez más, son los accionistas, y no solo los consumidores, quienes impulsan estas cuestiones.
Pero también estamos viendo que el lado de la oferta, los equipos de compras, preguntan ahora sobre los riesgos informáticos a sus proveedores no informáticos, porque ellos también pueden verse afectados por violaciones de datos que podrían afectar a la capacidad de prestar un servicio o suministrar un producto.
Desde la perspectiva del comprador, hace unos años el 95% de las personas con las que interactuábamos eran CSO. Ahora, esa cifra se sitúa en torno al 75%. El otro 25% de nuestras interacciones son con compras, gestión de contratos y otros que se acercan a la mesa a medida que los programas de riesgo de terceros empiezan a madurar y expandirse con el tiempo.
John: Sé que la SEC se ha centrado mucho recientemente en el riesgo de terceros, así como en el riesgo de cuartos. A menudo no miramos más allá de los proveedores externos y nos fijamos en los socios de los que dependen. Por ejemplo, en el mundo de las telecomunicaciones, los proveedores de cuarta parte son muy importantes. Puedo comprar un dispositivo a una fuente de confianza, pero ¿quién sabe de dónde ha sacado los chips o las placas?
Entonces, ¿cómo puede Prevalent en general ayudar a mi equipo -incluidos los equipos de compras, privacidad y jurídico- a abordar los requisitos de la SEC y otros requisitos normativos que se avecinan?
Brad: Nuestra plataforma SaaS se centra en la gestión de riesgos de terceros: un lugar unificado para obtener esa comprensión global del riesgo. Hemos tenido en cuenta a todos los equipos que interactúan con terceros a lo largo de la relación con el proveedor: desde el aprovisionamiento y la selección, pasando por la contratación y la incorporación, la diligencia debida y la corrección, hasta la supervisión y validación continuas, la baja y la rescisión del contrato. Les ayudamos a comprender los riesgos que conlleva cada paso y quién interactúa con el tercero en cada uno de ellos. Y les proporcionamos un perfil de riesgo completo a través de una lente que es relevante para ellos y su función de trabajo.
Nuestra plataforma consolida esa información, automatiza el proceso y fomenta la colaboración entre equipos. La idea es ir más allá de la casilla de verificación del cumplimiento. Todos los equipos pueden pensar detenida y deliberadamente en cómo interactúan con terceros para mitigar los riesgos. Si pueden ampliar esa información a los distintos equipos, podrán reducir significativamente el riesgo global asociado al tercero a lo largo de todo el contrato.
Además, el mercado aún está algo inmaduro, por lo que ofrecemos servicios a los clientes que los necesitan. Contamos con un experimentado equipo de servicios y socios de servicios que pueden ayudar con el diseño, la implantación y la optimización de programas.
La mayoría de los miembros de nuestro equipo llevan más de 20 años haciendo esto y han aprendido algunas de las mejores prácticas. Así que, para los clientes que quieren que otro haga el trabajo duro, nuestro equipo de servicios gestionados puede ayudarles. Escalan el programa de cada cliente con un alto nivel de calidad y, a continuación, ofrecen un programa de éxito del cliente para respaldar todo el proceso.
Podemos ayudarle a entender cuáles son las necesidades de su programa, empezar con algo pequeño, demostrar cierto éxito y luego hacerlo crecer con el tiempo. Luego, a medida que su programa de gestión de riesgos de terceros crece, empieza a comprender otras dimensiones del riesgo y a incorporar diferentes departamentos al programa, nos aseguramos de que cuente con el apoyo necesario para que su programa tenga éxito.
Parece que nos estamos deshaciendo de muchas hojas de cálculo.
Brad: Sí, hoy en día hay mucha gente que sigue utilizando hojas de cálculo para la GTPR, y se están dando contra un muro. Se dan cuenta de que no pueden escalar, especialmente cuando intentan abordar un conjunto más amplio de proveedores, más allá de sus principales proveedores de TI, y un conjunto más amplio de riesgos que los que se cubren en una comprobación de seguridad anual. Las empresas necesitan tener un conocimiento continuo de los perfiles de riesgo de los proveedores, más allá de estas evaluaciones puntuales. Así pues, muchas organizaciones están luchando, y empresas como la nuestra están ahí para ayudarle a superarlo.
John: No podemos mantener una conversación sobre riesgos y seguridad sin hablar de los retos del sector en materia de contratación y recursos. Cualquier solución que pueda ayudarnos a gestionar mejor los recursos de que disponemos nos parece una victoria.
Me gustaría profundizar un poco más en el tema de ir más allá del cumplimiento. Ir más allá de la casilla de verificación. Ese ha sido históricamente un problema en la seguridad, donde la gente que no es de seguridad dice: "Cumplimos, así que estamos seguros". En el mundo del riesgo de terceros, ¿cómo gestionamos eso? ¿Pasar de "hemos pasado la casilla de verificación del cumplimiento" a resolver realmente los problemas con nuestros socios terceros?
Brad: Es un gran punto. Como has mencionado, mucha gente recibe una evaluación anual de proveedores que puede indicar cierto nivel de riesgo. Luego lo archivan y dicen: "Ya he hecho mi evaluación", y siguen adelante. Nuestra plataforma aprovecha la automatización y la inteligencia para comprender los riesgos a medida que se reciben las respuestas de la evaluación y se producen los eventos de riesgo. Convertimos esas respuestas y eventos en riesgos cuantificados con contexto empresarial.
También proporcionamos orientación prescriptiva a los clientes sobre lo que deben hacer para remediar los riesgos y lo que deben preguntar a sus proveedores. Así que ya tienen la receta para remediar el riesgo. Luego viene el paso siguiente, que es llevar a cabo la corrección. Y las empresas que no tienen tiempo para interactuar con sus proveedores sobre la corrección siempre pueden aumentar sus equipos con servicios gestionados.
Mucha gente pasa mucho tiempo recopilando datos, haciendo que los proveedores respondan y recopilando los datos. Si todo eso se puede automatizar, entonces se puede dedicar más tiempo a las cosas difíciles en el back-end, que es hacer la corrección. Por lo tanto, intenta automatizar, externalizar o hacer lo que sea necesario para simplificar la experiencia del front-end, de modo que puedas dedicar más tiempo a realizar las correcciones.
Las redes compartidas de inteligencia de proveedores o los intercambios compartidos también resultan útiles. Se encargan de gran parte de la recopilación de datos y cotejan la información sobre riesgos por adelantado, para que su equipo pueda dedicar más tiempo a la corrección. Hemos comprobado que las redes tienen mucho éxito en determinados sectores verticales, sobre todo cuando hay concentración de terceros. Por ejemplo, Prevalent gestiona redes compartidas en los sectores jurídico y sanitario. Cuando tenemos como cliente a un proveedor de servicios sanitarios o jurídicos, lo más probable es que ya dispongamos de mucha información relevante en nuestra base de datos, por lo que pueden centrarse en la corrección.
John: Por curiosidad, ¿habrá más intercambios próximamente? Ha mencionado los sectores jurídico y sanitario. Imagino que los servicios financieros serían un objetivo prioritario.
Brad: También tenemos un intercambio general e intersectorial, y seguimos trabajando con distintos grupos industriales. Depende mucho de la madurez del mercado. Los sectores verticales tienen que decidir qué contenido de evaluación estandarizado y qué buenas prácticas les convienen. Estamos trabajando en algunas bolsas nuevas: servicios financieros, sector del automóvil, sector minorista, etc. Cuando el mercado esté preparado, estaremos ahí para ayudarles.
John: ¿Algún comentario final que quiera compartir?
Brad: Supongo que algunos consejos que hemos aprendido a lo largo de los años. Las organizaciones que deseen asumir la gestión de riesgos de terceros deben saber que existen soluciones y personas que pueden ayudarles. Deben pensar en lo que quieren conseguir con sus programas a largo plazo, pero pueden empezar poco a poco y planificar el crecimiento. Es importante contar con una buena base.
La gente debería ir más allá de la casilla de verificación del cumplimiento y pensar en mitigar los riesgos. Usted y yo tenemos mucha experiencia en la gestión de vulnerabilidades y accesos, y la gestión de riesgos de terceros es similar. Se trata de reducir la superficie de ataque. Las organizaciones tienen que pensar en intentar ir más allá del cumplimiento puntual para reducir el riesgo de forma continua. Tienen que comprender continuamente cómo es su perfil de riesgo de terceros y cómo cambia con el tiempo.
Las soluciones como las que ofrecen Prevalent y nuestros socios pueden ayudar a las organizaciones a atravesar el ciclo de aprendizaje, ponerlas en marcha y ofrecer la eficacia y la calidad que buscan.
John: Parece una solución excelente. Muchas gracias por venir hoy.
Brad: Gracias, John. Ha sido estupendo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
