El Programa de Evaluaciones Compartidas y Protiviti han publicado su quinto estudio comparativo sobre gestión de riesgos de proveedores, y el informe de este año está repleto de las habituales ideas sobre mejores prácticas y datos destinados a ayudar a las organizaciones a madurar sus programas de gestión de riesgos de terceros. El tema del informe de este año (Running Hard to Stay in Place) es apropiado, ya que indica que a pesar de los avances significativos en el riesgo de terceros, falta progreso.
Le recomiendo que lea el informe completo y, en este blog, desglosaré las cinco (5) conclusiones principales y plantearé preguntas que le ayuden a calibrar en qué punto del proceso de maduración de su programa de gestión de las relaciones con los clientes se encuentra.
Las cinco conclusiones principales del informe son las siguientes:
- La madurez de los programas se mantiene relativamente igual que en informes anteriores, con una puntuación de 3 en una escala de 5. Shared Assessments y Protiviti creen que las organizaciones están en modo sostenible con sus programas.
- Un consejo de administración altamente comprometido equivale a un programa de gestión de la seguridad de la información maduro (pero no todos los programas de gestión de la seguridad de la información maduros se caracterizan por un fuerte compromiso del consejo), y el porcentaje de consejos de administración altamente comprometidos sigue creciendo, sin duda debido al creciente número de infracciones de gran repercusión procedentes de terceros.
- Los ciberataques aumentan, y cada vez se tarda más en descubrirlos y solucionarlos.
- Las organizaciones se están alejando de las relaciones con proveedores de alto riesgo, probablemente debido a la mejora de las medidas de identificación y a las continuas limitaciones de recursos.
- Los costes siguen aumentando, mientras que los recursos están estancados.
Si las cinco conclusiones principales del informe de este año se refieren al estado de su propio programa de gestión de las relaciones con los clientes, no está solo. Yo diría que hay cuatro (4) medidas que puede tomar hoy mismo para que su programa avance en la dirección correcta.
1. Mejorar los informes de los consejos de administración, pero desconfiar de las "puntuaciones" o "calificaciones de seguridad".
Para mejorar el compromiso de la junta directiva, empiece por una buena presentación de informes. Uno de los mayores retos a los que pueden enfrentarse las organizaciones a la hora de informar es la falta de claridad o exhaustividad de la puntuación, o la incomprensión de lo que realmente significa una puntuación. Este problema se agrava cuanto más alto es el nivel al que se debe informar. Según nuestra experiencia, un buen informe a nivel ejecutivo/de la junta directiva es:
- Flexible: permite ponderar a los proveedores en función de su importancia para la empresa.
- Claridad: relaciona las respuestas con los marcos de control o los mandatos normativos para facilitar su interpretación.
- Centrado en el futuro: proyecta el riesgo futuro basándose en las correcciones en curso, para que pueda evaluar cómo se están desarrollando los esfuerzos de mitigación del riesgo.
Este tema trata de la visibilidad... en su contexto; de dar a los responsables de la toma de decisiones el contexto que necesitan. Pero quiero hacerle una advertencia. No se deje engañar creyendo que una "puntuación" o "calificación de seguridad" resolverá lo que le aqueja. Suelen ser demasiado superficiales, ya que sólo proporcionan un análisis externo de la red que muestra los riesgos cibernéticos básicos, pero hay mucho más en la puntuación que podría ponerle en un aprieto ante la junta directiva. Si actualmente utiliza servicios de puntuación o calificación, asegúrese de tener respuestas a estas preguntas:
- ¿Qué hay de la medición de la adhesión interna de un proveedor a los mandatos de cumplimiento? ¿Puede revelarlo un análisis externo?
- ¿Puede una puntuación articular el riesgo que un proveedor representa para su negocio en la región? ¿Ofrece una visión de las relaciones ampliadas con terceros?
- ¿Puede una puntuación de seguridad indicarle cómo maneja sus datos un proveedor?
- ¿Cómo pueden las calificaciones de seguridad automatizar la recopilación de pruebas de proveedores y la diligencia debida?
Sin la garantía del proveedor, la puntuación y calificación de los proveedores proporciona una visión limitada del riesgo del proveedor, lo que significa que no se está realizando una evaluación real. Las mejores prácticas para TPRM publicadas por Shared Assessments, Gartner, Forrester y otros incluyen evaluaciones de cuestionarios de proveedores y una supervisión continua.
Busque la automatización de los procesos de evaluación y un conocimiento profundo de los controles internos que utilizan los proveedores para manejar los datos. Teniendo en cuenta que hay tantas filtraciones de datos que implican fallos en los controles, es posible que desee profundizar en esa puntuación de seguridad y ver si le dice cómo un proveedor manejaría sus datos.
2. Aumentar la visibilidad de la actividad cibernética del proveedor
Llevar a cabo su evaluación periódica estandarizada basada en controles es la actividad más importante que su equipo de gestión de riesgos de proveedores puede realizar para obtener la visión más profunda de las prácticas de seguridad de datos de su proveedor para el cumplimiento. Sin embargo, son puntuales y pueden ocurrir muchas cosas entre una evaluación y otra o durante su realización.
Considere la posibilidad de llevar a cabo una supervisión continua de las redes de sus proveedores para obtener información inmediata sobre los riesgos de los proveedores que pueda servir de base para las evaluaciones. La información continua sobre los posibles riesgos de los proveedores mejora la priorización y el conocimiento de los riesgos en general. Esta información puede servir para determinar la puntuación global de los riesgos a partir de la evaluación basada en controles exhaustivos.
Algo que puede resultar especialmente útil en este caso es examinar no sólo los riesgos cibernéticos y de datos de los proveedores, sino también sus riesgos empresariales y operativos. Por ejemplo, considerar factores como anuncios de ingresos, despidos, notificaciones de violaciones de datos y similares puede añadir una importante métrica cualitativa a su análisis cibernético, y puede servir como medida predictiva para posibles riesgos futuros.
3. Mejorar la remediación con una mejor comunicación
El estudio de este año muestra que hay una mejor identificación de las relaciones de riesgo con los proveedores, pero con la escasez de recursos para hacer frente a estas correcciones, las organizaciones se están alejando de las relaciones de riesgo. Alejarse de las relaciones de riesgo es positivo, pero si prestan servicios esenciales para su organización, ¿cuál es el coste de contratar a un nuevo proveedor para que preste el mismo servicio?
En mi opinión, otro camino que se puede tomar aquí -sólo para proveedores críticos y difíciles de sustituir- es simplificar el flujo de trabajo y las comunicaciones. Lo que hemos visto con éxito aquí es:
- Defina calendarios de evaluación, con recordatorios de persecución incluidos.
- Una visión en tiempo real del estado de la solicitud de recopilación de contenidos, visible tanto para los evaluadores como para los usuarios proveedores.
- Generación automática de un registro de riesgos una vez completada una solicitud, para que todas las partes estén al tanto de los fallos de control específicos.
- Flujo de trabajo bidireccional con herramientas de debate integradas entre evaluadores y proveedores.
- Panel de control fácil de usar para capturar y auditar conversaciones, registrar fechas de finalización, asignar tareas y cotejar documentación o pruebas.
Adoptar algunas medidas sencillas para beneficiar a los proveedores y simplificar los informes que le envían a usted también ahorrará tiempo a su equipo.
4. Considerar una plataforma unificada para evaluaciones y supervisión continuas automatizadas.
Los costes -y el tiempo- para realizar evaluaciones exhaustivas de los proveedores están aumentando, mientras que los recursos para llevarlas a cabo permanecen más bien estancados. Considere la posibilidad de automatizar el engorroso proceso de recopilación, análisis y corrección de la resistencia de los proveedores, al tiempo que supervisa continuamente los datos de los proveedores y los riesgos empresariales, y lo integra en una única plataforma basada en contenido estándar del sector. Este modelo integral ofrece la máxima visibilidad, simplifica la gestión y reduce el coste total de propiedad. Las ventajas son evidentes: menos proveedores que gestionar; menos tiempo para completar, analizar y solucionar los problemas de control de los proveedores; y menos costes de asistencia.
¿Cómo puede ayudar Prevalent?
Como pionero y líder en el mercado de la gestión de riesgos de terceros, y socio tanto de Shared Assessments como de Protiviti, Prevalent ofrece la única plataforma unificada y específica del sector para la gestión de riesgos de terceros. La plataforma de Prevalent, que se ofrece con la sencillez de una nube segura, combina evaluaciones automatizadas de proveedores, supervisión continua de amenazas e intercambio de pruebas con servicios expertos de asesoramiento y consultoría para optimizar su programa de gestión de riesgos. Con Prevalent, las organizaciones simplifican el cumplimiento, reducen los riesgos basados en proveedores y mejoran la eficiencia para ampliar la gestión de riesgos de terceros.
Cuando esté madurando su programa de gestión de riesgos de proveedores externos, considere las ventajas de una plataforma única e integrada: mejor visibilidad de los riesgos de proveedores, máxima eficacia y escala.
Para obtener más información sobre Prevalent o ver una demostración personalizada, póngase en contacto con nosotros hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
