La supervisión de riesgos es la práctica de recopilar y analizar datos externos disponibles para evaluar posibles amenazas e impactos. Para los gestores de proveedores, la identificación de riesgos comienza con la observación proactiva de las fuentes de ciberamenazas, noticias empresariales y datos financieros. Esta inteligencia puede utilizarse para identificar infracciones, violaciones de la normativa, interrupciones de la cadena de suministro y otras amenazas a la relación comercial.
Este blog responde a preguntas como:
- ¿Por qué deben los gestores de proveedores validar las evaluaciones con la supervisión?
- ¿Qué fuentes de información deben supervisar los gestores de proveedores?
- ¿Cómo evitar caer en una trampa de supervisión importante?
Por qué los gestores de proveedores deben validar las evaluaciones con la supervisión de riesgos
Los gestores de proveedores suelen utilizar la supervisión continua y externa de los riesgos cibernéticos y empresariales para validar las respuestas de las evaluaciones de proveedores. Aunque las evaluaciones periódicas, basadas en el control interno, revelan cómo los proveedores gobiernan la seguridad y la privacidad de las TI, ¡pueden ocurrir muchas cosas en el año que transcurre entre una evaluación y otra!
Supervisar continuamente a sus proveedores tiene varias ventajas, entre ellas:
- Inmediatez: obtener una visión instantánea de las exposiciones públicas puede servir de base para la lógica de clasificación y priorización a la hora de incorporar proveedores.
- Validación - Validar si las respuestas a las encuestas internas de los proveedores son coherentes con los acontecimientos cibernéticos, empresariales y financieros externos que afectan a sus organizaciones.
- Frecuencia - Obtener información frecuente e imparcial sobre posibles vulnerabilidades o riesgos empresariales relevantes que puedan afectar negativamente a su empresa.
La supervisión del riesgo hace que la gestión del riesgo de los proveedores sea más holística.
Qué fuentes de información cibernética deben vigilar los gestores de proveedores
La supervisión de los riesgos de los proveedores implica algo más que la simple búsqueda de vulnerabilidades de ciberseguridad. También debe incluir información de múltiples fuentes externas de inteligencia sobre ciberamenazas, entre ellas:
- Redes de sensores en Internet
- Bases de datos sobre amenazas mundiales
- Socios colaboradores en materia de seguridad
- Usuarios de antivirus
Esta información puede ayudarle a comprender mejor los riesgos para los activos de cara al público de su proveedor.
A continuación se enumeran las fuentes habituales de datos sobre riesgos de proveedores.
| Objetivo de la supervisión del riesgo cibernético | Descripción |
|---|---|
| Web oscura | Las menciones recientes y frecuentes de una empresa en la Dark Web a menudo se correlacionan con la actividad de amenazas contra la empresa. La atención en los mercados de la Dark Web también puede indicar ventas ilícitas de activos o cuentas de la empresa, o esquemas de fraude. |
| Abuso de dominio/Tiposquatting | Los nuevos registros de dominios similares a dominios corporativos existentes pueden ser indicadores de un posible abuso de dominio (como el phishing). También pueden indicar esfuerzos para prevenir o mitigar el abuso de dominios. |
| Seguridad del correo electrónico | Configuraciones de políticas de marco de directivas de remitente (SPF), correo identificado por claves de dominio (DKIM) y autenticación, notificación y conformidad de mensajes basados en dominios (DMARC). |
| Credenciales filtradas | Las credenciales y correos electrónicos expuestos pueden indicar la reutilización de contraseñas o direcciones de correo electrónico corporativas por parte de empleados de la empresa. Esto también aumenta el riesgo de ataques de relleno de credenciales y de que los atacantes se dirijan a ellos. |
| Incidentes | Las revelaciones de violaciones de la seguridad y los informes validados sobre ciberataques pueden señalar ataques recientes, violaciones u otros sucesos que pongan en peligro los activos de información. |
| Infraestructura | Infracciones de la política de TI, abuso de la infraestructura de la empresa, infecciones en la infraestructura de la empresa, malware, configuraciones erróneas, vulnerabilidades, hosts infectados, software no compatible |
| Seguridad de las aplicaciones web | Certificados y configuraciones SSL/TLS |
Esta información es exactamente lo que resulta visible para los piratas informáticos. La inteligencia puede utilizarse para ayudar a los vendedores a limpiar sus huellas de código abierto o cerrar las brechas de seguridad en sus procesos. Esto es similar a limpiar su informe de crédito antes de solicitar un préstamo hipotecario.
Qué fuentes de inteligencia empresarial deben supervisar los gestores de proveedores
La siguiente área que deben supervisar los gestores de proveedores es la información cualitativa de negocio que puede indicar posibles riesgos futuros. Entre los indicadores de riesgo empresarial figuran los siguientes:
- Riesgos operativos: las fusiones y adquisiciones, los despidos, los cambios de liderazgo, los cambios de socios, las relaciones con los clientes y las expansiones geográficas pueden perturbar las operaciones de una organización.
- Riesgos para la marca: las filtraciones de datos, las retiradas de productos y los cambios de marca pueden afectar negativamente a la percepción pública. Esto puede acarrear costes imprevistos o recortes en las operaciones de la empresa.
- Riesgos normativos/legales - Las investigaciones, multas, sanciones económicas/listas negras y los pleitos y acuerdos importantes crean distracciones y pueden inhibir las operaciones.
Qué fuentes financieras deben vigilar los gestores de proveedores
Los gestores de proveedores deben supervisar indicadores financieros como las quiebras, las transacciones de capital y el impacto de las filtraciones de datos en la viabilidad financiera. Esto también puede ayudar a los equipos de compras a preseleccionar nuevos proveedores, supervisar a los existentes y evaluar la salud financiera y organizativa. El resultado son decisiones de aprovisionamiento más rápidas y mejor informadas.
Juntos, la ciberseguridad, el riesgo empresarial y la supervisión financiera proporcionan una visión mucho más completa de un proveedor. Esta visión "desde fuera" le proporciona una ventaja a la hora de interpretar el impacto potencial del riesgo del proveedor. También aumenta las evaluaciones "internas" para ofrecer una puntuación de riesgo más informada y precisa.
Hágase estas preguntas para evitar la trampa de la vigilancia
Algunas empresas pueden caer en la trampa de pensar que la supervisión por sí sola será suficiente como estrategia de gestión de riesgos de proveedores. Considere si una "puntuación" o "calificación de seguridad" abordará realmente los retos de gestión de riesgos de proveedores a los que se enfrenta.
Las herramientas de calificación de la seguridad sólo proporcionan un análisis externo de la red que muestra los riesgos cibernéticos básicos. Sin garantía del proveedor y sin puntuación contextual, los proveedores de calificaciones proporcionan una visión limitada del riesgo del proveedor. Esto significa que no se realiza una evaluación real.
Para determinar si su solución actual satisface o no sus necesidades de supervisión y gestión de riesgos de proveedores, tenga en cuenta estas preguntas:
- ¿Qué hay de la medición de la adhesión interna de un proveedor a los mandatos de cumplimiento? ¿Puede revelarlo un análisis externo?
- ¿Puede una puntuación de seguridad indicarle cómo maneja sus datos un proveedor?
- ¿Cómo pueden las calificaciones de seguridad automatizar la recopilación de pruebas de proveedores y la diligencia debida?
Aunque la puntuación o clasificación de riesgos externa puede proporcionar información sobre los riesgos, no puede cumplir los requisitos de cumplimiento por sí sola. Las mejores prácticas publicadas por Gartner y otros recomiendan combinar las evaluaciones de proveedores con la supervisión continua para una gestión más completa del riesgo de proveedores.
Próximos pasos
Los gestores de proveedores deben lanzar una amplia red en la supervisión de riesgos de terceros. Con las fuentes adecuadas, combinadas con los resultados de la evaluación interna, puede obtener una imagen más completa de los riesgos de sus proveedores.
Prevalent Vendor Threat Monitor proporciona información empresarial, cibernética y financiera de más de 500.000 fuentes.
Conozca nuestro enfoque probado de 5 pasos para la gestión de riesgos de proveedores en nuestra guía de mejores prácticas, o solicite una demostración hoy mismo.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
