Si usted es un profesional del riesgo de terceros corporativo, es probable que esté leyendo este blog en un aeropuerto, esperando su próximo vuelo. Después de todo, es la temporada de conferencias, cumbres y foros industriales sobre terceros. Al igual que usted, he estado viviendo fuera de mi maleta durante el último mes, como asistente y ponente en diversos eventos, escuchando y aprendiendo. A lo largo de todas las charlas, ha surgido un tema central en torno a la puntuación de riesgos, con la percepción de que los informes y paneles de control de código abierto son un medio adecuado para ofrecer una evaluación precisa que reduzca el panorama de riesgos de una organización al manejar o procesar datos. Pero espera...
La percepción no es la realidad.
Sí, estoy haciendo hincapié en la palabra «percepción», porque tomar una instantánea del riesgo, ya sea inteligencia sobre amenazas cibernéticas o inteligencia empresarial, es solo eso: una instantánea. Sin duda, las categorizaciones por colores, números y letras que ofrecen hoy en día las empresas de puntuación de riesgos despiertan mi interés, pero si no se utilizan adecuadamente, sin duda darán lugar a una falsa sensación de seguridad. Felicito enormemente a las organizaciones que utilizan la información de forma adecuada. Sin embargo, a aquellas que lo apuestan todo a una sola carta y confían en gran medida en la puntuación para llevar a cabo la debida diligencia necesaria, les ruego que actúen con cautela.
No me malinterpreten, la puntuación de riesgos de código abierto es una medida para informar a las organizaciones de las acciones que deben tomarse. Algunos ejemplos son:
- Ayudar a priorizar la diligencia debida de terceros
- Determinación de la solicitud de propuesta o selección de información
- Establecimiento de áreas de mejora de las prácticas de seguridad
- Información identificativa accesible a los asesores
No olvidemos que, en algunos programas maduros de terceros, también puede informarle de un evento en tiempo real que requiere una gestión inmediata de incidentes/crisis. Pero es de vital importancia analizar cómo está implementando las herramientas de puntuación y determinando los umbrales de lo que es aceptable para su apetito de riesgo y sus programas. Para aquellos que desean utilizar herramientas de clasificación de riesgos por primera vez, un enfoque evolutivo de la forma en que absorben y utilizan la información para aplicar el contenido de manera responsable puede controlar cómo reducir el riesgo y diferenciará su programa de gestión de terceros del resto. Por ejemplo, las prácticas de seguridad maduras utilizan los informes de puntuación de fuentes de código abierto para crear una asociación con sus terceros de manera que les ayude a mejorar su postura de seguridad con una nueva conciencia. Al mismo tiempo, resulta preocupante que los informes de puntuación se posicionen de tal manera que, en última instancia, se tome la decisión de descartar al tercero basándose en un informe malinterpretado.
La puntuación de riesgos de código abierto es solo una pieza del rompecabezas.
La puntuación de riesgos es multifacética. La puntuación de riesgos de código abierto es solo un indicador que debe combinarse con los siguientes cuatro identificadores de riesgos:
- Cuestionarios de seguridad completados (información fiable)
- Informes de evaluación in situ (información de validación)
- Planes de remediación de riesgos aceptados (información sobre la aceptación)
- Eventos e incidentes en tiempo real (información en tiempo real)
El uso de una técnica de puntuación segmentada es la forma preferida de obtener una visión global de la seguridad de terceros. Su relación con terceros depende de la puntuación de todos los identificadores de riesgo. Por lo tanto, recuerde que una parte fundamental de la puntuación continua del riesgo la proporcionan los informes de código abierto, pero no olvide los identificadores de riesgo que reflejan la visión completa del riesgo de terceros.
Más información sobre el enfoque integral de Prevalent para la gestión de riesgos de terceros.
Brenda Ferraro es directora sénior de Prevalent, Inc. Es una reconocida experta en riesgos de terceros que ha recibido el reconocimiento de organismos reguladores, centros de análisis y seguridad de la información (ISAC) y organizaciones de marcos estandarizados para terceros. Aporta una atención especial a los riesgos de terceros al proporcionar sus métricas, informes y experiencia en el dominio de procesos para guiar a las empresas hacia un ecosistema de soluciones único que supera las complejidades de la gobernanza de los riesgos de terceros.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
