Intentar gestionar la seguridad de los datos de los proveedores, la seguridad de la información y los riesgos generales de terceros puede ser una tarea ardua. La implementación de un programa eficaz de supervisión de terceros (TPM) reduce significativamente el riesgo y le permite gestionar a los proveedores con confianza.
La supervisión de terceros sigue cobrando importancia. Los actores maliciosos han comenzado a atacar intensamente a las organizaciones de la cadena de suministro cibernética, con el objetivo de comprometer tanto a las empresas upstream como a las downstream. Al mismo tiempo, los riesgos geopolíticos, los riesgos ESG y los requisitos de cumplimiento normativo siguen aumentando.
Todo programa de gestión de riesgos de terceros debe incluir una solución de supervisión continua de terceros para garantizar el análisis y la reacción ante los riesgos en tiempo real. Un programa integral de supervisión de terceros puede ayudarle a mitigar el impacto de las violaciones de datos de los proveedores, las interrupciones de la cadena de suministro y la prensa negativa sobre su organización. En este artículo, ofrecemos una visión general de la metodología de supervisión de riesgos de terceros y los términos clave. También analizamos las numerosas ventajas de implementar un programa eficaz.
¿Qué es la supervisión de riesgos de terceros y cómo funciona?
La supervisión de riesgos de terceros es la práctica de recopilar y analizar continuamente datos observables externamente sobre la postura de ciberseguridad, la ética empresarial, la situación financiera y el contexto geopolítico de los proveedores, con el fin de identificar posibles riesgos en la cadena de suministro. La supervisión de terceros es esencial para preservar un ecosistema de proveedores estable y garantizar la seguridad de los datos, especialmente en ámbitos de alto riesgo como la sanidad o los servicios financieros.
Las organizaciones y las partes interesadas pueden obtener información continua sobre el estado de cumplimiento de las organizaciones proveedoras mediante la integración de la recopilación y el análisis exhaustivos de datos de seguridad con un enfoque de gestión de riesgos de terceros, la asistencia en la defensa de los sistemas internos, la realización de visitas in situ y la revisión de registros.
¿Por qué es importante la supervisión de riesgos de terceros?
A medida que las cadenas de suministro internacionales se han vuelto cada vez más interconectadas, el riesgo asociado a terceros ha crecido exponencialmente. La supervisión activa de terceros en materia de ciberseguridad, riesgos financieros, éticos, reputacionales y operativos es fundamental para garantizar la estabilidad y la resiliencia de la cadena de suministro de su organización. La supervisión de terceros garantiza la sostenibilidad, la confianza y la transparencia en la relación con los proveedores. A continuación se presentan algunos ejemplos destacados en los que una mayor supervisión de terceros podría haber ayudado a las organizaciones a evitar problemas.
- Violación de datos de Marriott: en 2018 , Marriott sufrió una violación de datos debido a su fusión con Starwood. A principios de 2020, Marriott anunció que otra violación de datos había provocado la filtración de 5,2 millones de cuentas de clientes, incluyendo direcciones, fechas de nacimiento, números de teléfono e información de titulares de tarjetas de fidelidad. Esta violación de datos fue causada por dos propietarios de franquicias de Marriott a quienes les piratearon el acceso corporativo a los sistemas. Incluso en el caso de un socio cercano y de confianza, como un franquiciado, recomendamos vigilar de cerca a todos los terceros que tengan acceso a la infraestructura corporativa. Estos franquiciados a menudo no tienen los mismos estándares de ciberseguridad que sus empresas matrices, lo que provoca vulnerabilidades para toda la organización.
- Magecart: Magecart, un grupo de ciberdelincuentes, ha llevado a cabo numerosos ataques contra grandes minoristas de todo el mundo desde 2015. Se cree que los recientes ataques contra Ticketmaster, British Airways, Newegg, Feedify y otras empresas son obra de este grupo. Los hackers de Magecart suelen infectar servidores web de terceros utilizados por sus víctimas para robar información confidencial, como datos de tarjetas de crédito.
- Violación de seguridad en Atrium Health: en 2018, Atrium Health sufrió una violación de datos que expuso la información confidencial de más de 2,65 millones de pacientes. La filtración se produjo debido a un ataque a los servidores utilizados por AccuDoc Solutions, el proveedor de facturación de Atrium Health.
- Violación de datos de Amazon: en 2020, Amazon, eBay, Shopify y PayPal sufrieron una importante violación de datos. Se hizo pública una base de datos de terceros con aproximadamente ocho millones de compras minoristas en línea realizadas en el Reino Unido. No es la primera vez que Amazon es víctima de un incidente causado por terceros. En 2017, unos atacantes piratearon muchos proveedores externos afiliados a Amazon y utilizaron sus cuentas para publicar ofertas falsas.
- Violación de datos en General Electric (GE): GE anunció una violación de datos en 2020, causada por su proveedor de servicios Canon Business Process Services. El hackeo de un servidor de correo electrónico provocó la divulgación pública de información identificativa sobre destinatarios y personal actual y antiguo de GE.
- Cierre de Toyota: en febrero de 2022, Toyota cerró sus operaciones en Japón después de que Kojima Industries, uno de sus principales proveedores de plásticos, sufriera una filtración de datos. Kojima tenía acceso remoto a las plantas de fabricación de Toyota, lo que aumentaba considerablemente el riesgo para Toyota. Como resultado del cierre temporal, Toyota sufrió pérdidas financieras y operativas.
Metodología TPM
Para evaluar con precisión el riesgo de terceros, es esencial complementar las evaluaciones periódicas «de dentro hacia fuera» de los proveedores con una supervisión continua «de fuera hacia dentro» de las amenazas. Estas evaluaciones de riesgos de terceros, los cuestionarios y el uso de la supervisión de terceros permiten a las organizaciones confiar en las relaciones con terceros de cara al futuro.
Evaluación externa interna
Este tipo de enfoque de TPM se centra en los cuestionarios de riesgo de los proveedores, la diligencia debida y la documentación que proporcionan los proveedores. Examinar detenidamente la documentación y el enfoque de seguridad del proveedor puede resultar muy valioso para los programas de TPM. Asegúrese de que las políticas de seguridad del proveedor se ajustan a sus respuestas en el cuestionario de evaluación y a los requisitos de cumplimiento. Además, es conveniente examinar no solo a la organización externa, sino también a las cuartas y enésimas partes con las que trabaja.
Supervisión de riesgos externos de terceros
También es fundamental adoptar una perspectiva externa de la organización. ¿Tienen credenciales expuestas en la web oscura? Si se trata de una gran empresa, ¿existen registros financieros disponibles públicamente que puedan permitir a su organización hacerse una idea de su solvencia financiera? Asegúrese de llevar a cabo una rigurosa diligencia debida, incluyendo el uso de herramientas TPRM e información disponible públicamente.
Tipos de supervisión de riesgos de terceros
Evaluación y supervisión de riesgos de ciberseguridad
Los retos cibernéticos abundan en la comunidad online. No pasa una semana sin que se publiquen noticias sobre importantes violaciones de datos, algunas de las cuales pasan desapercibidas durante meses antes de ser detectadas. Los ciberatacantes están perfeccionando sus métodos para acceder a información personal y empresarial, centrándose en el punto de acceso más débil: los proveedores externos de la empresa. Los proveedores externos pueden estar conectados a través de sistemas o integraciones de TI, y pueden ser proveedores de SaaS o procesadores de datos. Estos terceros pueden carecer del mismo nivel de protección cibernética que sus clientes, lo que los convierte en un objetivo más fácil para los piratas informáticos. Prevalent ofrece información sobre riesgos cibernéticos de más de 550 000 empresas mediante la supervisión de más de 1500 foros criminales, miles de páginas onion, más de 80 foros de acceso especial a la web oscura, más de 65 fuentes de amenazas y más de 50 sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.
Evaluación y seguimiento de los riesgos relacionados con la diversidad
En un mundo más consciente socialmente, hacer negocios con terceros significa garantizar que los proveedores no solo cumplan con las leyes y normas laborales nacionales, sino que también se aseguren de que su plantilla refleje fielmente el conjunto de la sociedad. Por otro lado, la mayoría de los productos de evaluación de riesgos de terceros se centran principalmente en las amenazas a la ciberseguridad, ignorando los problemas de diversidad e inclusión, lo que puede dar lugar a publicidad negativa y daños a la reputación. La plataforma de gestión de riesgos de terceros de Prevalent proporciona herramientas para evaluar las políticas de contratación de terceros en materia de diversidad e inclusión. También incluye una integración con información continua sobre la reputación y la normativa para ayudarle a verificar los resultados de su evaluación.
Supervisión del riesgo reputacional y financiero
Las vulnerabilidades de terceros abarcan mucho más que solo cuestiones de ciberseguridad. La incertidumbre financiera, por ejemplo, puede afectar la capacidad de un proveedor para suministrar piezas y servicios. Una visita de la OSHA puede dar lugar al cierre de una instalación. Un resultado desfavorable de una revisión normativa o ética puede desviar la atención de la dirección y poner en peligro su negocio. Aunque es importante estar al tanto de todos los incidentes que ponen en riesgo a los proveedores, las violaciones de la ciberseguridad suelen eclipsar otros tipos de riesgos en las noticias. No es de extrañar que la mayoría de los sistemas de gestión de riesgos de terceros no proporcionen a sus clientes información financiera y reputacional crítica. La plataforma de gestión de riesgos de terceros de Prevalent realiza un seguimiento constante de las bases de datos públicas y privadas de riesgos reputacionales y datos financieros, proporcionando la información, los datos de supervisión y los informes necesarios para adelantarse a posibles interrupciones de los proveedores.
Evaluación y supervisión del riesgo de esclavitud moderna
Los gobiernos de todo el mundo están luchando activamente contra la esclavitud moderna, que incluye la trata y el trabajo forzoso de adultos y niños. La Ley contra la esclavitud moderna del Reino Unido de 2015, la Ley contra la esclavitud moderna de Australia y la Ley de transparencia de las cadenas de suministro de California son también ejemplos de legislación que busca poner fin a la esclavitud moderna. Las organizaciones deben garantizar la rendición de cuentas en las políticas laborales de sus cadenas de suministro para cumplir con estas normas o enfrentarse a multas, sanciones judiciales y mala prensa. Las empresas deben realizar evaluaciones basadas en encuestas de la cadena de suministro sobre los controles de los proveedores, supervisar los sistemas y validar los resultados con un seguimiento externo continuo de sus prácticas en el mundo real.
Seguimiento de riesgos geopolíticos
El seguimiento de los riesgos geopolíticos sigue cobrando importancia en 2023. Las relaciones entre Estados Unidos y China continúan deteriorándose, mientras que aumentan las tensiones con países como Rusia, Irán y Corea del Norte. A medida que crecen las tensiones, también lo hace el riesgo de interrupciones repentinas de la actividad empresarial derivadas de medidas comerciales, amenazas avanzadas persistentes (APT) y otros acontecimientos. Las medidas comerciales adoptadas contra China en otoño de 2022 ponen de manifiesto las interrupciones repentinas del suministro que pueden producirse debido a las actividades de los Estados nacionales. Llevar a cabo un seguimiento riguroso de los riesgos geopolíticos puede proporcionar una alerta temprana de posibles medidas comerciales, aranceles, acciones legales y otros riesgos de carácter geopolítico.
Supervisión de riesgos ESG
Los riesgos ESG ocupan un lugar destacado para muchas organizaciones en 2023. Las nuevas regulaciones ESG, como el proyecto de directiva europea sobre la diligencia debida de las empresas y la ley alemana sobre la diligencia debida en la cadena de suministro, están creando mandatos para que las empresas auditen sus cadenas de suministro en relación con las cuestiones ESG. Esto contrasta con la generación anterior de leyes ESG, que simplemente exigían a las organizaciones informar sobre las medidas ESG adoptadas. A la hora de supervisar los riesgos ESG, es esencial ir más allá de los terceros y supervisar toda la cadena de suministro ampliada. Muchas organizaciones han sufrido un enorme daño a su reputación en los últimos años como consecuencia de su incapacidad para identificar eficazmente los daños ESG significativos derivados de sus actividades posteriores. proveedores de cuarto y enésimo nivel.
Supervisión continua por parte de terceros
En el tiempo que transcurre entre las evaluaciones de riesgo de los proveedores, pueden ocurrir muchas cosas. Por eso es importante proporcionar una visibilidad continua de las amenazas de los proveedores. Los riesgos externos para terceros son constantemente rastreados y analizados por el Monitor de Amenazas de Proveedores de Prevalent. El enfoque busca riesgos cibernéticos y vulnerabilidades en Internet y la web oscura, así como flujos públicos y privados de información sobre la reputación y datos financieros. El módulo Vendor Threat Monitor se combina con la evaluación de riesgos de proveedores de dentro hacia fuera como parte de la plataforma de gestión de riesgos de terceros de Prevalent. Los datos de seguimiento y evaluación de cada proveedor se consolidan en un único registro de riesgos, lo que le permite comparar fácilmente los resultados y optimizar el análisis de riesgos, la elaboración de informes y las iniciativas de respuesta.
Cuartas partes y más allá
Los proveedores, minoristas, inversores y otras personas que hacen negocios con una empresa se consideran terceros. Sin embargo, hay otra dimensión a la que todas las empresas deben prestar atención: los socios y proveedores de sus terceros, también conocidos como cuartos. Los cuartos socios (o «N-ésimos socios», como se les denomina en la cadena de suministro) no están vinculados contractualmente a una entidad, pero sí lo están a sus terceros.
Ventajas de la supervisión continua de riesgos de terceros
1. Informar sobre la diligencia debida en materia de adquisiciones
El análisis de riesgos realizado sobre terceros antes de su incorporación puede servir de base para la selección de proveedores y proporcionar información sobre posibles problemas futuros. También puede indicar la necesidad de realizar evaluaciones adicionales para recabar más información sobre los controles de seguridad de los proveedores, las iniciativas de cumplimiento normativo y otros factores que pueden afectar al flujo de trabajo operativo de su organización. Disponer de información previa puede suponer un ahorro significativo de tiempo y dinero, especialmente si su organización tiene una cadena de suministro compleja en la que intervienen numerosos proveedores.
2. Minimizar los riesgos para la reputación
La supervisión continua le proporciona información en tiempo real sobre el estado del riesgo reputacional de sus proveedores externos. La información sobre divulgaciones financieras, infracciones éticas, sanciones normativas, cuestiones medioambientales y procedimientos legales puede ayudarle a adelantarse a la prensa negativa en su cadena de suministro y a la posible «culpabilidad por asociación» de su organización.
3. Reducir los riesgos de violación de datos
La supervisión continua permite a los equipos de ciberseguridad recopilar rápidamente datos precisos y actualizados sobre vulnerabilidades de terceros, credenciales filtradas y otras exposiciones. Esta información puede ayudar a su equipo a reforzar las defensas, establecer límites y/o emitir advertencias en respuesta a un sitio web comprometido o una violación de la seguridad, para que pueda actuar de inmediato y proteger sus sistemas confidenciales y los datos de sus clientes.
4. Priorizar las evaluaciones
La supervisión continua puede ayudar a crear perfiles de proveedores y determinar su riesgo inherente. Esta información puede ayudarle a priorizar el alcance y la frecuencia de las evaluaciones de riesgo periódicas basadas en cuestionarios, en función del riesgo potencial y la importancia de cada tercero para su negocio. Además, la supervisión puede dar lugar a evaluaciones adicionales ad hoc si se identifica un incidente de seguridad grave o un evento organizativo.
5. Validar las respuestas de la evaluación
Supervisar las posturas de ciberseguridad y las prácticas comerciales de sus terceros puede ayudarle a verificar la exactitud de las respuestas de las evaluaciones y cerrar el ciclo del análisis de riesgos. ¿Realizan análisis periódicos en busca de malware y aplican parches a sus sistemas? ¿Siguen prácticas de contratación éticas? La supervisión continua es una forma excelente de determinar si sus proveedores externos cumplen sus requisitos de seguridad, cumplimiento normativo y ética.
Creación de su programa de supervisión de riesgos de terceros
Con el aumento de los ciberataques de terceros y los problemas de privacidad que impulsan nuevas leyes, es más importante que nunca garantizar que sus proveedores puedan manejar de forma segura los datos confidenciales. Por otro lado, recopilar, gestionar y revisar manualmente el estado de los riesgos es poco fiable, propenso a errores y costoso. A través de nuestra plataforma única e integrada de gestión de riesgos de terceros (TPRM), Prevalent facilita y agiliza la aplicación y la prevención de riesgos. Solicite una demostración para ver si Prevalent es adecuado para usted.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
