Los programas integrales de gestión de riesgos de terceros (TPRM) combinan evaluaciones periódicas, de dentro a fuera, de los controles internos de los proveedores con una supervisión continua, de fuera a dentro, de sus amenazas externas. Al complementar los resultados de la evaluación de proveedores con un flujo de inteligencia externa, obtendrá una comprensión más completa del riesgo potencial de cada proveedor para su negocio.
Cuando incorpore la supervisión a su programa de gestión de riesgos de terceros, asegúrese de aprovechar fuentes de inteligencia de proveedores que sean amplias y profundas. Este artículo le ayudará a empezar esbozando un caso de uso para la supervisión continua y revelando fuentes clave de información sobre riesgos de terceros. También compartirá las mejores prácticas para el éxito a lo largo del camino.
Un caso de uso para la supervisión continua
Informar a sus actividades de evaluación de riesgos de proveedores con inteligencia de supervisión cibernética y empresarial en tiempo real hará que su programa TPRM sea más continuo y menos reactivo. Por ejemplo, puede utilizar la supervisión para escanear la web oscura en busca de vulnerabilidades, infracciones y credenciales filtradas de un proveedor. A continuación, puede correlacionar estos datos con la información recopilada de los cuestionarios de evaluación de proveedores para revelar incoherencias en los controles de gestión de contraseñas y/o parches.
Una solución TPRM sólida no sólo se encarga de este análisis, sino que también incluye reglas y automatizaciones que activan evaluaciones de seguimiento. Este enfoque cierra el bucle del riesgo de terceros y transforma las evaluaciones puntuales en una supervisión continua del riesgo.
Fuentes de información sobre riesgos de terceros
Tomar decisiones sólidas y basadas en el riesgo implica consumir y normalizar datos de muchas fuentes dispares. Es fácil perder mucho tiempo buscando, centralizando y dando sentido a los datos que hay detrás de la postura de seguridad de su proveedor. Por eso es importante tener en cuenta la capacidad de una solución TPRM para agregar e informar sobre la inteligencia de terceros de una manera procesable.
Tanto si está evaluando soluciones de supervisión de riesgos como si adopta un enfoque manual, asegúrese de examinar estas fuentes de información sobre riesgos de terceros:
1. Fuentes públicas
Las fuentes habituales de información sobre amenazas de terceros, disponibles públicamente y probablemente gratuitas, ofrecen noticias generales del sector, tendencias y actualizaciones sobre infracciones:
- Los sitios de filtraciones de datos analizan el impacto de las filtraciones recientes (por ejemplo, Data Breach Today)
- Los sitios web corporativos comparten comunicados de prensa que podrían indicar riesgos potenciales (por ejemplo, despidos, noticias financieras, etc.)
- Los sitios web de reseñas de productos y empresas permiten conocer la opinión de los clientes sobre los productos de una empresa (por ejemplo, G2).
- Los portales de empleo y los sitios web de opinión de los empleados exponen el funcionamiento de una empresa e indican posibles perturbaciones (por ejemplo, Glassdoor).
- Las publicaciones especializadas y los sitios web del sector analizan las tendencias que pueden afectar a las operaciones de una empresa (por ejemplo, Manufacturing Today).
- Los blogs y las publicaciones en las redes sociales informan sobre las novedades de la empresa, incluidos los incidentes de seguridad (por ejemplo, Recorded Future).
- Sitios de certificación que indican el nivel de seguridad de una empresa (por ejemplo, SOC)
- Las noticias ofrecen titulares continuos
2. Fuentes privadas
Las fuentes privadas de información sobre riesgos de terceros incluyen servicios de datos de pago y sitios web que pueden ser difíciles de encontrar o peligrosos de navegar. Estas fuentes pueden proporcionar información más detallada sobre los riesgos empresariales y cibernéticos de sus proveedores externos.
- Las agencias de información crediticia proporcionan una puntuación que indica la salud financiera de un socio potencial (por ejemplo, Experian)
- Los sitios web de análisis financiero analizan los beneficios y los riesgos (por ejemplo, Motley Fool).
- Los sitios de acciones legales revisan las demandas que pueden afectar negativamente a las relaciones comerciales de un vendedor y a su capacidad de ejecución (por ejemplo, ClassAction.org)
- Los feeds de amenazas proporcionan actualizaciones continuas sobre vulnerabilidades y exposiciones (por ejemplo, ThreatConnect)
- Los sitios de pegado incluyen código que puede utilizarse para explotar las defensas de una empresa (por ejemplo, Pastebin.com)
- Los repositorios de código son similares a los sitios de pasta (por ejemplo, Bitbucket.org)
- Foros de hackers en los que los ciberdelincuentes debaten sobre objetivos de ataque y comparten información ilegalmente*.
- Foros de la Dark Web en los que se pueden encontrar credenciales filtradas y otra información perjudicial para la empresa*.
Los proveedores fiables de esta inteligencia cuentan con un equipo de investigación global que busca continuamente exposiciones de proveedores, utilizando múltiples socios de inteligencia de riesgos. Este enfoque puede proporcionar una visión analítica particularmente amplia y profunda.
*Es mejor dejar la vigilancia de los foros de hackers y los sitios web oscuros en manos de investigadores de seguridad profesionales.
3. Organismos reguladores
Los reguladores industriales y gubernamentales son fuentes fundamentales de información sobre riesgos de terceros. Muchos de ellos publican información sobre medidas de ejecución e infracciones, que pueden dar lugar a multas o demandas judiciales que afecten a las operaciones de un proveedor.
Su organización también puede estar legalmente obligada a garantizar que sus terceros cumplen los requisitos de conformidad. Esto puede lograrse realizando evaluaciones de proveedores y validándolas con una supervisión continua.
Algunos ejemplos de las principales normativas y organismos reguladores que aparecen en la gestión de riesgos de terceros son:
- CCPA - Ley de Privacidad del Consumidor de California
- GDPR - Requisito general de protección de datos de la UE
- HIPAA - Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios - Normas de seguridad y privacidad
- NYDFS - Departamento de Servicios Financieros de Nueva York, parte 500
- OCC - Oficina del Interventor de la Moneda de EE.UU.
- PCI - Norma de seguridad de datos del sector de tarjetas de pago
Puede consultar una tabla de normativas que exigen la evaluación y/o supervisión de los proveedores en nuestra sección de cumplimiento.
4. Asociaciones industriales
Si su sector cuenta con un centro de intercambio de información (ISAC), la afiliación a esta organización debería ser obligatoria para usted. Algunos ejemplos son:
- El Centro de Análisis e Intercambio de Información Sanitaria (H-ISAC) en la industria sanitaria/farmacéutica
- The Legal Vendor Network y Theorem Legal para bufetes de abogados
- Evaluaciones compartidas del riesgo general frente a terceros
5. Integraciones tecnológicas
Lo más probable es que esté utilizando varios productos diferentes para gestionar los riesgos en toda su empresa. Si sus soluciones operan en silos, entonces investigue cómo las integraciones pueden beneficiar su recopilación de inteligencia de riesgos de terceros. Por ejemplo, muchas organizaciones utilizan soluciones de gestión de tickets y operaciones (p. ej., ServiceNow) junto con soluciones de supervisión de riesgos de proveedores. En este caso, vincular la gestión de tickets con los datos de riesgos puede ayudar a acelerar la toma de decisiones y facilitar la corrección.
6. Respuestas a la evaluación de proveedores
A medida que recopile las respuestas de las evaluaciones completadas, lo ideal sería que realizara un seguimiento de las respuestas e informara sobre ellas en un registro central de riesgos. Aunque la recopilación de información de terceros suele realizarse de forma individual, la centralización de los datos puede servir de base para las actividades posteriores de grupos de proveedores del sector.
Entre las evaluaciones habituales en el sector se incluyen:
- Evaluaciones compartidas Cuestionario estándar de recogida de información (SIG)
- Evaluaciones de la Certificación del Modelo de Madurez de Ciberseguridad (CMMC)
- Evaluaciones del Instituto Nacional de Normas y Tecnología (NIST) para SP800-53 y el Marco de Ciberseguridad
- Cuestionarios de la Organización Internacional de Normalización (ISO) para 27001, 27002 y 27036-2
Aquí es donde entra en juego el caso de uso mencionado anteriormente. Con reglas automatizadas, puede tomar las vulnerabilidades descubiertas a través de la monitorización continua, correlacionarlas con las respuestas de evaluación y utilizar los hallazgos para activar evaluaciones de seguimiento.
7. Redes de riesgo de proveedores
Las bibliotecas de evaluaciones de proveedores completadas pueden proporcionarle la evaluación de referencia y las puntuaciones de riesgo de miles de organizaciones. Son especialmente útiles para llevar a cabo la diligencia debida en la contratación y adquisición de proveedores potenciales. También pueden dar a su equipo de seguridad una ventaja en el análisis de riesgos de sus proveedores más importantes. Asegúrese de seleccionar un servicio que no se limite a ofrecer puntuaciones de evaluación, sino que incluya al menos calificaciones externas de ciberseguridad. Esto le ayudará a salvar las distancias entre las evaluaciones de proveedores y las actualizaciones de la biblioteca.
Próximos pasos para la inteligencia de riesgos de terceros
Más inteligencia conduce a una toma de decisiones mejor y más informada. Prevalent ofrece una gama de software, redes y servicios de gestión de riesgos de proveedores
que integran evaluación y supervisión para ofrecer una visión de 360 grados del riesgo de terceros.
Conozca nuestro enfoque probado de 5 pasos para la gestión de riesgos de proveedores en nuestra guía de mejores prácticas, o solicite una demostración hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
