Pocas palabras infunden tanto pavor a los profesionales de la seguridad y la gestión de riesgos como "auditoría". Sólo leer la palabra puede provocar escalofríos. El reto de una auditoría de seguridad informática se magnifica cuando se extiende a terceros vendedores y proveedores, lo que requiere recursos y tiempo adicionales.
El reto va más allá del tiempo dedicado a reunir pruebas y a identificar e informar sobre las lagunas de control. Realizar una auditoría de riesgos de terceros significa navegar por un panorama normativo complejo y a menudo superpuesto. Entonces, ¿cómo puede un equipo de seguridad y gestión de riesgos responsable de la gestión de riesgos de terceros (TPRM) garantizar que sus vendedores y proveedores siguen principios sólidos de gestión de riesgos sin agotar al equipo?
La clave para superar este reto reside en reconocer los puntos en común entre los múltiples marcos de control de seguridad de TI y normativos y basar sus esfuerzos de cumplimiento en dichos puntos en común. En este blog se describen cinco áreas que se solapan en los requisitos comunes de la GTPR para que las organizaciones construyan una base sólida para los esfuerzos de auditoría y cumplimiento.
1. 1. Planificación: Prepare su programa para el cumplimiento del RGPD
Comprender la exposición de su organización al riesgo de terceros es clave en muchos marcos normativos y de control. Es imperativo centrarse en dos tipos de terceros: los que proporcionan productos o servicios críticos y el software que soporta procesos empresariales clave. Muchos regímenes normativos exigen evaluaciones sistemáticas de la criticidad de los proveedores, gestión centralizada y supervisión del software de terceros.
Creación de un equipo multifuncional de GRPRT
Formar un equipo con representantes de toda la empresa, incluidos los departamentos de seguridad informática, gestión de riesgos, jurídico, auditoría interna y compras. Este equipo se encargará de establecer la gobernanza adecuada y de dirigir el programa TPRM e incorporará las necesidades de todos los equipos que requieran información sobre terceros.
Consejo TRPM: Busque soluciones TPRM que proporcionen una visión consolidada de los riesgos para múltiples equipos y que permitan una visión de los riesgos y la elaboración de informes específica para cada función.
Determinar la criticidad del proveedor
Comprender qué proveedores externos son críticos para sus operaciones es la piedra angular de la planificación de la GTPR. Los proveedores que prestan servicios esenciales o manejan información sensible deben clasificarse como críticos, lo que requiere una diligencia debida avanzada y una supervisión continua.
Consejo TRPM: Realice un ejercicio de creación de perfiles y niveles para determinar el riesgo inherente e identificar la criticidad del proveedor.
Centralizar el inventario de proveedores
Cree un inventario central de terceros que permita a los equipos gestionar todos los proveedores a lo largo del ciclo de vida de sus relaciones. Desde el principio, debe prestar especial atención a todos los proveedores de software de terceros conectados a su organización. Con el aumento de los ataques a la cadena de suministro de software, es vital mantener un inventario actualizado de todo el software de terceros. Este inventario debe estar vinculado a sus procesos empresariales y a los terceros que los soportan.
Consejo de TPRM: Dado que es probable que su organización ya esté aprovechando un marco de control común para sus informes de seguridad de TI, estructure sus evaluaciones de riesgos de terceros utilizando marcos como NIST SP 800-53 o ISO 27001.
2. Diligencia debida y selección de terceros
Una vez fijadas las reglas para determinar la criticidad de los proveedores y establecido un inventario del software y los servicios de terceros existentes, es hora de aplicar principios sólidos de diligencia debida a la selección de nuevas soluciones. Es crucial elegir una solución o un servicio que no sólo sea adecuado para su propósito, sino que también se ajuste al perfil de riesgo de la organización. Un proceso exhaustivo de diligencia debida de los proveedores permite a las organizaciones captar por adelantado la información pertinente sobre los proveedores y abordar los controles clave de muchos marcos normativos.
El proceso de diligencia debida del vendedor consta de unos pocos pasos sencillos:
- Evaluar al proveedor mediante la valoración de sus prácticas de ciberseguridad y privacidad de datos, factores empresariales y operativos, reputación, estado de cumplimiento, políticas ASG y finanzas tras la incorporación. Realice la diligencia debida previa al contrato antes de la incorporación.
- Centralizar los riesgos y las lagunas de control en un único registro de riesgos para que sean visibles en toda la empresa. Esto impulsará el desarrollo y la aplicación de planes de corrección de proveedores y facilitará los debates internos sobre la aceptabilidad del riesgo del proveedor.
- Aproveche el inventario central de terceros creado en la fase de Planificación para gestionar eficazmente el ciclo de vida de las relaciones. Incluya atributos como datos de la empresa del proveedor, información financiera y ubicación.
Consejo de TPRM: El objetivo de llevar a cabo la diligencia debida exigida por la normativa es mitigar los riesgos identificados, no sólo realizar la evaluación para "marcar la casilla". Por lo tanto, aplique medidas correctoras para garantizar que los terceros se ajustan a los umbrales de riesgo de su organización.
Visibilidad de su cadena de suministro ampliada
Para disponer de un programa eficaz de GPRT, necesita visibilidad de su cadena de suministro ampliada. Las cadenas de suministro ampliadas que implican a subcontratistas y enésimas partes presentan riesgos operativos significativos, y la falta de visibilidad puede provocar fallos en la capacidad de recuperación durante las interrupciones. Muchas de las grandes violaciones de datos pueden vincularse a compromisos de terceros, pero cuando se investigan, a menudo se descubre que el compromiso comenzó a nivel de subcontratista.
3. Negociación de contratos: Establezca expectativas claras
Las organizaciones pueden ser consideradas responsables de las infracciones normativas de sus terceros y subcontratistas. Por lo tanto, considere la posibilidad de añadir estos tres requisitos críticos a los contratos con terceros:
- Derecho a auditar al tercero para comprobar el cumplimiento de las principales medidas de seguridad y protección de datos.
- Notificación oportuna de infracciones para una respuesta más rápida a los incidentes de seguridad.
- Corrección de los problemas detectados para mitigar el riesgo de que los fallos de control afecten a la organización.
Asegúrese de que estas disposiciones se extienden a todos los subcontratistas y a las cuartas o quintas partes, haciéndoles responsables de cualquier problema. En caso de que se solicite, deberá disponerse de pruebas de esta aplicación o supervisión.
Consejo de TPRM: Exija a terceros que revelen quiénes son sus subcontratistas e incorpore disposiciones contractuales clave para garantizar la transparencia y la rendición de cuentas.
4. Supervisión continua: Mantener la vigilancia
La supervisión continua de los proveedores externos es crucial para mantener el cumplimiento de la GTPR. Supervise los distintos riesgos, incluidas las amenazas de ciberseguridad, los cambios operativos, la inestabilidad financiera y los problemas de cumplimiento. Un enfoque consolidado de la supervisión ayuda a agilizar el proceso y proporciona información exhaustiva sobre los riesgos.
Consejo de TPRM: Utilice un marco unificado de supervisión continua para validar la diligencia debida inicial y garantizar el cumplimiento continuo.
Muchos marcos normativos exigen una formación rutinaria de concienciación sobre seguridad para ayudar a los equipos a identificar los ataques de ingeniería social y phishing. Es una buena práctica extender esta formación a contratistas, subcontratistas y empleados de terceros y documentar los procesos de formación y sus resultados. Además, el cumplimiento de la GTPR exige la supervisión por parte de la junta directiva y de los altos ejecutivos, incluidos los informes de tendencias procesables, los procesos de gestión de incidentes y la comunicación con los reguladores. Una función de auditoría interna debe realizar revisiones independientes del programa TPRM como parte de la gobernanza de riesgos de la organización.
Consejo de TPRM: Documente todos los procesos y resultados de la formación para demostrar el cumplimiento y la preparación.
5. Terminación: Tener una estrategia de salida clara
La mayoría de los marcos reguladores exigen que las organizaciones cuenten con una estrategia de salida documentada cuando externalizan funciones empresariales críticas. Por ejemplo, las Directrices de Externalización de la Autoridad Bancaria Europea (ABE ) dicen: "Desarrollar e implementar planes de salida que sean exhaustivos, documentados y, en su caso, suficientemente probados (por ejemplo, mediante la realización de un análisis de los posibles costes, impactos, recursos e implicaciones temporales de la transferencia de un servicio externalizado a un proveedor alternativo)."
Una estrategia de salida sólida garantiza la resiliencia operativa continua cuando se pone fin a las relaciones con terceros. Debe incluir objetivos como la devolución o destrucción de toda la información confidencial confiada al tercero y a los subcontratistas, el cese de sus datos, infraestructuras y acceso físico, la confirmación de que las cláusulas contractuales establecen un proceso ordenado para la rescisión del contrato y el cumplimiento de todos los requisitos legales.
Consejo TRPM: Utilice listas de comprobación y flujos de trabajo automatizados para informar sobre el acceso al sistema, la destrucción de datos, la gestión de accesos, el cumplimiento de las leyes pertinentes, los pagos finales y mucho más. Este enfoque simplifica la salida de terceros y demuestra a los auditores que su organización cuenta con un proceso sólido y prospectivo.
Próximos pasos: Ir más allá de lo básico
Siga estos cinco pasos para empezar a cumplir los requisitos de la gestión de riesgos laborales. Recuerde que estas tareas son sólo las básicas. Asegúrese de ponerse en contacto con su equipo de auditoría interna y auditores externos para ampliar esta lista con los requisitos de cumplimiento específicos de su organización.
Cómo puede ayudar Prevalent
Prevalent puede ayudar a su organización a establecer un programa integral de TPRM en línea con sus programas más amplios de seguridad de la información, gobernanza y gestión de riesgos empresariales. Con la plataforma de gestión de riesgos de terceros de Prevalent, su organización puede:
- Cree un inventario centralizado de proveedores en el momento de la incorporación con perfiles que incluyan información sobre múltiples áreas de riesgo de los proveedores.
- Cuantificar los riesgos inherentes de todos los terceros para establecer automáticamente niveles y categorías de proveedores y fijar niveles adecuados de diligencia adicional.
- Aproveche una amplia biblioteca de más de 750 plantillas prediseñadas para la diligencia debida de terceros, respaldada por la cuantificación de riesgos, el flujo de trabajo y la orientación de corrección integrada.
- Mapee los ecosistemas de proveedores de cuarta parte mediante evaluaciones dedicadas y exploración pasiva.
- Centralice la distribución, discusión, retención y revisión de los contratos de proveedores para automatizar el ciclo de vida de los contratos y garantizar el cumplimiento de las cláusulas clave.
- Rastrear y analizar continuamente las amenazas externas a terceros, incluida la supervisión de Internet y la dark web para detectar ciberamenazas y vulnerabilidades, así como fuentes públicas y privadas de información operativa sobre reputación, sanciones y finanzas.
- Automatice las evaluaciones de los contratos y los procedimientos de incorporación para reducir el riesgo de exposición de su organización tras la firma del contrato.
- Simplifique la elaboración de informes normativos con plantillas integradas para múltiples partes interesadas, marcos de controles internos comunes y normativas específicas del sector.
Para obtener más información sobre cómo Prevalent puede ayudarle a simplificar el cumplimiento de TPRM y adelantarse a los requisitos de auditoría, solicite una demostración o una llamada estratégica hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
