Tras haber sido director de seguridad de la información (CISO) en grandes multinacionales durante más de 20 años, he creado, dirigido y desarrollado programas de gestión de riesgos de terceros para algunas organizaciones muy complejas. Esa experiencia me enseñó mucho, incluyendo lo que funcionaba y lo que no. Ahora, como director ejecutivo de Cambridge Cyber Advisers, me siento al otro lado de la mesa del consejo de administración, trabajando junto al presidente del consejo para ayudar al CISO a lograr la máxima reducción posible del riesgo en todo el espectro de la seguridad.
En mi función como asesor de la junta directiva, a menudo observo cómo el equipo de seguridad transmite métricas y datos complejos a la dirección. Con demasiada frecuencia, gran parte del mensaje y los resultados deseados se pierden en la traducción, ya que el equipo de seguridad tiene que adaptar los datos para un público ajeno a la seguridad. Para ello, el equipo de seguridad crea su propio conjunto de métricas significativas.
En esta publicación, definiré métricas significativas, analizaré los retos que veo a la hora de determinar las métricas adecuadas para informar a la junta directiva y describiré un enfoque maduro para la presentación de informes sobre métricas de riesgo de terceros.
¿Qué son las métricas significativas y cómo se aplican a la gestión de riesgos de terceros?
Los informes de seguridad deben ser claros y concisos, y en ningún otro ámbito es esto más importante que en la garantía de terceros. La garantía de terceros es una de las áreas de riesgo más difíciles de cuantificar y gestionar desde la perspectiva de un CISO debido a tres factores:
- el gran tamaño de los ecosistemas de terceros
- el nivel constante de cambio entre los proveedores
- los retos de recursos que conlleva la gestión simultánea de miles de proveedores
Por lo tanto, se necesitan métricas significativas para articular claramente un conjunto consolidado de indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI) a los ejecutivos o miembros del consejo de administración. Estas métricas reducen la necesidad de analizar paneles de seguridad grandes y complejos, ya que destilan las implicaciones reales de seguridad que se esconden detrás de las cifras.
Un ejemplo de métrica significativa es el tiempo medio de detección (MTTD). Esta métrica muestra al consejo de administración la eficacia con la que detectas los problemas dentro de la cadena de suministro, el rendimiento de los KPI/KRI principales y secundarios, e incluye información sobre aspectos técnicos, de procesos y culturales. Los detalles adicionales siempre están disponibles si se necesitan, pero es importante presentar en primer lugar una métrica consolidada y significativa.
Por qué la presentación de informes sobre la gestión de riesgos de terceros supone un reto
Los retos que plantea la gestión de riesgos de terceros pueden simplificarse en tres categorías: enfoque, recursos y herramientas. Por ejemplo, si el equipo de seguridad carece de la estrategia adecuada para garantizar la seguridad de terceros, entonces articular cómo la función gestionará el riesgo en toda la base de proveedores es puramente táctico. En cambio, el equipo debe equilibrar los recursos necesarios para gestionar los riesgos a un nivel aceptable con la madurez del proceso. Al fin y al cabo, un enfoque inmaduro necesitará más recursos (por ejemplo, presupuesto, personal, tiempo, etc.) para funcionar. Por eso las herramientas son esenciales para adoptar la innovación y dejar de utilizar hojas de cálculo para gestionar el riesgo de los proveedores.
Tres pasos para adoptar un enfoque maduro de gestión de riesgos de terceros
Un enfoque maduro para ofrecer garantías de terceros y métricas significativas se presenta de la siguiente manera:
- Dedique tiempo a reunirse con las partes interesadas de la empresa para asegurarse de que tiene claros los requisitos y resultados empresariales esperados.
- Desarrollar un programa interno que no solo abarque los requisitos comerciales tácticos, sino que también adopte un enfoque estratégico para gestionar el riesgo de los proveedores.
- Garantice procesos óptimos y eficaces utilizando herramientas desarrolladas específicamente para la garantía de terceros. Las herramientas adecuadas le permitirán obtener una visión casi en tiempo real del riesgo de sus proveedores, en lugar de tener que depender únicamente de evaluaciones anuales.
Se trata de mejoras prácticas que cualquier equipo de seguridad puede adoptar para mejorar la madurez de su proceso de garantía de terceros y articular métricas de riesgo significativas para la empresa.
Para obtener más información, consulte la versión bajo demanda de mi seminario web, «Distilling Useful Metrics From the Pile of Third-Party Risk Data»(Cómo extraer métricas útiles del montón de datos sobre riesgos de terceros). O póngase en contacto con Prevalent hoy mismo para obtener más información sobre sus soluciones de gestión de riesgos de terceros.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
