Un programa eficaz de gestión de riesgos de terceros incluye algo más que la realización de evaluaciones periódicas basadas en controles internos de los proveedores y distribuidores: también debe incorporar información continua sobre los riesgos
para cubrir las lagunas entre esas evaluaciones y validar la presencia y la eficacia de los controles. Sin embargo, para muchas organizaciones, la gestión de riesgos de terceros (TPRM) es una propuesta excluyente.
En esta publicación analizamos:
- Los principales tipos de inteligencia sobre amenazas, y las mejores fuentes de datos, que debe incluir en su programa de gestión de riesgos y relaciones con proveedores (TPRM).
- Cómo el uso de la inteligencia sobre amenazas ayuda a mitigar el riesgo de terceros
- Mejores prácticas para optimizar la inteligencia sobre riesgos de terceros
Principales tipos y fuentes de inteligencia sobre riesgos de terceros
A la hora de considerar la integración de la inteligencia sobre amenazas en sus evaluaciones periódicas de los controles de seguridad de los proveedores, incorpore los siguientes tipos.
Inteligencia sobre amenazas cibernéticas de proveedores
A menudo, el tipo más común de información de proveedores externos, la inteligencia sobre amenazas cibernéticas, ofrece una visión del rendimiento de seguridad, las vulnerabilidades y el historial de infracciones de un tercero. Esta información puede ayudarle a comprender si el tercero cuenta con los controles de seguridad adecuados.
Las fuentes habituales de estos datos incluyen foros criminales, páginas onion, foros de acceso especial a la web oscura, fuentes de amenazas, sitios de pegado de credenciales filtradas, comunidades de seguridad, repositorios de código, bases de datos de vulnerabilidades y bases de datos de historiales de violaciones de datos.
Actualizaciones operativas de los proveedores
Las noticias empresariales, las fusiones y adquisiciones (M&A), los cambios en la dirección y el liderazgo, las noticias sobre la competencia y las nuevas ofertas pueden indicarle si la tercera parte es una organización bien gestionada que cuenta con una estrategia viable a largo plazo.
Puede recopilar información sobre estos temas a partir de fuentes públicas y privadas de información operativa, fuentes de noticias, bases de datos de noticias empresariales y sitios web corporativos.
Información financiera sobre proveedores
La información sobre el rendimiento financiero, el volumen de negocios, las pérdidas y ganancias, los fondos de los accionistas, las calificaciones crediticias, el historial de pagos, las quiebras y las inversiones de un proveedor demuestra que el tercero es una empresa en funcionamiento, goza de buena salud financiera y puede cumplir sus compromisos. Unos malos resultados financieros podrían indicar recortes presupuestarios que pueden afectar a las operaciones de seguridad.
Las agencias de calificación crediticia, los sitios web de información financiera y los medios de comunicación son fuentes habituales de esta información, y gran parte de ella es gratuita.
Información sobre la reputación de los proveedores
Hay un viejo dicho que dice: «Eres tan bueno como las compañías que frecuentas». La información sobre la reputación, como la cobertura mediática adversa y las noticias negativas; las sanciones normativas y legales; las relaciones con empresas estatales y vinculadas al gobierno; y el trabajo con personas políticamente expuestas, puede ayudar a su empresa a adelantarse a relaciones potencialmente perjudiciales.
Las fuentes de información sobre reputación son variadas. Se puede recopilar a partir de la cobertura informativa; listas de sanciones (por ejemplo, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de los Estados Unidos, la Lista de Sanciones del Reino Unido, la Lista Consolidada de Sanciones de la UE) y documentos judiciales; bases de datos de PEP (como FFIEC y LexisNexis), y muchos otros medios.
La desventaja de supervisar continuamente los riesgos de terceros es que no existe un único proveedor de inteligencia sobre amenazas, por lo que muchas empresas se ven obligadas a adoptar un enfoque algo inconexo para recopilar y analizar estos datos.
Cuatro formas en que la inteligencia sobre amenazas ayuda a mitigar el riesgo de terceros
Hay cuatro formas principales en las que la inteligencia sobre amenazas externas puede ayudar a mitigar el riesgo de terceros.
1. Validar la eficacia de los controles internos comunicados por los proveedores.
Si un proveedor externo ha informado en su evaluación de seguridad o ha aportado pruebas en una certificación de seguridad (como ISO o SOC 2) de que exige contraseñas seguras, pero la inteligencia sobre amenazas externas muestra que los ID de usuario, las contraseñas o las credenciales de administrador de ese proveedor están a la venta en la Dark Web, entonces se puede suponer razonablemente que las políticas de contraseñas del proveedor no son lo suficientemente seguras (o incluso, tal vez, que sus programas de concienciación sobre seguridad o phishing deben mejorarse).
2. Obtenga una visión temprana del perfil de riesgo de un proveedor potencial.
La inteligencia sobre amenazas se puede utilizar para obtener una visión general de los riesgos que un posible proveedor introduce en su entorno. Por ejemplo, durante la fase de búsqueda y selección de un proveedor externo o de una relación con un proveedor, obtener información sobre violaciones de datos anteriores, incidentes de seguridad, problemas de cumplimiento, sanciones, etc., puede influir en las decisiones de selección de proveedores. Un proveedor con una puntuación de seguridad baja podría no ajustarse a la tolerancia al riesgo de su organización.
3. Rellenar los huecos entre las evaluaciones periódicas.
Si su organización realiza una evaluación de seguridad anual a sus terceros, la inteligencia sobre amenazas externas puede cubrir las lagunas entre esas evaluaciones anuales, de modo que no se pierda ninguna amenaza potencialmente crítica a medida que surge.
4. Realizar una comprobación de referencia para los proveedores no críticos.
En la mayoría de las organizaciones, hay un subconjunto de proveedores que se consideran críticos, y su organización debe realizar evaluaciones de seguridad exhaustivas y periódicas de dichos proveedores. Sin embargo, en el caso de los proveedores que no se consideran críticos o que pertenecen a un nivel inferior, a veces solo es necesario realizar las evaluaciones básicas. Un ejercicio de perfilado y clasificación le ayudará a determinar cómo tratar a los proveedores en función de si son críticos para las operaciones de su empresa o si manejan datos confidenciales de los clientes, por ejemplo.
Mejores prácticas para optimizar la inteligencia sobre riesgos de terceros
Centralizar para la normalización
Un enfoque habitual consiste en examinar toda la información de forma aislada, pero hacerlo así anula las ventajas de recopilar toda esa información. En su lugar, centralice todas estas fuentes de información sobre amenazas en un único registro de riesgos para normalizar y transformar los datos en resultados significativos. Este enfoque permite cuantificar y contextualizar los riesgos, por ejemplo, mediante la asignación a diversos marcos de seguridad y controles de cumplimiento, lo que ayuda a priorizar los riesgos y las actividades de corrección resultantes. Este enfoque unificado también permite la correlación con los resultados de las evaluaciones. Esto agilizará en gran medida las iniciativas de revisión, análisis, notificación y respuesta ante riesgos.
La remediación es esencial.
Como aprendimos en el Estudio sobre gestión de riesgos de terceros de 2023, existe una brecha significativa entre el número de empresas que realizan un seguimiento de los riesgos y las que los remedian. Por lo tanto, el valor de utilizar la inteligencia de riesgos en su programa de TPRM se reduce a la aceptación del riesgo y la remediación. Si la amenaza que supone un proveedor para su organización da lugar a una puntuación de riesgo alta, entonces debe recomendar (o exigir) que se implementen medidas de remediación específicas para poder seguir haciendo negocios con él. O bien, exigir que se establezcan controles compensatorios específicos. Independientemente del enfoque, el diálogo bidireccional es esencial para la reducción del riesgo.
Próximos pasos para la inteligencia de riesgos de terceros en su programa TPRM
La inteligencia sobre riesgos de terceros cobrará cada vez más importancia para poder adaptarse a los cambios en los requisitos normativos y a un panorama de amenazas en constante evolución. Para obtener más información sobre cómo se pueden aplicar el análisis avanzado y el aprendizaje automático para identificar riesgos imprevistos que acechan actualmente en sus cadenas de suministro, solicite una demostración hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
