Se somete a su aprobación: Ha sido convocado a una importante reunión del comité ejecutivo.
Como CIO del banco, lo único que sabes es que John, que dirige el área minorista, tiene una presentación importante.
No sabes que estás a punto de entrar en otra dimensión...
Una vez que todos se han unido a la llamada, John presenta inmediatamente su última solución milagrosa para impulsar los préstamos al consumo y garantizar la bonificación anual de todos: la última y más brillante novedad en marketing digital, con la promesa de aumentar la producción de préstamos en un 150 %.
Todo el mundo está fascinado. ¿Cuándo se lanzará?
¿La respuesta de John? «Todo lo que tenemos que hacer es pedir al departamento de TI que conecte el nuevo widget a nuestro sitio web y lo vincule a nuestros archivos de clientes principales para que pueda funcionar».
Sin dudarlo, el director ejecutivo declara: «¡Hagámoslo!».
Perdona la analogía melodramática que acabo de exponer. Pero si usted es el director de informática, encargado de proteger los activos de datos de su empresa, esta reunión podría darle la desagradable sensación de haber entrado en un episodio de La dimensión desconocida.
El problema es que tienes razón.
Cuando el riesgo es más extraño que la ficción
Aunque esto pueda parecer una descripción ficticia de cómo la estrategia y la acción ganan impulso y aprobación dentro de una organización, les aseguro que no es descabellado. Cualquiera que lleve unos años en el mundo empresarial se da cuenta de que los momentos desesperados suelen motivar a las organizaciones a adoptar medidas desesperadas, sin contemplar los peligros. Eso incluye no realizar la debida diligencia con los proveedores ni investigarlos en busca de riesgos ocultos.
El problema es que, al igual que en la serie de televisión, esto puede acabar en un giro inesperado en el tercer acto.
Es posible que su producto cumpla lo prometido. Pero si implica sus datos o los datos de los usuarios, ¿qué medidas de seguridad ofrecen? Por ejemplo, si se trata de una aplicación web integrada en su sitio, puede incluir etiquetas ocultas que exporten datos a los socios y subcontratistas de su proveedor (sin su permiso). Estas etiquetas ocultas pueden causar problemas de seguridad, infringir las leyes de privacidad y degradar la experiencia del usuario.
¿Cómo se modera este entusiasmo arriesgado y se garantiza que se emplee un nivel adecuado de evaluación y escrutinio de los proveedores antes de comprometerse de forma irreversible con su producto? ¿Un compromiso en el que usted va a tener que asumir la responsabilidad del éxito de la implementación y el riesgo operativo continuo?
Diligencia debida ampliada
El primer requisito para cualquier nueva relación con un producto o servicio de terceros debe ser el examen de la documentación de diligencia debida proporcionada por el proveedor. Esto incluiría los estados financieros y sus certificados de seguro, junto con cualquier auditoría de control (SOC 1 o SOC 2), planes de continuidad y recuperación del negocio y resultados de pruebas, y probablemente documentación sobre seguridad de la información.
Es posible que desee dar un paso más y evaluar los antecedentes de los responsables de la oferta del producto o servicio, entrevistar a los clientes actuales y realizar una búsqueda para identificar cualquier noticia negativa. En el caso de una empresa que acaba de entrar en el mercado, aunque todo lo que hay disponible parezca estar en orden, al menos en lo que se ve, ¿tiene realmente una visión completa? ¿Está dispuesto a permitir el acceso a su activo más importante, los datos confidenciales de su organización y de sus clientes? ¿Qué más debería hacer?
Quizás el paso más importante que puede dar es el siguiente: realizar una evaluación independiente de la postura de ciberseguridad de un proveedor, junto con una evaluación de si realmente practica lo que documenta en sus procedimientos de diligencia debida proporcionados en relación con las prácticas de seguridad de la información y las normas de política de privacidad. Con una solución de gestión de riesgos de proveedores (VRM) (como nuestra propia Mitratech TPRM (Prevalent)) como solución de gestión de riesgos de terceros, puede obtener dicha evaluación antes de firmar con ellos, o incluso en cualquier momento posterior de la relación.
Múltiples etapas de evaluación del riesgo cibernético de los proveedores
En el caso de nuestra propia solución VRM, integrada con la reconocida plataforma de supervisión de ciberseguridad Black Kite, la evaluación de la postura técnica de un proveedor es solo una de las varias etapas de la evaluación. La postura técnica puede revelar muchos posibles problemas futuros en una relación pendiente o existente, como actualizaciones y protecciones ineficaces en los activos y el entorno de procesamiento del proveedor. O puede detectar dónde se han producido compromisos ya.
Si bien la postura técnica requiere conocimientos técnicos para evaluarla en su totalidad, existe un aspecto de la supervisión de la ciberseguridad que se entiende mejor desde el punto de vista administrativo. Se trata de la capacidad de determinar el cumplimiento por parte de los proveedores de los requisitos estándar del sector y las certificaciones aceptadas. Esta es una capacidad secundaria importante que usted debe poseer.
Por ejemplo, el Reglamento General de Protección de Datos (RGPD), la ley de la Unión Europea que define los controles que los ciudadanos de la UE tienen sobre sus datos personales. Ha sido motivo de litigios y multas importantes para los infractores, por lo que es un área de riesgo que debe evitarse.
Mediante la supervisión de la ciberseguridad con la solución VRM mencionada anteriormente, puede obtener la validación de que las instalaciones necesarias para el RGPD funcionan dentro de la presencia web pública del proveedor propuesto, lo que le da confianza en cuanto al cumplimiento de los requisitos del RGPD. Se pueden hacer sugerencias de mejora e incluir comentarios en la evaluación.
Este mismo procedimiento se puede aplicar a otras certificaciones y mandatos normativos, como la CCPA, la Evaluación Compartida SIF, la ISO 27001, el NIST y otros. Son solo algunas de las docenas (y cada vez más) de normas definidas por la industria. En el caso de Mitratech TPRM (Prevalent), nuestro cuestionario de evaluación de proveedores de seguridad de la información se basa en las normas NIST y está certificado para la certificación de proveedores en Normshield.
Manténgase alejado de los límites extremos del riesgo cibernético de los proveedores
Lo siento, no he podido evitarlo. Pero en lugar de perder el control, como en la introducción de aquella vieja serie, ahora puedes ganar más control sobre el riesgo cibernético de los proveedores. Al fin y al cabo, el conocimiento (y los datos) es poder, y la solución VRM adecuada te lo proporciona.
Conocer las deficiencias de ciberseguridad de un proveedor (y el riesgo indebido correspondiente para su organización) le proporciona una ventaja excepcional a la hora de negociar un contrato o de exigir al proveedor que tome medidas correctivas y realice ajustes financieros. También le permite determinar la exposición financiera existente, basándose en los datos que residen en la relación. Se trata de una información muy valiosa, que se puede obtener utilizando el marco Value at Risk (VaR) del Instituto FAIR™.
En el ejemplo hipotético con el que comenzamos, poder analizar la postura de ciberseguridad de terceros de nuestro posible proveedor puede ser la mejor manera de garantizar que su widget propuesto sea aceptable. Poder mantener una supervisión continua de la postura de ciberseguridad de un tercero y el riesgo recíproco para su organización es empoderador y esencial para su organización. Con el proveedor y la solución de VRM adecuados a su disposición, evitará dramas indeseados. Especialmente del tipo Rod Serling.
Defiéndase contra los riesgos de proveedores y empresas
Conozca nuestras soluciones VRM/ERM, las mejores de su categoría.
