La evaluación del riesgo de los proveedores es el eje central de todo programa eficaz de gestión de riesgos de terceros. En teoría, los componentes esenciales de una evaluación se determinan fácilmente. Sin embargo, en la práctica, la capacidad de comprender y evaluar eficazmente los controles de terceros suele entrar en conflicto con los recursos disponibles para realizar las evaluaciones, y se ve aún más obstaculizada por la necesidad de concluir rápidamente las evaluaciones para que se puedan finalizar los contratos y comenzar los proyectos.
Con demasiada frecuencia, esto da lugar a evaluaciones que se realizan en función de la disponibilidad de recursos y el tiempo, en lugar de una revisión adecuada de los controles de seguridad necesarios.
A esto se suma la creciente presión para ampliar las evaluaciones de terceros. Las agencias reguladoras han aumentado significativamente los requisitos de evaluación de terceros. La Oficina del Contralor de la Moneda de los Estados Unidos (OCC) ahora exige a las empresas que tengan en cuenta todo el ciclo de vida de los proveedores a la hora de gestionar el riesgo de terceros (OCC 2013-29). El Consejo Federal de Inspección de Instituciones Financieras (FFIEC) de EE. UU. ha añadido recientemente el requisito de que las empresas incluyan una evaluación de los programas de continuidad del negocio de sus proveedores como parte del proceso de evaluación (Manual de inspección del FFIEC, Anexo J). Los reguladores sanitarios también se han sumado a la exigencia de un análisis exhaustivo de los riesgos de seguridad como parte de la Ley HITECH y las normas Omnibus.
Las normas del sector también están prestando cada vez más atención a la seguridad de terceros. La norma PCI DSS 3.0 (12.8.2) y las últimas versiones de la norma ISO 27001/2 exigen una evaluación exhaustiva de los controles de seguridad de terceros. El NIST también exige que se evalúe el riesgo de seguridad de la información de terceros para el cumplimiento de la norma NIST (SP 800-39).
La necesidad práctica de realizar evaluaciones exhaustivas de terceros se debe al hecho de que estos son cada vez más blanco de los delincuentes y siguen siendo la principal fuente de incidentes de violación de la seguridad. En lugar de intentar violar los sistemas de las redes de las grandes empresas, que suelen estar bien protegidas, los delincuentes buscan el eslabón más débil de la cadena, que con demasiada frecuencia es un tercero.
La creciente demanda de evaluaciones de terceros más exhaustivas requiere necesariamente más recursos, presupuestos y plazos para su realización. Estas necesidades chocan con las limitaciones reales de presupuesto y personal, y con el ritmo al que las unidades de negocio necesitan lanzar al mercado nuevos productos y servicios (a menudo basados en la web o en la nube). Entonces, ¿cómo se puede satisfacer la creciente demanda de evaluaciones más exhaustivas de los controles de riesgo de terceros sin aumentar sustancialmente el coste y el tiempo necesarios para realizar las evaluaciones?
El primer paso es comprender completamente su flujo de trabajo de evaluación e identificar todos sus requisitos de información, tanto internos como externos. A continuación, identifique aquellas actividades que son extremadamente manuales por naturaleza. La simple verdad es que es difícil, si no imposible, gestionar eficazmente las evaluaciones en un entorno manual. Desde iniciar y recopilar la información de la evaluación hasta gestionar su flujo de trabajo y proporcionar un repositorio centralizado para todas las actividades relacionadas con la evaluación, existen varias aplicaciones industriales que pueden automatizar el proceso de evaluación y aliviar significativamente los procesos y recursos sobrecargados.
Además, asegúrese de no reinventar la rueda. Existen varios marcos de evaluación que puede utilizar para perfeccionar o poner en marcha su programa. El NIST, la Health Information Trust Alliance (HITRUST) y el PCI cuentan con controles y cuestionarios marco.
Ver la entrada original del blog en el sitio web de ISACA AQUÍ.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
