La Asociación Nacional de Baloncesto (NBA) ha comenzado a notificar a las personas que sus datos personales han sido robados en una filtración de datos en un proveedor de servicios externo. La NBA afirma que la información afectada incluye nombres y direcciones de correo electrónico, pero que no se ha accedido a ningún otro tipo de información personal.
Dado que actualmente es la temporada de March Madness
aquí en Estados Unidos, y siguiendo con la temática del baloncesto, en esta publicación se analizarán siete jugadas para evitar que su equipo de gestión de riesgos de terceros falle ante las amenazas de violación de datos de terceros.
#1. Crear una cultura ganadora
Todos los entrenadores te dirán que establecer una cultura ganadora desde el principio es esencial para el éxito a largo plazo del equipo y de la organización. Lo mismo ocurre con tu programa de gestión de riesgos de terceros. Empieza con una base sólida, que incluya definir:
- Funciones y responsabilidades claras (por ejemplo, RACI) para los equipos de toda la organización.
- Puntuación de riesgos y umbrales basados en la tolerancia al riesgo de su organización.
- Terceras, cuartas y enésimas partes incluidas en el ámbito de aplicación
- Metodologías de evaluación y supervisión basadas en la criticidad de terceros.
- Indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI) para evaluar a los proveedores.
- Políticas, normas, sistemas y procesos de gobierno para proteger los datos.
- Requisitos de cumplimiento y presentación de informes contractuales en relación con los niveles de servicio.
- Requisitos de respuesta ante incidentes
- Informes de las partes interesadas
- Estrategias de mitigación y remediación de riesgos
Los campeonatos se ganan durante los entrenamientos, así que comprueba y mejora continuamente los procesos de TPRM de tu organización para mantenerte al día con las amenazas cambiantes.
#2. Selecciona a los jugadores adecuados para tu equipo y establece las expectativas contractuales.
La creación de un equipo eficaz comienza con la selección o el intercambio de los jugadores adecuados, o con la contratación de agentes libres que se ajusten a la cultura de su equipo. En la gestión de riesgos de terceros, eso significa buscar y seleccionar proveedores que representen la menor exposición al riesgo para las operaciones de su empresa.
Como parte de su proceso de selección de proveedores, compare y supervise información importante sobre los riesgos de los proveedores, como datos demográficos, tecnologías de terceros utilizadas, puntuaciones ESG, información reciente sobre el negocio y la reputación, historial de violaciones de datos y rendimiento financiero. Esto le permitirá seleccionar proveedores que no solo sean adecuados para el propósito, sino también para el apetito de riesgo de su organización.
Para maximizar el rendimiento de los proveedores, incorpore indicadores clave de rendimiento medibles y exigibles en el contrato con el proveedor. Esto hará que las negociaciones para la renovación del contrato sean más transparentes.
#3. Conoce a tu oponente
En el baloncesto, conocer al rival significa estudiar las grabaciones antes del partido, comprender los enfrentamientos entre jugadores y elegir a los cinco jugadores titulares adecuados para maximizar las posibilidades de ganar. En la gestión de riesgos de terceros, conocer al rival es más difícil, ya que no se le ve hasta que ataca. Por eso es esencial comprender la exposición de su proveedor a los riesgos de ciberseguridad, ya que estas brechas son el objetivo del rival.
Comience por evaluar a los terceros seleccionados en función de la importancia crítica o el alcance de las amenazas a sus activos de información mediante la captura, el seguimiento y la cuantificación de los riesgos inherentes. Los criterios utilizados para calcular el riesgo inherente para la clasificación de terceros incluyen:
- Tipo de contenido necesario para validar los controles
- Importancia crítica para el rendimiento y las operaciones empresariales
- Ubicación(es) y consideraciones legales o normativas relacionadas
- Nivel de dependencia de terceros (para evitar el riesgo de concentración)
- Exposición a procesos operativos o de atención al cliente
- Interacción con datos protegidos
- Situación financiera y salud
- Reputación
A partir de esta evaluación de riesgos inherentes, su equipo puede clasificar automáticamente a los proveedores, establecer los niveles adecuados de diligencia debida adicional y determinar el alcance de las evaluaciones en curso y la supervisión continua.
#4. Diagrama jugadas efectivas y responde de forma agresiva.
Los equipos de baloncesto exitosos juegan su partido, pero ajustan constantemente su estrategia para mejorar sus posibilidades de ganar. La agilidad es clave en este sentido, y en la gestión de riesgos de terceros eso significa evaluar continuamente los riesgos y responder a los incidentes de los proveedores externos en consecuencia.
Los componentes clave de un programa eficaz de respuesta a incidentes de terceros incluyen:
- Cuestionarios automatizados de gestión de eventos e incidentes para determinar la exposición al riesgo.
- Responsables de riesgos definidos con recordatorios automáticos para mantener las encuestas dentro del calendario previsto.
- Informes proactivos de los proveedores para acelerar la respuesta ante riesgos
- Reglas de flujo de trabajo para activar acciones sobre los riesgos según su impacto potencial en el negocio.
- Orientación a partir de recomendaciones de remediación integradas para reducir el riesgo.
- Plantillas de informes integradas
- Mapeo de datos y relaciones para identificar las relaciones entre su organización y terceros con el fin de visualizar las rutas de información y determinar los datos en riesgo.
La estandarización de un marco de respuesta al riesgo mejorará el rendimiento del equipo al alinearlo en torno a un único conjunto de expectativas.
#5. Mantener la posesión
En el baloncesto universitario, la flecha de posesión se utiliza para determinar qué equipo obtendrá la posesión en situaciones en las que no está claro quién tiene el control definitivo del balón. Para los equipos de gestión de riesgos de terceros, ampliamos esa definición para incluir la posesión de datos: a veces los tienes tú y otras veces los tiene un tercero, un cuarto o un enésimo.
Para limitar su exposición al riesgo de incidentes de seguridad de datos en su ecosistema de proveedores ampliado, identifique las relaciones de subcontratación de cuarta y enésima parte mediante la realización de una evaluación basada en cuestionarios o mediante el escaneo pasivo de la infraestructura pública del tercero. El mapa de relaciones resultante representará las rutas de información y las dependencias que podrían exponer su entorno a riesgos.
Una vez determinado esto, realice una evaluación de la seguridad y la privacidad de los datos. Las consideraciones clave deben incluir:
- Evaluaciones del impacto sobre la privacidad para descubrir datos empresariales en riesgo y dónde existe información de identificación personal (PII), dónde se comparte y quién tiene acceso a ella.
- Control del mapeo y la presentación de informes en relación con las normativas de privacidad.
- Supervisión continua de las violaciones de datos de los proveedores, incluyendo los tipos y cantidades de datos robados; cuestiones de cumplimiento y normativas; y notificaciones en tiempo real de violaciones de datos de los proveedores.
- Aplicar las disposiciones contractuales en materia de protección de datos desde el inicio de la relación.
Saber quién tiene la pelota (o, en este caso, los datos) es el primer paso para mejorar la respuesta ante incidentes de terceros.
#6. Evita las faltas
Nada puede alterar más el impulso de un equipo de baloncesto que una falta en el momento inadecuado. Para los equipos de gestión de riesgos de terceros, las faltas pueden suponer una infracción perjudicial del cumplimiento normativo. Para demostrar de forma eficaz el cumplimiento y evitar multas, automatice la recopilación de información sobre los riesgos de los proveedores; cuantifique los riesgos; ofrezca soluciones a los proveedores (o exija controles compensatorios); y asigne los resultados a marcos de control de seguridad informática establecidos, como ISO 27001, NIST y otros. Una visión proactiva de las prácticas de seguridad de los proveedores puede ayudar a su equipo a adelantarse a posibles faltas de cumplimiento y agilizar la presentación de informes durante las auditorías.
#7. Saber cuándo cambiar por algo mejor
Cuando las pérdidas se acumulan o cuando la química del equipo se ve afectada, puede que sea el momento de cambiar la alineación, y eso podría significar un intercambio. Para los equipos de gestión de riesgos de terceros, esto significa supervisar constantemente el rendimiento contractual y despedir a los proveedores cuando no se cumplen los KPI, KRI o SLA.
Cuando sea necesario realizar una rescisión, aproveche la automatización y los flujos de trabajo para:
- Realizar una revisión final del contrato.
- Liquida cualquier factura pendiente.
- Revocar el acceso a la infraestructura informática, los datos y los edificios físicos.
- Revisar el cumplimiento de la normativa sobre privacidad de datos y seguridad de la información.
- Actualice su base de datos de gestión de proveedores.
- Supervisar continuamente a los proveedores para detectar posibles riesgos futuros.
La realización de estas tareas reducirá la exposición al riesgo posterior al contrato de su organización.
Próximos pasos para mitigar los riesgos de violación de datos por parte de terceros
Si se produjera un incidente de ciberseguridad, como la filtración de datos de la NBA, en el ecosistema de sus proveedores, ¿sería su organización capaz de comprender rápidamente sus implicaciones para su negocio y activar su propio plan de respuesta ante incidentes? Considere la posibilidad de poner en práctica estas siete estrategias para mejorar el rendimiento de su equipo, descargue la lista de verificación de respuesta ante incidentes de terceros o póngase en contacto con nosotros para programar una demostración personalizada hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
