Intentar gestionar la seguridad de los datos de los proveedores, la seguridad de la información y el riesgo más amplio de terceros puede ser una tarea ardua. La implantación de un programa eficaz de supervisión de terceros (TPM) reduce significativamente el riesgo y le permite gestionar a los proveedores con confianza.
La vigilancia de terceros sigue cobrando importancia. Los actores de las amenazas han comenzado a dirigirse en gran medida a las organizaciones de la cadena de suministro cibernético en su intento de comprometer tanto a las empresas ascendentes como a las descendentes. Al mismo tiempo, los riesgos geopolíticos, los riesgos ESG y los requisitos de cumplimiento siguen aumentando.
Todo programa de gestión de riesgos de terceros debe incluir una solución de supervisión continua de terceros para garantizar el análisis de riesgos y la reacción en tiempo real. Un programa integral de supervisión de terceros puede ayudarle a mitigar el impacto de las filtraciones de datos de proveedores, las interrupciones de la cadena de suministro y la prensa negativa en su organización. En este artículo, ofrecemos una visión general de la metodología y los términos clave de la supervisión de riesgos de terceros. También analizamos las numerosas ventajas de implantar un programa eficaz.
¿Qué es la supervisión de riesgos por terceros y cómo funciona?
La supervisión de riesgos por parte de terceros es la práctica de recopilar y analizar continuamente datos observables externamente sobre la postura de ciberseguridad, la ética empresarial, la situación financiera y el contexto geopolítico de los proveedores para identificar posibles riesgos en la cadena de suministro. La supervisión por terceros es esencial para preservar un ecosistema de proveedores estable y garantizar la seguridad de los datos, especialmente en ámbitos de alto riesgo como la sanidad o los servicios financieros.
Las organizaciones y las partes interesadas pueden lograr una visión continua de la postura de cumplimiento de las organizaciones de proveedores mediante la integración de la recopilación y el análisis de datos de seguridad en profundidad con un enfoque de gestión de riesgos de terceros, la asistencia en la defensa de los sistemas internos, la realización de visitas a las instalaciones y la revisión de los registros.
¿Por qué es importante la supervisión de riesgos por terceros?
Como las cadenas de suministro internacionales están cada vez más conectadas, el riesgo de terceros ha crecido exponencialmente. Para garantizar la estabilidad y resistencia de la cadena de suministro de su organización, es fundamental realizar un seguimiento activo de los riesgos de ciberseguridad, financieros, éticos, de reputación y operativos de terceros. La supervisión de terceros garantiza la sostenibilidad, la confianza y la transparencia en las relaciones con los proveedores. A continuación se presentan algunos ejemplos destacados en los que una mejor supervisión de terceros podría haber ayudado a las organizaciones a evitar problemas.
- Marriott Breach - En 2018 Marriott sufrió una violación de datos debido a su fusión con Starwood. A principios de 2020, Marriott anunció que otra violación de datos dio lugar a la filtración de 5,2 millones de cuentas de clientes, incluidas direcciones, cumpleaños, números de teléfono e información de titulares de tarjetas de fidelización. Esta filtración de datos fue causada por dos propietarios de franquicias de Marriott que vieron pirateado su acceso corporativo a los sistemas. Incluso en el caso de un socio cercano de confianza como un franquiciado, recomendamos vigilar de cerca a todos los terceros que tengan acceso a su infraestructura corporativa. Estos franquiciados no suelen tener los mismos estándares de ciberseguridad que sus empresas matrices, lo que provoca vulnerabilidades para toda la organización.
- Magecart - Magecart, un grupo de ciberdelincuentes, ha llevado a cabo numerosos ataques a grandes minoristas de todo el mundo desde 2015. Se cree que los recientes ataques a Ticketmaster, British Airways, Newegg, Feedify y otras empresas son obra del grupo. Los hackers de Magecart suelen infectar servidores web de terceros utilizados por sus víctimas con el fin de robar información sensible, como datos de tarjetas de crédito.
- Brecha de seguridad en Atrium Health - En 2018, Atrium Health experimentó una brecha de datos experimentó una brecha de datos que expuso los datos confidenciales de más de 2,65 millones de pacientes. Una vulneración de los servidores utilizados por el proveedor de facturación de Atrium Health, AccuDoc Solutions, provocó la filtración.
- Filtración de datos de Amazon - Una importante filtración de datos afectó a Amazon, eBay, Shopify y PayPal en 2020. Se hizo pública una base de datos de terceros de aproximadamente ocho millones de compras minoristas en línea del Reino Unido. No es la primera vez que Amazon es víctima de un incidente provocado por terceros. En 2017, unos atacantes piratearon a muchos vendedores de terceros afiliados a Amazon y utilizaron sus cuentas para publicar ofertas falsas.
- Violación de datos en General Electric (GE) - GE anunció una violación de datos en 2020, causada por su proveedor de servicios Canon Business Process Services. Un servidor de correo electrónico pirateado dio lugar a la divulgación pública de información de identificación pública sobre destinatarios y personal actual y anterior de GE.
- Cierre en Toyota - En febrero de 2022, Toyota cerró sus operaciones en Japón después de que un importante proveedor de plásticos, Kojima Industries, sufriera una filtración de datos. Kojima tenía acceso remoto a las plantas de fabricación de Toyota, lo que aumentaba considerablemente el riesgo para Toyota. Como resultado del cierre temporal, Toyota sufrió pérdidas financieras y operativas.
Metodología TPM
Para evaluar con precisión el riesgo de terceros, es esencial complementar las evaluaciones periódicas "de dentro a fuera" de los proveedores con una supervisión continua "de fuera a dentro" de las amenazas. Estas evaluaciones del riesgo de terceros, los cuestionarios y el uso de la supervisión de terceros permiten a las organizaciones confiar en las relaciones con terceros de cara al futuro.
Evaluación interna de terceros
Este tipo de enfoque TPM se centra en los cuestionarios de riesgo del proveedor, la diligencia debida y la documentación que el proveedor proporciona. Examinar detenidamente la documentación y el enfoque de seguridad del proveedor puede resultar muy valioso para los programas de TPM. Asegúrese de que las políticas de seguridad del proveedor coinciden con sus respuestas al cuestionario de evaluación y con los requisitos de cumplimiento. Además, no sólo hay que investigar a la organización externa, sino también a la cuarta y la enésima partes con las que trabaja.
Supervisión externa de riesgos de terceros
También es fundamental tener una visión externa de una organización. ¿Tienen credenciales expuestas en la dark web? Si se trata de una gran empresa, ¿hay registros financieros disponibles públicamente que podrían permitir a su organización hacerse una idea de su solvencia financiera? Asegúrese de llevar a cabo una diligencia debida rigurosa, incluido el uso de herramientas de GTPR e información disponible públicamente.
Tipos de supervisión de riesgos por terceros
Evaluación y supervisión de riesgos de ciberseguridad
Los retos cibernéticos abundan en la comunidad en línea. No hay semana que pase sin noticias sobre importantes violaciones de datos, algunas de las cuales pasan desapercibidas durante meses antes de ser descubiertas. Los ciberatacantes avanzan cada vez más en sus métodos para acceder a la información personal y empresarial centrándose en el punto de acceso más débil: los proveedores externos de la empresa. Los proveedores externos pueden estar vinculados a través de sistemas informáticos o integraciones, y pueden ser proveedores de SaaS o procesadores de datos. Estos terceros pueden carecer del mismo nivel de ciberprotección que sus clientes, lo que los convierte en un objetivo más fácil para los piratas informáticos. Prevalent proporciona información sobre los riesgos cibernéticos de más de 550.000 empresas mediante la supervisión de más de 1.500 foros de delincuentes, miles de páginas cebolla, más de 80 foros de acceso especial a la Web oscura, más de 65 fuentes de amenazas y más de 50 sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.
Evaluación y seguimiento de los riesgos para la diversidad
En un mundo con mayor conciencia social, hacer negocios con terceros significa asegurarse de que los proveedores no sólo respetan las leyes y normas laborales nacionales, sino que también garantizan que su plantilla refleja fielmente a la sociedad en su conjunto. La mayoría de los productos de evaluación de riesgos de terceros, por otra parte, se centran principalmente en las amenazas de ciberseguridad, ignorando los problemas de diversidad e inclusión, lo que puede dar lugar a una prensa negativa y un daño a la reputación. La plataforma de gestión de riesgos de terceros de Prevalent proporciona herramientas para evaluar las políticas de contratación de terceros en materia de diversidad e inclusión. También viene con integración incorporada con información continua sobre reputación y normativa para ayudarle a verificar los resultados de su evaluación.
Supervisión de riesgos financieros y de reputación
Las vulnerabilidades de terceros abarcan mucho más que los problemas de ciberseguridad. La incertidumbre financiera, por ejemplo, puede repercutir en la capacidad de un proveedor para suministrar piezas y servicios. Una visita de la OSHA puede provocar el cierre de las instalaciones. Un resultado desfavorable de una revisión normativa o ética puede desviar la atención de la dirección y poner en peligro su negocio. Aunque es importante estar al tanto de todos los incidentes que ponen en peligro a los proveedores, las brechas de ciberseguridad a menudo eclipsan otros tipos de eventos de riesgo en las noticias. No es de extrañar que la mayoría de los sistemas de gestión de riesgos de terceros no proporcionen inteligencia financiera y de reputación crítica a sus clientes. La plataforma de gestión de riesgos de terceros de Prevalent realiza un seguimiento constante de las bases de datos públicas y privadas de riesgos de reputación y datos financieros, proporcionando las perspectivas, los datos de seguimiento y los informes necesarios para anticiparse a posibles alteraciones de los proveedores.
Evaluación y supervisión del riesgo de esclavitud moderna
Gobiernos de todo el mundo luchan activamente contra la esclavitud moderna, que incluye la trata y el trabajo forzado de adultos y niños. La Ley de Esclavitud Moderna del Reino Unido de 2015, la Ley de Esclavitud Moderna de Australia y la Ley de Transparencia de las Cadenas de Suministro de California son también ejemplos de legislación que pretende acabar con la esclavitud moderna. Las organizaciones deben garantizar la responsabilidad en las políticas laborales de sus cadenas de suministro para cumplir con estas normas o enfrentarse a multas, sanciones judiciales y una mala cobertura en la prensa. Las empresas deben realizar evaluaciones de los controles de los proveedores basadas en encuestas sobre la cadena de suministro, supervisar los sistemas y validar los resultados con una supervisión externa continua de sus prácticas en el mundo real.
Seguimiento del riesgo geopolítico
La vigilancia del riesgo geopolítico sigue cobrando importancia en 2023. Las relaciones entre Estados Unidos y China siguen deteriorándose, mientras aumentan las tensiones con países como Rusia, Irán y Corea del Norte. A medida que crecen las tensiones, también lo hace el riesgo de interrupción repentina de los negocios derivada de acciones comerciales, APT y otros eventos. Las acciones comerciales emprendidas contra China en otoño de 2022 ponen de manifiesto las repentinas interrupciones del suministro que pueden producirse debido a las actividades de los Estados nación. Llevar a cabo una sólida supervisión de los riesgos geopolíticos puede proporcionar una alerta temprana de posibles acciones comerciales, aranceles, acciones legales y otros riesgos de origen geopolítico.
Supervisión del riesgo ESG
Los riesgos ASG están en el centro de atención de muchas organizaciones en 2023. Las nuevas normativas sobre ASG, como el Proyecto de Directiva Europea sobre Diligencia Debida Corporativa y la Ley Alemana de Diligencia Debida en la Cadena de Suministro, están creando mandatos para que las empresas auditen sus cadenas de suministro en relación con las preocupaciones ASG. Esto contrasta con la anterior generación de leyes ASG, que simplemente exigían a las organizaciones que informaran sobre las medidas ASG adoptadas. Al supervisar los riesgos ASG, es esencial ir más allá de las terceras partes y supervisar toda la cadena de suministro ampliada. Muchas organizaciones han sufrido enormes daños a su reputación en los últimos años como consecuencia de su incapacidad para identificar eficazmente los daños significativos en materia de ASG procedentes de las fases posteriores de la cadena de suministro. proveedores de cuarta y enésima parte.
Control continuo por terceros
En el tiempo que transcurre entre las evaluaciones de riesgos de los proveedores, pueden ocurrir muchas cosas. Por eso es importante proporcionar una visibilidad continua de las amenazas a los proveedores. Los riesgos externos para terceros son constantemente rastreados y analizados por el Vendor Threat Monitor de Prevalent. El enfoque busca ciberriesgos y vulnerabilidades en Internet y en la web oscura, así como flujos públicos y privados de información sobre reputación y datos financieros. El módulo Vendor Threat Monitor se combina con la evaluación de riesgos de proveedores "inside-out" como parte de la plataforma de gestión de riesgos de terceros de Prevalent. Los datos de seguimiento y evaluación de cada proveedor se consolidan en un único registro de riesgos, lo que permite comparar fácilmente los resultados y agilizar el análisis de riesgos, la elaboración de informes y las iniciativas de respuesta.
Cuarta Fiesta y más allá
Los proveedores, minoristas, inversores y demás personas que hacen negocios con una empresa se consideran terceras partes. Sin embargo, existe otra dimensión a la que todas las empresas deben prestar atención: los socios y proveedores de sus terceras partes, también conocidos como cuartas partes. Los cuartos socios (o "enésimas partes", como se les denomina en la cadena de suministro) no están vinculados contractualmente a una entidad, pero sí a sus terceros.
Ventajas de la supervisión continua de riesgos de terceros
1. Informar sobre la diligencia debida en materia de adquisiciones
El análisis de riesgos realizado a terceros antes de la incorporación puede servir de base para la selección de proveedores y aportar información sobre posibles problemas futuros. También puede informar de la necesidad de realizar evaluaciones adicionales para recabar más información sobre los controles de seguridad de los proveedores, las iniciativas de cumplimiento y otros factores que pueden afectar al flujo de trabajo operativo de su organización. Disponer de información previa puede ahorrar mucho tiempo y dinero, sobre todo si su empresa tiene una cadena de suministro compleja en la que intervienen numerosos proveedores.
2. Minimizar los riesgos para la reputación
La supervisión continua le proporciona información en tiempo real sobre el estado del riesgo para la reputación de sus proveedores externos. La inteligencia sobre divulgaciones financieras, infracciones éticas, sanciones reglamentarias, problemas medioambientales y procedimientos judiciales puede ayudarle a adelantarse a la prensa negativa en su cadena de suministro y a la posible "culpabilidad por asociación" de su organización.
3. Reducir el riesgo de filtración de datos
La supervisión continua permite a los equipos de ciberseguridad recopilar rápidamente datos precisos y actualizados sobre vulnerabilidades de terceros, credenciales filtradas y otras exposiciones. Esta información puede ayudar a su equipo a aumentar las defensas, establecer límites y/o emitir advertencias en respuesta a un sitio web comprometido o a una violación de la seguridad, de modo que pueda actuar de inmediato para proteger sus sistemas sensibles y los datos de sus clientes.
4. Priorizar las evaluaciones
La supervisión continua puede ayudar a crear perfiles de proveedores y determinar su riesgo inherente. Esta información puede ayudarle a priorizar el alcance y la frecuencia de las evaluaciones de riesgos periódicas, basadas en cuestionarios, en función del riesgo potencial de cada tercero y de la criticidad para su empresa. Además, la supervisión puede desencadenar una evaluación adicional ad hoc si se identifica un incidente de seguridad importante o un acontecimiento organizativo.
5. Validar las respuestas de la evaluación
Supervisar las posturas de ciberseguridad y las prácticas empresariales de sus terceros puede ayudarle a verificar la exactitud de las respuestas de evaluación y a cerrar el círculo del análisis de riesgos. ¿Escanean regularmente en busca de malware y parchean sus sistemas? ¿Siguen prácticas de contratación éticas? La supervisión continua es una forma excelente de determinar si sus proveedores externos cumplen sus requisitos de seguridad, conformidad y ética.
Creación de un programa de supervisión de riesgos de terceros
Con el aumento de los ciberataques de terceros y los problemas de privacidad que imponen las nuevas leyes, es más importante que nunca asegurarse de que sus proveedores pueden manejar con seguridad los datos confidenciales. Por otra parte, recopilar, gestionar y revisar manualmente el estado de los riesgos es poco fiable, propenso a errores y caro. A través de nuestra plataforma única e integrada de gestión de riesgos de terceros (TPRM), Prevalent facilita y agiliza el cumplimiento y la prevención de riesgos. Solicite una demostración para ver si Prevalent se adapta a sus necesidades.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
