7 fuentes fundamentales de inteligencia sobre riesgos de terceros

La información continua y externa sobre los riesgos de terceros puede ayudar a subsanar las lagunas que existen entre las evaluaciones periódicas e internas de los proveedores. A continuación se presentan siete formas clave de obtener una visión externa del riesgo de los proveedores.

Imagen decorativa

Los programas holísticos de gestión de riesgos de terceros (TPRM) combinan evaluaciones periódicas, de «dentro hacia fuera», de los controles internos de los proveedores con un seguimiento continuo, de «fuera hacia dentro», de sus amenazas externas. Al complementar los resultados de la evaluación de los proveedores con un flujo constante de información externa, obtendrás una visión más completa del riesgo potencial que cada proveedor supone para tu empresa.

A la hora de integrar la supervisión en tu programa de gestión de riesgos de terceros, asegúrate de recurrir a fuentes de información sobre proveedores que sean tanto amplias como exhaustivas. Este artículo te servirá de punto de partida, ya que describe un caso práctico de supervisión continua y revela las fuentes clave de información sobre riesgos de terceros. Además, te ofrecerá las mejores prácticas para alcanzar el éxito en este proceso.

Un caso de uso para la monitorización continua

Incorporar a tus actividades de evaluación de riesgos de proveedores información de monitorización cibernética y empresarial en tiempo real hará que tu programa de TPRM sea más continuo y menos reactivo. Por ejemplo, puedes utilizar la monitorización para analizar la dark web en busca de vulnerabilidades, filtraciones y credenciales filtradas de un proveedor. A continuación, puedes correlacionar estos datos con la información recopilada a partir de los cuestionarios de evaluación de proveedores para detectar inconsistencias en los controles de gestión de contraseñas y/o parches.

Una solución sólida de gestión de riesgos de terceros (TPRM) no solo se encarga de este análisis, sino que también incluye reglas y automatizaciones que activan evaluaciones de seguimiento. Este enfoque cierra el ciclo de la gestión de riesgos de terceros y transforma las evaluaciones puntuales en una supervisión continua de los riesgos.

Fuentes de información sobre riesgos de terceros

Tomar decisiones acertadas y basadas en el riesgo implica recopilar y normalizar datos procedentes de numerosas fuentes dispares. Es fácil dedicar mucho tiempo a buscar, centralizar e interpretar los datos que subyacen a la situación de seguridad de tus proveedores. Por eso es importante tener en cuenta la capacidad de una solución de TPRM para agregar y presentar informes sobre la información de terceros de forma que se puedan aplicar en la práctica.

Tanto si estás evaluando soluciones de supervisión de riesgos como si optas por un enfoque manual, asegúrate de consultar estas fuentes de información sobre riesgos de terceros:

1. Fuentes públicas

Las fuentes habituales de información sobre amenazas de terceros, de acceso público —y probablemente gratuita—, ofrecen noticias generales del sector, tendencias y actualizaciones sobre incidentes de seguridad:

  • Los sitios web especializados en filtraciones de datos analizan el impacto de las filtraciones recientes (por ejemplo, «Data Breach Today»)
  • Las páginas web corporativas publican comunicados de prensa que podrían indicar posibles riesgos (por ejemplo, despidos, noticias financieras, etc.)
  • Los sitios web de reseñas de productos y empresas ofrecen información sobre la opinión de los clientes respecto a los productos de una empresa (p. ej., G2)
  • Las plataformas de empleo y los sitios web de opiniones de empleados revelan cómo funciona una empresa e indican posibles problemas (por ejemplo, Glassdoor)
  • Las publicaciones especializadas y los sitios web del sector analizan las tendencias que pueden afectar a las operaciones de una empresa (por ejemplo, «Manufacturing Today»)
  • Los blogs y las publicaciones en redes sociales ofrecen información actualizada sobre las novedades de la empresa, incluidos los incidentes de seguridad (p. ej., Recorded Future)
  • Certificaciones que indican el nivel de seguridad de una empresa (por ejemplo, SOC)
  • Los canales de noticias ofrecen titulares de forma continua

2. Fuentes privadas

Entre las fuentes privadas de información sobre riesgos de terceros se incluyen servicios de datos de pago y sitios web que pueden resultar difíciles de encontrar o peligrosos de navegar. Estas fuentes pueden proporcionar información más detallada sobre los riesgos empresariales y cibernéticos relacionados con sus proveedores externos.

  • Las agencias de información crediticia proporcionan una puntuación que indica la solvencia financiera de un socio potencial (por ejemplo, Experian).
  • Los sitios web de análisis financiero tratan sobre los beneficios y los riesgos (por ejemplo, Motley Fool)
  • Los sitios web especializados en acciones legales analizan los litigios que pueden afectar negativamente a las relaciones comerciales de un proveedor y a su capacidad de ejecución (por ejemplo, ClassAction.org)
  • Las fuentes de información sobre amenazas proporcionan actualizaciones continuas sobre vulnerabilidades y riesgos (por ejemplo, ThreatConnect)
  • Los sitios de Paste incluyen código que puede utilizarse para burlar las medidas de seguridad de una empresa (por ejemplo, Pastebin.com)
  • Los repositorios de código son similares a los sitios para compartir código (por ejemplo, Bitbucket.org)
  • Foros de hackers en los que los ciberdelincuentes debaten sobre objetivos de ataque y comparten información de forma ilegal*
  • Foros de la dark web en los que se pueden encontrar credenciales filtradas y otra información perjudicial para las empresas*

Los proveedores fiables de este tipo de información cuentan con un equipo de investigación global que busca continuamente los riesgos a los que están expuestos los proveedores, recurriendo a múltiples socios especializados en inteligencia de riesgos. Este enfoque permite obtener información analítica especialmente amplia y detallada.

*¡Es mejor dejar la vigilancia de los foros de hackers y los sitios de la dark web en manos de investigadores de seguridad profesionales!

3. Organismos reguladores

Las entidades reguladoras del sector y del gobierno son fuentes fundamentales de información sobre riesgos de terceros. Muchas de ellas publican información sobre medidas coercitivas e infracciones, que pueden dar lugar a multas o acciones judiciales que afecten a las operaciones de un proveedor.

Es posible que su organización también tenga la obligación legal de garantizar que sus terceros cumplan los requisitos de cumplimiento normativo. Esto puede lograrse realizando evaluaciones de los proveedores y validándolas mediante un seguimiento continuo.

Entre los principales reglamentos y organismos reguladores que intervienen en la gestión de riesgos de terceros se incluyen:

  • CCPA – Ley de Privacidad del Consumidor de California
  • RGPD – Reglamento General de Protección de Datos de la UE
  • HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico): normas de seguridad y privacidad
  • NYDFS – Departamento de Servicios Financieros de Nueva York, parte 500
  • OCC – Oficina del Contralor de la Moneda de EE. UU.
  • PCI – Norma de seguridad de datos del sector de las tarjetas de pago

En nuestra sección de cumplimiento normativo puede consultar una tabla con las normativas que exigen la evaluación y/o el seguimiento de los proveedores.

4. Colaboraciones con el sector

Si tu sector cuenta con un centro de intercambio de información (ISAC), la afiliación a esta organización debería ser obligatoria para ti. Algunos ejemplos son:

5. Integraciones tecnológicas

Es muy probable que estés utilizando varios productos diferentes para gestionar el riesgo en toda tu empresa. Si tus soluciones funcionan de forma aislada, analiza cómo las integraciones pueden mejorar la recopilación de información sobre riesgos de terceros. Por ejemplo, muchas organizaciones utilizan soluciones de gestión de incidencias y operaciones (como ServiceNow) junto con soluciones de supervisión de riesgos de proveedores. En este caso, vincular la gestión de incidencias con los datos de riesgo puede ayudar a acelerar la toma de decisiones y facilitar la corrección de los problemas.

6. Respuestas a la evaluación de proveedores

A medida que recopiles las respuestas de las evaluaciones completadas, lo ideal es que realices un seguimiento de las mismas y las incluyas en un registro central de riesgos. Aunque la recopilación de información de terceros suele realizarse de forma individual, la centralización de los datos puede servir de base para actividades posteriores que abarquen a grupos de proveedores del sector.

Entre las evaluaciones habituales según los estándares del sector se incluyen:

Aquí es donde entra en juego el caso de uso mencionado anteriormente. Gracias a las reglas automatizadas, puedes tomar las vulnerabilidades detectadas mediante la supervisión continua, correlacionarlas con los resultados de las evaluaciones y utilizar los hallazgos para activar evaluaciones de seguimiento.

7. Redes de riesgo de proveedores

Las bibliotecas de evaluaciones de proveedores ya realizadas pueden proporcionarte la evaluación de referencia y las puntuaciones de riesgo de miles de organizaciones. Resultan especialmente útiles para llevar a cabo la diligencia debida en materia de selección y contratación de posibles proveedores. Además, pueden ofrecer a tu equipo de seguridad una ventaja inicial en el análisis de riesgos de tus proveedores más importantes. Asegúrate de seleccionar un servicio que vaya más allá de proporcionar puntuaciones de evaluación y que incluya, como mínimo, calificaciones externas de ciberseguridad. Esto te ayudará a subsanar las lagunas entre las evaluaciones de los proveedores y las actualizaciones de la biblioteca.

Próximos pasos en materia de inteligencia sobre riesgos de terceros

Una mayor información permite tomar decisiones mejores y más fundamentadas. Prevalent ofrece una gama de soluciones de gestión de riesgos de proveedores
—software, redes y servicios— que integran la evaluación y la supervisión para ofrecer una visión de 360 grados del riesgo de terceros.

Conozca nuestro enfoque probado de 5 pasos para la gestión de riesgos de proveedores en nuestra guía de mejores prácticas, o solicite una demostración hoy mismo.


Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.