Novedades

En relación al riesgo de terceras partes, invocamos una analogía con la célebre frase del autor inglés del siglo XVII John Donne. Se dice que ninguna organización es una isla en sí misma, cada organización es una parte de un todo más amplio, reflexión que describe acertadamente la organización posmoderna del siglo XXI. Pero si la relación con “el todo” no es gestionada de manera apropiada, puede acarrear consecuencias catastróficas para la organización.

Según OECD.org alrededor del 70% del comercio internacional actual implica cadenas de valor globales, los servicios, las materias primas, las piezas y los componentes de una organización cruzan las fronteras en numerosas ocasiones.

Actualmente una organización, no es solo UNA organización, si no que incluye vendedores, proveedores de servicios, contratistas, subcontratistas, consultores, trabajadores temporales, agentes, corredores, intermediarios y una amplia variedad de “relaciones con terceras partes”.

La complejidad crece aún más cuando hablamos de compañías que desarrollan sus servicios de manera digital. 

Estas relaciones con terceros contribuyen a las organizaciones a funcionar de manera óptima, pero también amplían las superficies de ataque, ya que los actores maliciosos se dirigen cada vez más a los proveedores, que pueden llegar a ser el eslabón débil de esta cadena. Al establecer o sostener relaciones comerciales incorrectas, una compañía puede enfrentarse, no sólo a una catástrofe económica, sino también reputacional. En este contexto, las organizaciones deben identificar y gobernar sus relaciones con terceros con una conciencia cada vez mayor. 

La encuesta mundial realizada por BlueVoyant sobre la gestión de riesgos cibernéticos de terceros, revela que en el año 2021 sólo el 13% de las empresas encuestadas dijeron que el riesgo cibernético de terceros NO era una prioridad, una caída en comparación con los resultados del año 2020, cuando el 31% de las empresas dijeron que la cadena de suministro y el riesgo cibernético de terceros no estaban en su radar. Forrester estima que el 60% de los incidentes de seguridad en 2023 provendrán de terceros.

Desde la violación de Okta por Lapsus$ hasta la interrupción de la cadena de suministro de Toyota, numerosos ciberataques contra un proveedor claves nos demuestran que la Gestion de Riesgo de Terceras Partes (TPRM por sus siglas en inglés) o Vendor Risk Management (VRM) no es un tema que puede pasar desapercibido. 

Creamos las siguientes preguntas que lo ayudaran a saber si si su organización posee una correcta Gestión de Riesgo de Terceras Partes:

• ¿Su organización realiza un due diligence previo al contrato con terceras partes?

Evaluar correctamente a un potencial proveedor puede llegar a prevenir la inclusión de riesgos a su organización. Se deben realizar evaluaciones de la seguridad de la información, la seguridad operativa y las prácticas de resiliencia empresarial del proveedor, incluso de la posición reputacional de un proveedor.

•  ¿Su organización posee un listado detallado de terceras partes?

William Thomson Kelvin ya nos decía “lo no se mide, no se puede mejorar, lo que no se mejora, se degrada siempre”. Un paso básico para gestionar las relaciones con terceras partes es crear un inventario de proveedores, en definitiva no podemos administrar lo que no vemos. El inventario debe realizarse en una plataforma centralizada, para que todos los equipos internos puedan participar en el proceso de gestión de proveedores y este pueda automatizarse. Además, es importante crear un perfil para cada proveedor, detallando sus perspectivas comerciales, la industria a la cual pertenece, datos demográficos, el tipo de datos a los cuales accede, etc.

• ¿Puede identificar el riesgo de tecnología de cuartas partes?

Es apropiado que el perfil del proveedor incluya información sobre su relación con la tecnología de terceros, es decir con cuartas partes. Esto puede ayudar a visualizar las posibles rutas de ataque en su organización y tomar medidas de mitigación proactivas.

• ¿Selecciona sus proveedores según su cumplimiento de estándares internacionales de seguridad?

Es importante que, al momento de elegir un proveedor, valore si el mismo se ajusta a las normas de seguridad conocidas en la industria, y además verificar si puede demostrar el cumplimiento de estos estándares.

• ¿Controla los proveedores afectados por ciberataques?

Observar a un proveedor afectado por un ciberataque puede ayudar a encontrar señales de un nuevo incidente de seguridad inminente, ya que se observan cuáles fueron las vulnerabilidades de su proveedor.

• ¿Analiza datos disponibles externamente para evaluar posibles amenazas?

La identificación de riesgos comienza con el análisis preventivo de fuentes de amenazas, no sólo internas sino también externas como foros criminales, dark web, bases de datos de pirateo, feeds de amenaza, noticias comerciales, datos financieros, etc.

Toda esta Gestión de Riesgo de Terceras Partes puede ser desarrollada de manera individual, o se pueden buscar soluciones que unifiquen todos los conocimientos en una única plataforma, de modo que todos los riesgos estén centralizados y sean visibles para la empresa. Las soluciones de VRM de TI respaldan a las empresas que tienen que evaluar, monitorear y administrar su exposición a los riesgos que surgen del uso de terceros que brindan productos y servicios de TI o que tienen acceso a su información.

Debemos destacar que SecurityScorecard es una de las plataformas más utilizadas en cuanto a Gestión de Riesgo de Terceros. SecurityScorecard ha sido nombrada “2022 Gartner Peer Insights Customers’ Choice” para herramientas de gestión de riesgos de proveedores de TI. La distinción Gartner Peer Insights Customers’ Choice reconoce a los proveedores mejor calificados por sus clientes.