Blog B-SECURE

5 claves para la gestión del riesgo de terceros

Gestion del riesgo

Los terceros son una parte importante para nuestras organizaciones.

Cuando hablamos de terceros tendemos a pensar que solo son nuestros proveedores, sin embargo, el espectro se amplía al contemplar también a contratistas, socios de negocio, agentes comerciales y todos aquellos que soportan la operación, brindan servicios, distribuyen y venden nuestros productos o servicios.

Los terceros tienen acceso a la información de la organización y pueden llegar a tratar datos confidenciales o sensibles, son una parte importante para la operación de nuestra organización, sin embargo, también pueden ser una fuente importante de riesgo ya que muchas veces los ciberdelincuentes buscan a través de ellos llegar a sus clientes; es por ello que es tan importante conocer su postura de seguridad así como saber qué esfuerzos y medidas toman para su fortalecimiento.

Por lo anterior, como organización debemos establecer lineamientos, procesos y prácticas para la gestión del riesgo de nuestros terceros e identificar cual debe ser el enfoque de selección, evaluación y seguimiento, aquí tratamos cinco puntos indispensables en este proceso:

1. Identifique

Previo a identificar el riesgo debemos conocer quienes son nuestros terceros, esto puede no ser una tarea fácil, ya que la gestión de terceros pude estar descentralizada y cada área puede estarlos gestionándolos de manera independiente. Una vez edificados los terceros es necesario establecer a que servicios, plataformas o activos tienen acceso y valorar si sus niveles de permisos son los adecuados para el servicio que nos proveen.

2. Priorice

No todos los proveedores representan el mismo nivel de riesgo para nuestra organización, así que es el momento para realizar un análisis de riesgos que permita establecer la valoración de cada uno, para ello, existen herramientas tecnológicas que  presenten de manera integral el nivel de exposición de su tercero y le asignan de manera automática una valoración de la postura de ciberseguridad.


3. Monitoree

En algunos casos, hemos optado por realizar encuestas y valoraciones anuales, sin embargo, estas son solo una foto del momento en el que son realizadas, por ello es importante complementar este proceso con monitoreo continuo que muestre la postura de seguridad de nuestro tercero y como se comporta a través del tiempo, conociendo si su nivel de riesgo aumenta o disminuye de acuerdo con las acciones desarrolladas por el tercero.

Cada vez se hace más necesario asumir una postura proactiva frente a la gestión de terceros y en conjunto desarrollar estrategias que permitan el aseguramiento de la cadena de suministro, esto se convierte en un ganar ganar, donde cobra valor ayudar a nuestros terceros a identificar sus riesgos para que estos puedan desarrollar acciones de mitigación.

4. Automatice el proceso

Realizar la gestión de riesgos de nuestros terceros es un proceso que nos lleva mucho tiempo, es dispendioso y en la mayoría de las organizaciones lo realizamos a través de hojas de cálculo, lo que se vuelve insostenible, es por ello que para madurar el proceso y optimizar la gestión se deben automatizar al máximo las actividades.

5.Información consistente

Al enviar las evaluaciones a nuestros terceros nos podemos encontrar con diferentes tipos de respuestas, así como diferentes formatos a través de los cuales presentan los soportes, lo cual dificulta establecer el estado real frente a su ciberseguridad, además el análisis a la información requiere tiempo y esfuerzos importantes que al final pueden no llevar al objetivo de la actividad quedando inmersos en el papeleo, por lo cual se hace necesario asegurar la consistencia de la información estandarizando al máximo las prácticas y procesos.

¿Cómo lo podemos ayudar?

La mala noticia es que el riesgo asociado a nuestros terceros no lo podemos eliminar se han convertido en una pieza fundamental que soporta la operación, sin embargo, comprender los riesgos que pueden representar nos permite definir programas de gestión que contemplen un ciclo continuo que identifique, evalué y mitigue sistemáticamente las amenazas.  La mejor forma de no fallar en el intento es soportar la gestión en procesos estandarizados que se apoyen en soluciones especializadas que faciliten el desarrollo de las actividades mediante su automatización y que contemplen las 5 características previamente definidas.

SecurityScorecard es una solución integral que permite reducir el tiempo y el esfuerzo dedicado a gestionar el riesgo de nuestros terceros y nos da visibilidad de su postura de seguridad, al otorgar valoraciones automáticas, brindar información de los puntos vulnerables y recomendar planes de mejoramiento, con lo cual, contamos con información para trabajar en conjunto con los terceros y evitar la materialización de riesgos que puedan provocar la interrupción del negocio, pérdidas financieras y daños de la imagen de la organización.