Blog B-SECURE

6 errores en la gestión de riesgos de terceros

gestion de riesgosLa gestión de riesgos permite estar preparados ante situaciones no deseadas y prevenir en algunos casos que estos ocurran o si ocurren que los impactos estén dentro del apetito de riesgos aceptado por la organización.

La gestión de riesgos debe cubrir la cadena de suministro, es decir, los servicios prestados por terceros, siendo este un punto crítico para las organizaciones, ya que en algunos casos los terceros debido al tipo de servicio prestado, antigüedad y nivel de confianza, tienen acceso privilegiado a la información y los sistemas que la soportan.

Es muy común establecer relaciones de confianza con los terceros, sin embargo, no se debe descuidar la seguridad de la información, aquí les contamos 6 errores que debemos evitar:

1. No tener las reglas de juego claras

Los contratos son herramientas que permiten la gestión de riesgos legales, financieros o reputacionales, cobran mayor importancia cuando se definen claramente las responsabilidades del tercero en términos de seguridad de la información respondiendo a:

  • Quién es el propietario de la información
  • La eliminación segura de la información una vez finalizada la relación contractual
  • Comunicación oportuna de los incidentes de seguridad
  • Autorización para el desarrollo de auditorias
  • Responsabilidad de conocer y acatar las normas de seguridad y privacidad

Estos son solo algunos ejemplos de requerimientos para ser incluidos en los acuerdos con terceros, los cuales deben responder al servicio prestado y a las necesidades del negocio, soportados en lineamientos de administración de terceros que respondan al marco de gestión de riesgos.

2. No saber qué hacer en caso de un incidente

Asegúrese de que el tercero cuenta con un procedimiento que permita comunicar de forma oportuna una posible violación a la seguridad de la información, para ello es importante que ambas partes tengan claramente definido qué es un incidente, los puntos de contacto, las medias a tomar y el reporte por escrito.

La organización también debe definir en su procedimiento de gestión de incidentes, la interacción con los terceros y una clasificación de estos para la gestión y escalamiento eficaz.

3. Desconocer el tipo de información tratada por los terceros

La identificación y clasificación de activos de información debe extender y cobijar a la información tratada por terceros, estos deben conocer qué tipo de información manejan, para que a partir de ello implementen las medidas de protección adecuadas según la clasificación de la información. De igual forma deben conocer qué regulación aplica y cuales son sus requerimientos específicos.

4. Gestionar de forma inadecuada los accesos

Los terceros terminan siendo un factor clave para asegurar el buen funcionamiento de los recursos que soportan el negocio, por esta razón gozan de confianza y en algunas ocasiones terminan teniendo más acceso y privilegios que los que realmente deberían tener, por lo cual se recomienda tener protocolos claros de gestión de accesos para asegurar el ciclo de vida de los usuarios de los terceros y definir procedimientos para establecer las condiciones en las cuales se dan estos accesos.

5. Estar ciegos frente al actuar del tercero

Monitoree qué acciones se desarrollan dentro de la red, evalué constantemente si los privilegios otorgados son los necesarios. Defina políticas y casos de uso que le permitan identificar actividades sospechosas y de ser posible desarrollar acciones automáticas a ciertos comportamientos.

6. Solo confiar

Desarrolle actividades periódicas de revisión de requerimientos de seguridad de la información a terceros, incorpore en la revisión los requisitos de buenas prácticas como la ISO 27001 CSF NIST, requerimientos legales como la ley 1581 y otros que deba cumplir la organización para estar seguros que la cadena de suministro está protegida. Si bien desarrollar esta actividad puede necesitar un batallón de personas, empiece priorizando y amplié el alcance de acuerdo con las necesidades de la organización.

La gestión integral del riesgo es el pilar para controlar y asegurar los servicios prestados por terceros, los riesgos asociados a terceros deben ser identificados, analizados y gestionados de manera periódica para evitar que ocurran errores como los antes mencionados, con el análisis adecuado ponemos a la organización en una posición proactiva de tal manera que esté preparada ante situaciones no deseadas que puedan traer impactos legales, reputacionales o contractuales.

[TAMBIÉN LE PUEDE INTERESAR VER: Los secretos para aprobar una auditoría de cumplimiento]