Riesgo: como administrar a 3ros en tiempos de COVID

Administrar el riesgos de terceros proveedores de servicios en tiempos de pandemia

Desde proveedores y subcontratistas hasta proveedores de servicios y distribuidores, puede ocurrir una situación de riesgo de terceros en cualquier punto de su cadena de suministro.

A medida que los atacantes continúan buscando formas de explotar el riesgo de las empresas a través de sus socios y el ecosistema de terceros continúa creciendo, también lo hace este riesgo:

El año pasado, el 59% de las empresas experimentó una violación de datos de terceros.

Y tampoco son solo las pequeñas empresas las que están en riesgo, incluso las empresas internacionales de alto perfil pueden ser víctimas de una infracción de terceros.

En 2019, por ejemplo, tanto una agencia de inteligencia de EE. UU.

Como una gran empresa de redes sociales sufrieron violaciones en las que se expuso información confidencial en sitios de acceso público administrados por socios.

El problema es que, dado que las empresas trabajan con un número creciente de terceros, no siempre cuentan con los recursos y los procesos para comprender y mitigar completamente los riesgos que presentan los socios.

Además, la pandemia ha significado que los equipos de TI se están dispersando cada vez más, por lo que existe aún más potencial para que los riesgos de terceros pasen desapercibidos hasta que sea demasiado tarde.

Pero si bien los terceros representan un claro riesgo digital, son una red de apoyo igualmente crucial para las empresas, especialmente en tiempos de interrupción.

Esto plantea la pregunta: en un momento en que los recursos de TI ya están agotados, ¿cómo pueden los equipos de TI y seguridad respaldar a la empresa en el uso de terceros mientras administran los riesgos que crean?

Al seguir estos tres pasos, la gestión eficaz del riesgo de terceros, incluso en momentos de interrupción, no tiene por qué ser complicado:

# 1: Inicie nuevas asociaciones sobre una base sólida

Al trabajar con un tercero nuevo, las organizaciones deben priorizar la gestión de riesgos.

Gestión de Riesgo

Esto significa llevar a cabo una evaluación y auditoría exhaustivas de los nuevos proveedores, incluida la verificación de antecedentes para comprender mejor las posibles debilidades que los atacantes pueden aprovechar.

Al considerar la posibilidad de incorporar un nuevo proveedor, las empresas deben asegurarse de que estos terceros tengan medidas suficientes para cumplir con las expectativas de forma continua.

Una vez que se ha realizado una evaluación de riesgos, las organizaciones deben asegurarse de que se incorpore una estrategia de riesgos en todos los acuerdos de nivel de servicio y monitorear constantemente a sus socios externos para detectar nuevos riesgos que puedan surgir, incluso más adelante en la cadena de suministro.

Esto incluye monitorear las métricas de desempeño de terceros y el ambiente de control interno y recopilar cualquier documentación de respaldo relevante de manera continua.

Al hacerlo, dicha información puede informar la estrategia de riesgo en toda la empresa y ayudar a las empresas a identificar problemas antes de que surjan.

Al monitorear estas relaciones de manera continua, los equipos de TI tienen una visibilidad más amplia del panorama de riesgos y pueden minimizar la probabilidad de problemas en el futuro.

# 2: Proteja sus datos compartiendo solo lo que necesita

Proteger los datos no es fácil cuando se comparten constantemente en vastos ecosistemas de terceros. Uno de los riesgos de terceros más importantes es la falta de visibilidad de cómo se utilizan los datos y con quién se comparten debido a las implicaciones de privacidad. Es esencial que las empresas se aseguren de que las partes externas sean quienes dicen ser, que solo puedan acceder a los sistemas y datos a los que tienen derecho, que sus credenciales no se hayan visto comprometidas y que los datos se eliminen una vez que ya no sean necesarios.

Al evaluar cuánto acceso al sistema otorgar, las empresas deben asegurarse de que los protocolos de seguridad de terceros se alineen con los suyos.

Ya sea que trabajen con un socio que requiera datos del cliente o un integrador de sistemas que necesite acceso directo a los sistemas internos.

Además, con el aumento de las regulaciones de privacidad, como el GDPR, que introduce la posibilidad de multas regulatorias y gastos relacionados con el incumplimiento.

Ahora es más importante que nunca que las organizaciones comiencen a tener conversaciones significativas sobre cumplimiento, privacidad y datos, especialmente si se trata de terceros.

Las organizaciones deben implementar soluciones de autenticación seguras no solo para proteger los recursos vitales, sino también para salvaguardar la confianza y la reputación del cliente.

Lea más

89 / 100