Desenredando el riesgo de terceros (y cuarto y quinto …)


Los terceros traen productos y servicios críticos a su organización. También traen riesgos que deben ser entendidos y gestionados.

(imagen de rana, a través de Adobe Stock)

(imagen de rana, a través de Adobe Stock)

Si aún no lo hubiera sido, el riesgo planteado por terceros se ha convertido en una prioridad para muchos de nosotros en las últimas semanas. Tanto las organizaciones como los individuos han pensado más de lo recurring en las preguntas sobre los riesgos que conllevan quienes nos rodean, incluidos los proveedores, socios, proveedores y otros que conforman el ecosistema de terceros en el que existe cada empresa.

Evaluar el riesgo de una organización significa, en cierto nivel, comprender el riesgo de todos los terceros en los que se basan los productos, servicios y operaciones de la organización. Y hacer que la evaluación sea útil significa poner los resultados en métricas cuantitativas.

«La industria dice cada vez más que la gestión de riesgos debe ser cuantitativa», dice Nick Sanna, CEO de RiskLens. «Si quieres sentarte en una mesa con el negocio y tener una discusión significativa sobre el impacto que tienen las acciones en seguridad, tiene que ser cuantitativo».

Por supuesto, existen dificultades para establecer con precisión este riesgo de terceros. Uno de los factores más importantes que pueden tener un impacto en la complejidad es comprender cuántas capas de relaciones debe examinar el equipo de seguridad. Es un hecho que una empresa tiene que evaluar los riesgos de sus proveedores, pero ¿qué pasa con su proveedores? Y suyo? ¿Cuántos niveles se extiende la responsabilidad de evaluar?

«Donde vemos que nuestros clientes realmente van es cuando miran y examinan a sus terceros. También están identificando las dependencias de terceros, el vendedor al vendedor», dice Kelly White, CEO de RiskRecon.

Si bien ve empresas que desean pasar por más niveles, White dice que la realidad del ecosistema de TI moderno significa que las relaciones comienzan a round entre sí, lo que lleva a una red enredada de dependencias que puede ser casi imposible de desentrañar.

«Lo que hemos aprendido es que las empresas, las organizaciones, tienen muchos más terceros que tocan sus redes y sus datos de lo que jamás podrían imaginar», dice Bob Maley, CSO de Normshield. «Son cientos y miles».

Maley luego hace una pregunta crítica: «¿Cómo abrazar eso y enfocar sus recursos en las áreas que podrían necesitar un poco de atención?»

Clavar la política de terceros del tercero

Ann * es ejecutiva del grupo de gestión de riesgos de una empresa de atención médica. (* Nota del editor: para proteger su identidad y la de su compañía, se ha cambiado el nombre genuine de Ann y ciertos detalles de identificación.) «Por lo common, tratamos de decírselo a nuestro tercero, el primer punto de la cadena», dice Ann. «Lo que haríamos en ese escenario es evaluar a un tercero para ver si tiene un programa very similar al que estamos usando para evaluarlo. Y esa es la expectativa».

Es una expectativa que su organización codifique en un contrato con la mayor frecuencia posible. En el mejor de los casos, explica Ann, cada compañía en el ecosistema tendrá un programa de riesgo de terceros identical y cada una reforzará la protección ofrecida por todas las demás.

Hacer que las diversas organizaciones acuerden qué riesgo y su gestión significan se hace más fácil cuando hay un modelo estándar a seguir. «Es un poco del Salvaje Oeste en este momento», dice Sanna al describir el mundo de la gestión del riesgo cibernético. «Todo el mundo está haciendo su propio modelo y JUSTA se ha convertido en el modelo estándar para evaluar el riesgo «.

Sanna dice que muchas compañías apenas comienzan a comprender cómo evaluar y cuantificar el riesgo. La primera etapa del proceso, dice, es poder articular el riesgo. «¿Cuáles son mis principales riesgos y áreas en términos numéricos, en términos financieros? Simplemente entiendan eso», dice.

Ser capaz de articular el riesgo es elementary para comunicar las preocupaciones sobre el riesgo y su gestión con otras compañías en el ecosistema de terceros y encontrar beneficios en la protección mutua. Esa protección es crítica en una situación común la organización realmente no conoce la totalidad de su ecosistema de terceros.

Mire más allá de los equipos de riesgo cibernético para obtener ayuda

Uno de los puntos importantes que los ejecutivos hicieron con respecto al riesgo de terceros es que la gestión de riesgos requiere pensar en algo más que la ciberseguridad. Una de las cosas que dejó en claro la pandemia de coronavirus es que la cadena de suministro y la disponibilidad de servicios de terceros son tan críticos como la cuestión del malware y la resistencia a la violación.

Afortunadamente, los grupos responsables de cada uno de ellos pueden trabajar juntos para gestionar el riesgo total.

«Las organizaciones tienen diferentes grupos dentro que pueden ayudarse mutuamente de manera inesperada a través de este tipo de escenarios», dice White. «La seguridad cibernética tiene datos que pueden ayudar a la cadena de suministro o al equipo de gestión de terceros de manera inesperada».

Y ese impacto inesperado puede extenderse a través de los límites del mercado.

«Muchas personas piensan que el riesgo realmente pertenece en gran medida a las finanzas y la atención médica. Creo que les diría que si estás fuera de una de esas industrias, todavía te importa», dice Ann. «Han sucedido muchas cosas en el pasado, sin contar COVID-19 ni nada de eso, que realmente ilustran la necesidad de un programa sólido de riesgo de terceros en todas las industrias».

Ann enfatiza que el programa de riesgos debe ser adaptable y modificarse para adaptarse a los desafíos cambiantes del mercado. «Justo cuando pensamos que tenemos todo cubierto, hemos conocido el riesgo cibernético cubierto o el riesgo financiero u otras cosas, hay un riesgo geopolítico aquí, hay un riesgo de enfermedad infecciosa que nunca habíamos pensado realmente, o huracanes», dice ella. .

«Es un proceso en continua evolución que tiene que ver cosas nuevas no se puede externalizar el riesgo», dice ella. «Una vez que el riesgo está ahí, puede cambiar a nuevas formas. Y hay que abordarlas a medida que surjan».

Contenido relacionado:

Curtis Franklin Jr. es editor sénior en Dim Looking at. En este puesto, se centra en la cobertura de productos y tecnología para la publicación. Además, trabaja en programación de audio y video clip para Dark Studying y contribuye a actividades en Interop ITX, Black Hat, INsecurity y … Ver biografía completa

Más suggestions





Enlace a la noticia primary