Por qué la gestión de riesgos de terceros nunca ha sido más …



Dada la genuine pandemia de coronavirus, la necesidad de que las empresas recopilen datos de seguridad cibernética sobre sus socios comerciales es más crítica que nunca. Aquí se explica cómo comenzar.

En las últimas semanas, la propagación continua del coronavirus COVID-19 ha obligado a las empresas de todo el país a tomar decisiones difíciles sobre cómo proteger a sus empleados, así como a sus comunidades en normal.

En un esfuerzo por detener la propagación del virus, muchas organizaciones están instituyendo políticas obligatorias de trabajo desde el hogar (FMH), comprometiéndose con nuevos proveedores de servicios en la nube y cambiando recursos hacia el apoyo de una fuerza laboral remota en expansión. Al responder a las necesidades comerciales reales, ahora se enfrentan a una variedad de desafíos nuevos y complejos de ciberseguridad desde una superficie de ataque en expansión, tanto internamente y dentro de sus redes de terceros.

Trabajar desde el hogar y redes externas inseguras
En las mejores circunstancias, es difícil para los equipos de seguridad aplicar controles y políticas estrictas cuando los empleados operan desde ubicaciones dispares en varias redes y dispositivos. A raíz de COVID-19, con trabajadores domésticos remotos que inician sesión en máquinas sin parches a través de redes Wi-Fi no seguras que no se han conectado a la VPN corporativa en días o semanas, los peligros son una amenaza aún mayor.

De hecho, las nuevas preocupaciones sobre la seguridad de la «pink externa» se han convertido en una prioridad para los equipos de seguridad. El Instituto Nacional de Estándares y Tecnología emitió recientemente un urgente boletín delineando desafíos y mejores prácticas, sugiriendo que «las organizaciones también deberían asumir que las comunicaciones en redes externas, que están fuera del management de la organización, son susceptibles de escuchas, intercepciones y modificaciones». Las organizaciones ahora buscan comprender mejor la postura de seguridad de la pink externa.

Para agravar este desafío, los piratas informáticos oportunistas se aprovechan del temor constante de atacar a las personas con correos electrónicos de phishing que parecen provenir de una fuente oficial, como los Centros para el Command de Enfermedades (CDC). Estos correos electrónicos contienen un archivo adjunto lleno de malware que infecta la computadora en cuestión y roba la información personalized del individuo. Estos factores de riesgo son difíciles de evaluar y mitigar en su propia organización, y aún más difíciles de monitorear cuando se trata de redes de terceros y de terceros, donde tiene menos visibilidad y manage.

Evaluación de proveedores y COVID-19
Dada la true pandemia de coronavirus, la necesidad de que las empresas recopilen datos de seguridad cibernética sobre sus proveedores nunca ha sido tan crítica. Dicho esto, las recientes prohibiciones de viaje y las políticas generalizadas de la FMH impiden que las evaluaciones en el lugar sean una opción feasible, que anula por completo las formas tradicionales de evaluar el riesgo de terceros. Además, las organizaciones que previamente han utilizado consultores para ayudar en los procesos de evaluación ahora deberán repensar su enfoque porque la mayoría de los consultores ya no viajarán, al menos a corto y mediano plazo.

Por supuesto, los procesos de evaluación handbook nuevos o existentes serán más lentos y más estresantes debido a los desafíos que conlleva una fuerza laboral recién remota, sin mencionar un acceso reducido a la última tecnología, como videoconferencias para sesiones de lluvia de strategies y reuniones de planificación que ser cada vez más difícil cuando todos están en una ubicación diferente y dependen de redes Wi-Fi domésticas potencialmente defectuosas.

Para promover eficiente y Evaluación eficaz del proveedor y procesos de incorporación en estas condiciones, es basic racionalizar y automatizar siempre que sea posible. Muchas organizaciones necesitarán repensar por completo su cronograma y política de evaluación para incluir más capacidades de monitoreo remoto. Al aprovechar un indicador de rendimiento clave (KPI) dinámico y estandarizado de riesgo cibernético, como las clasificaciones de seguridad para evaluar la postura de seguridad de cada proveedor potencial lado a lado, puede identificar de inmediato las áreas de riesgo que requieren atención y tomar decisiones de evaluación basadas en datos bajo los recursos remotos limitados que tiene hoy debido al coronavirus. (Divulgación: el autor es un ejecutivo de una empresa que proporciona calificaciones de seguridad para ayudar a las empresas a evaluar el riesgo de terceros).

Desarrollo de contingencias de remediación
Una vez que se ha incorporado a un proveedor, es crítico monitorear continuamente su postura de seguridad para garantizar que mantengan los umbrales de riesgo previamente acordados. A medida que las clasificaciones de seguridad se actualizan diariamente, puede aprovechar fácilmente estos datos para rastrear cualquier cambio de seguridad en su purple de terceros desde su ubicación de trabajo remota.

Por supuesto, el monitoreo solo llega hasta cierto punto. Si identifica vulnerabilidades críticas que representan un riesgo para su ecosistema, debe tener un program de remediación. Dicho esto, en este valiente y nuevo mundo de políticas obligatorias de la FMH, es possible que sea necesario reevaluar y actualizar sus planes previamente acordados.

Como parte de su iniciativa de gestión de riesgos de terceros, asegúrese de alinear cómo sus proveedores actuales manejarán cualquier problema de seguridad que surja dentro de su fuerza de trabajo remota en las próximas semanas y meses. Por ejemplo, debe confirmar que tienen un approach para resolver cualquier vulnerabilidad del centro de datos, dado que es probable que no se permita a los empleados viajar allí.

Como es el caso cada vez que actualiza las expectativas de seguridad del proveedor, asegúrese de que todas las contingencias estén documentadas por escrito y acordadas. Resuma las formas preferidas de comunicación y sea lo más específico posible cuando defina las expectativas de los plazos. Por ejemplo, puede requerir que los proveedores le informen sobre cualquier incumplimiento dentro de las 24 horas y remedien cualquier problema de seguridad dentro de las 48 horas.

Cerrar las brechas de seguridad y comunicación
Durante estos tiempos de incertidumbre, es más importante que nunca ser proactivo y estar atento a la seguridad cibernética de su organización. No permita que un incidente de seguridad sea la primera vez que se vuelva a conectar con sus terceros sobre los nuevos procesos y estándares que necesita implementar durante esta crisis worldwide. A medida que la fuerza laboral se vuelve remota y las nuevas amenazas específicas se vuelven cada vez más frecuentes, es fundamental contar con un system para evaluar y administrar continuamente su postura de seguridad y la de su ecosistema de proveedores.

Por supuesto, dadas las restricciones de recursos actuales y el estrés sin precedentes en la cadena de suministro electronic en typical, todas las organizaciones deberán comenzar por reevaluar (y posiblemente revisar) sus políticas y procedimientos existentes. En muchos sentidos, este es un territorio desconocido y ningún líder de seguridad tendrá todas las respuestas correctas de inmediato. Debe estar dispuesto a pensar fuera de la caja para cumplir con sus responsabilidades, apoyar a su equipo y proteger su red en este entorno de riesgo nuevo y en evolución.

Contenido relacionado:

Jake Olcott es vicepresidente de BitSight Technologies, donde ayuda a las organizaciones a comparar sus programas de ciberseguridad utilizando métricas cuantitativas. Olcott habla y escribe sobre el papel de los directores, funcionarios y ejecutivos en la gestión del riesgo cibernético. Sirvió como … Ver biografía completa

Más suggestions





Enlace a la noticia original