Mejores prácticas para gestionar el riesgo cibernético de terceros hoy



Se necesita un pensamiento nuevo y audaz para resolver el desafío en rápida evolución de la gestión de riesgos de terceros.

Hace solo cinco años, muchas empresas centraron sus esfuerzos de defensa cibernética casi por completo en sus propias organizaciones. Hoy en día, están cada vez más preocupados por los riesgos de terceros, con buenas razones.

De acuerdo a «Costo de un estudio de violación de datos en los Estados Unidos de Ponemon Institute«, las organizaciones de terceros representaron el 42% de todos los casos de incumplimiento, cayendo solo ligeramente del 44% de todos los casos en 2008. Estas siguen siendo la forma más costosa de incumplimiento de datos debido a la investigación adicional y las tarifas de consultoría. Con el número de terceros conectados cada vez más, y una explosión de técnicas de ciberataque y vectores de riesgo, las mejores prácticas de gestión de riesgos de terceros (TPRM) están evolucionando rápidamente de formas nuevas y sorprendentes.

Una de esas sorpresas es que los equipos de riesgo cibernético de las empresas son no asumiendo la responsabilidad por las infracciones que puedan ocurrir. En un reciente evento de la Serie Cibernética, patrocinado por la Cámara de Comercio de EE. UU. Y FICO, Chris Wallace, director de riesgo cibernético en T-Cell, describió su audaz enfoque: «Mi equipo puede caminar en una línea entre el negocio y la seguridad» dijo. «Su mantra es: &#39Tomamos un enfoque basado en el riesgo para priorizar y tratar los problemas&#39. Todos se alejan de la discusión con un consenso sobre los próximos pasos para hacer negocios. Ese es mi objetivo: garantizar que tengamos un terreno común y que todos entiendan en qué se están metiendo «.

Distribuir a los proveedores en categorías basadas en el riesgo
Aunque T-Cellular es una empresa grande y con buenos recursos, un proceso TPRM de mejores prácticas tendrá los mismos elementos básicos, independientemente del tamaño de una organización:

  • Primero, cree un marco para la categorización de terceros, para identificar qué socios necesitan una evaluación más profunda en función de su papel en las actividades comerciales de la organización y el tamaño y la importancia de la relación.
  • Desarrolle un flujo de trabajo para abordar la intersección de riesgo y criticidad. Trabajando desde el marco de categorización, los gestores de riesgos pueden utilizar herramientas de cuantificación de riesgos de ciberseguridad para crear carteras de terceros. De esta manera, el riesgo cibernético y el impacto / criticidad empresarial pueden considerarse en conjunto.
  • Establecer una cadencia para evaluar con frecuencia a los proveedores de alto impacto, a través de un enfoque analítico que combina la crítica y el riesgo del negocio.
  • Garantizar la transferencia de riesgos adecuada, típicamente logrado a través de seguros. Un enfoque uncomplicated considera la intersección del riesgo y la criticidad del proveedor, y requiere un seguro de los proveedores cuando se indique protección adicional. La mitigación de riesgos también es una opción, ya sea mediante el aumento de controles de terceros o controles adicionales en la organización.

Todos los proveedores, e incluso el mismo tipo de proveedores, no son iguales en un programa TPRM ejecutado correctamente. Por ejemplo, una compañía de medios que está filmando un anuncio sobre un producto que ya ha sido anunciado públicamente tendrá un perfil de riesgo diferente al de una compañía de medios que trabaja en un video sobre información que aún no se ha hecho pública. Claramente, se deben aplicar conjuntos de management más estrictos a ciertos proveedores.

La evaluación cualitativa es clave
A diferencia del enfoque tradicional de «marcar la casilla», las mejores prácticas actuales de TPRM incluyen tanto la evaluación cualitativa como la cuantitativa de los socios comerciales. «Estas medidas se complementan entre sí», dijo Wallace de T-Cell en el evento Cyber ​​Series. «Siempre hay un impulso en la gestión de riesgos para hacer que el riesgo sea en blanco y negro, con datos sólidos que muestren lo que es bueno y lo que es malo. Un modelo de riesgo necesita combinar los dos. Con una base de datos y datos concretos, como quién tiene acceso a ciertos datos, cuántas personas los tienen y de dónde provienen y de dónde provienen los datos: los proveedores deberían adoptar un enfoque más analista para analizarlos más «.

«Para cualquier proveedor», continuó, «un analista puede evaluar aún más el riesgo observando los puntajes de riesgo de seguridad o comparando los puntajes de riesgo de empresas similares con las que las organizaciones han trabajado en el pasado reciente. Toda esta información se utiliza para crear un tercero modelo de riesgo de la parte y perfil de amenaza que toma en cuenta tanto la información subjetiva como las mediciones objetivas y equilibra esta pieza para permitirnos ser más prácticos en la formación de un juicio «.

Aunque tiene un ecosistema de proveedores que se encuentra en las decenas de miles de socios, las mejores prácticas que T-Mobile está siguiendo pueden beneficiar a organizaciones de cualquier tamaño.

Contenido relacionado:

Doug Clare es vicepresidente de fraude, cumplimiento y soluciones de seguridad en FICO. En este cargo, Doug dirige los negocios de fraude, delitos financieros y riesgo cibernético de FICO. Con más de 25 años en FICO, tiene una gran experiencia en ayudar a los bancos y otras empresas a gestionar el fraude, … Ver biografía completa

Más strategies





Enlace a la noticia unique