Un estudio encuentra que el 31% de los proveedores externos podrían causar un daño significativo a las organizaciones si se vulneran


Los profesionales del riesgo que dependen de evaluaciones basadas en cuestionarios podrían tener un rudo despertar, según RiskRecon de Mastercard y el Instituto Cyentia.

vendor.jpg

Con importantes empresas como Marriott, Instagram, P&N Bank y Standard Electrical experimentando infracciones relacionadas con ataques a proveedores este año, es cada vez más importante para las empresas contar con programas de gestión de riesgos de terceros.

RiskRecon de Mastercard y la firma de investigación de ciberseguridad Cyentia Institute emitieron juntos un nuevo informe que analiza estos programas de gestión de riesgos de terceros (TPRM), y encuentra que las empresas están utilizando cientos de proveedores, pero que luchan por obtener una verdadera comprensión de la postura de ciberseguridad de cada uno.

Los «Estado de la gestión de riesgos de terceros«El informe encuestó a 154 profesionales de gestión de riesgos externos y descubrió que evalúan una media de 50 proveedores cada año, y la mayoría de las empresas informaron tener un programa de TPRM durante aproximadamente cinco a seis años. Los encuestados dijeron que el 31% de los proveedores se consideran un riesgo content en en caso de incumplimiento, mientras que el 79% cuenta con programas formales para gestionar el riesgo de terceros, más del 60% dijo que la gestión de dicho riesgo es una prioridad creciente para su organización.

VER: Política de protección contra robo de identidad (TechRepublic High quality)

La mayoría de los encuestados trabajaba para organizaciones en la industria de servicios financieros, pero otros trabajaban en tecnología y atención médica.

«En la subcontratación masiva de sistemas y servicios a terceros, las empresas han aumentado drásticamente la escala y la complejidad de su superficie de riesgo. Este estudio revela que los profesionales del riesgo opinan ampliamente que las evaluaciones basadas en cuestionarios son suficientes para gestionar el riesgo de terceros . La magnitud del riesgo en manos de terceros requiere una visibilidad de desempeño mucho mejor que la que pueden proporcionar los cuestionarios «, dijo Kelly White, CEO y cofundador de RiskRecon.

«Cada vez más, los equipos de riesgos de terceros están adaptando las estrategias de gestión de riesgos implementadas para proteger su empresa interna: adquisición y análisis rápidos de datos objetivos que revelan la realidad de la calidad del programa de gestión de riesgos de cada proveedor», dijo White. «Por ejemplo, en lugar de simplemente confiar en la palabra de los proveedores de que están parcheando correctamente los sistemas, están utilizando servicios de clasificación de seguridad y otras fuentes de información para evaluar objetivamente la calidad de su programa de administración de parches».

Los pequeños empleados luchan con el creciente número de proveedores

Los encuestados se dividieron casi en partes iguales, con un tercio evaluando menos de 25 proveedores al año, otro tercio manejando entre 25 y 100, mientras que el último tercio trató con más de 100 proveedores. Alrededor del 5% de los encuestados se encargaron de evaluar a más de 750 terceros cada año.

Si bien el encuestado promedio dijo que alrededor del 30% de sus proveedores representaría un riesgo para su propia operación si fueran violados, otro cuarto dijo que la mitad de los proveedores externos podrían tener un impacto severo en su empresa si un ataque tuviera éxito.

Menos del 10% de los encuestados dijo que su organización se ocupó de una infracción debido al compromiso de un tercero durante los últimos tres años, pero otro 30% dijo que «prefería no responder».

El informe señala que los ataques a proveedores externos se están volviendo más comunes y más devastadores a medida que más empresas dependen de otros para servicios críticos. En un informe separado, los investigadores dijeron que examinaron 813 incidentes de múltiples partes y encontraron un total de 5,437 eventos de pérdidas posteriores.

«Los profesionales se enfrentan a tres factores de riesgo masivos que impulsarán una poderosa innovación en los próximos años», dice el informe: «Primero, las empresas han subcontratado una gran cantidad de sistemas y servicios a terceros, colocando sus datos confidenciales y su capacidad para operan al cuidado de otras organizaciones. En segundo lugar, los profesionales cada vez más no confían en que los cuestionarios brinden información suficiente para que comprendan adecuadamente y actúen sobre el riesgo de terceros. Y los equipos de terceros de riesgo tienen dificultades para satisfacer la demanda por sus servicios «.

Debido al aumento de la frecuencia, dos tercios de los encuestados dijeron que los programas de TPRM se estaban convirtiendo en una prioridad para su empresa y casi el 80% dijo que su empresa había instituido un programa formal diseñado para abordarlo.

Esto no siempre se hizo porque las empresas simplemente quisieran. Más del 20% de los encuestados dijo que estos programas se crearon debido a un mandato ejecutivo, mientras que el 16% dijo que period un requisito del cliente. Muchos también dijeron que tienen que informar el riesgo de un proveedor externo a su junta, lo que los hizo más propensos a verlo como un problema que vale la pena abordar.

Más de la mitad de los encuestados dijo que estos programas de TPRM fueron organizados y administrados por el departamento de seguridad de la información, mientras que el 15% dijo que estaban bajo la gestión de proveedores o adquisiciones. Otro 15% dijo que estaba dirigido por el departamento lawful o de cumplimiento.

Aproximadamente el 30% de los encuestados dijo que su empresa no tenía ningún empleado de tiempo completo trabajando para lidiar con el riesgo de terceros, y solo 1 de cada 10 encuestados tenía 15 o más empleados trabajando en TPRM.

La falta de private fue un problema que el 57% de los encuestados citó como una razón por la que estaban limitados en su capacidad para mantenerse al día con las responsabilidades de gestión de riesgos en su cartera de terceros. Más del 25% de los encuestados dijo que la escasez «grave» de particular provocaba que el trabajo rara vez o nunca se hiciera.

Debate sobre la honestidad en los cuestionarios

Según el estudio, el 84% de los encuestados dijo que usaba cuestionarios como el principal método de evaluación de riesgos, mientras que otro 69% dijo que usaba revisiones de documentación. La mitad de los encuestados dijo que también usaba evaluaciones remotas o calificaciones de ciberseguridad.

Aproximadamente el 40% de los encuestados utilizan conjuntos de preguntas estándar de la industria, como SIG, SIG Lite o CAIQ, con sus propias preguntas adicionales específicas para su negocio o industria. Casi el 70% de estos cuestionarios hacen entre 11 y 100 preguntas a los proveedores.

Para el 81% de los encuestados, al menos el 75% de sus proveedores externos aprueban estos cuestionarios. Pero solo un tercio de los encuestados dijeron que creían que los proveedores respondían a los cuestionarios de TPRM.

«Nuestro estudio muestra claramente que la necesidad de administrar bien el riesgo de terceros no pasa desapercibida para los líderes de seguridad. Si bien este puede ser el caso, existen marcadas diferencias en las metodologías de evaluación del riesgo de terceros», dijo Wade Baker, socio y cofundador del Instituto Cyentia.

«Si bien los cuestionarios de seguridad siguen siendo un pilar común del programa, las empresas buscan lograr mejores resultados de riesgo de manera más eficiente al aprovechar los datos de evaluación objetiva de servicios como las soluciones de calificación de seguridad. Aquí es donde se definirán los patrones y prácticas futuros de la gestión de riesgos de terceros . »

Ver también



Enlace a la noticia first