Cómo ajustar la gestión de riesgos del proveedor en un …



Sin auditorías in situ, muchas organizaciones carecen de su visibilidad recurring para evaluar los factores de riesgo y validar los contratos y SLA con los proveedores.

La gestión de riesgos del proveedor no es nada nuevo para la mayoría de los profesionales de la seguridad y la privacidad. Los programas para administrar proveedores suelen estar bien establecidos y han funcionado como un reloj durante bastante tiempo, y muchas empresas exigen a sus proveedores críticos que permitan el acceso para evaluaciones periódicas en el sitio de privacidad, seguridad y otros controles. Pero al igual que con tantas cosas este año, la pandemia de coronavirus ha detenido los procesos de gestión de riesgos de los proveedores bien aceitados. Ahora, sin la capacidad de realizar auditorías in situ, muchas organizaciones carecen de su visibilidad habitual para evaluar los factores de riesgo y validar si sus proveedores están haciendo todo lo acordado en sus contratos y acuerdos de nivel de servicio (SLA).

Esto es particularmente preocupante dado que los proveedores y los proveedores externos son una fuente principal de violaciones de seguridad, privacidad y / o cumplimiento. Threat Based mostly Stability informó que la incidencia de infracciones, «que involucran a empresas que manejan datos confidenciales para socios comerciales y otros clientes», aumentó en un 35% de 2017 a 2019 y expuso 4.800 millones de registros el año pasado.

Los profesionales de la seguridad y la privacidad son muy conscientes del potencial de exposición entre sus socios externos, razón por la cual la mayoría sigue la mejor práctica de clasificar a sus proveedores en una jerarquía que abarca de bajo riesgo a alto riesgo, con mucha atención, auditorías y visitas in situ. pagado a los proveedores de mayor riesgo. Incluso sin acceso en el sitio, las organizaciones aún enfrentan las mismas obligaciones regulatorias y de gestión de riesgos para monitorear y garantizar que terceros estén protegiendo su información. Pero obtener un alto nivel de seguridad sin ver los elementos de primera mano es complicado. Las organizaciones ahora deben tomar sus planes de evaluación anteriores y modificar los pasos de prueba para permitir evaluaciones virtuales.

A continuación, se incluyen algunas consideraciones clave para realizar esos ajustes.

Comience con una revisión de las clasificaciones de riesgo para todos los terceros
Esto ayudará a determinar si su clasificación ha cambiado como resultado de la pandemia. ¿Algún proveedor ha incumplido las obligaciones del SLA? Si es así, una apuesta segura sería aumentar su calificación de riesgo hasta que haya visibilidad de las causas fundamentales de esos deslices en el servicio. Este paso también incluye examinar los países en los que opera cada proveedor y cómo esos países se han visto afectados por los eventos de este año. Esto puede requerir la participación de las partes interesadas internas que representan al grupo de usuarios para comprender cualquier interrupción del servicio que hayan visto.

Actualizar los criterios de evaluación anteriores
Las actualizaciones se centrarán en riesgos adicionales o elevados que puedan haber sido introducidos por trabajadores remotos en su organización o trabajadores remotos de sus proveedores. Las condiciones del trabajo desde el hogar y los impactos de la cadena de suministro son dos áreas que deben examinarse de cerca en las evaluaciones de riesgos actuales. Las condiciones del trabajo desde el hogar deben centrarse en las medidas que ha implementado el tercero para garantizar un trabajo seguro desde el hogar, incluida la capacitación sobre la protección de la información confidencial y los requisitos de seguridad para conectarse a la purple. La resiliencia de los proveedores, es decir, lo que han hecho los terceros para estabilizar sus operaciones durante la pandemia y las lecciones que han aprendido a lo largo del camino, también debe agregarse a los criterios de evaluación.

Aproveche los informes existentes y pasados
Todo, desde SOC 2 y otras auditorías, lo ayudará a comprender dónde concentrar el escrutinio durante las evaluaciones. Del mismo modo, si completó una evaluación de un proveedor en los últimos años, es possible que muchos de los controles observados aún estén vigentes. Si bien esto no elimina la necesidad de probar los controles, puede proporcionar un mayor nivel de seguridad para los controles que no se pueden validar de forma remota.

Utilice herramientas de colaboración
Las herramientas de colaboración le permitirán verificar los controles y cómo se administran y se monitorean los sistemas de capacitación. Las demostraciones en vivo de sistemas clave y recorridos en movie de áreas y materiales críticos pueden proporcionar suficientes alternativas a las visitas en persona. Pídale a su proveedor que le proporcione información sobre sus herramientas de gestión de cambios, incluidos los sistemas de emisión de tickets, y utilice portales seguros para compartir documentos y pruebas de políticas, de modo que pueda obtener una imagen más completa de los procedimientos internos del proveedor.

Establecer un monitoreo continuo para métricas clave de cumplimiento y servicio
Preste mucha atención a las señales de alerta, incluidos los SLA, así como las violaciones de datos y cualquier brecha en la continuidad comercial de los proveedores.

Aumente el tamaño de las muestras
Es especialmente útil mirar marcos de tiempo más amplios para áreas de mayor riesgo. Esto ayudará a garantizar que el proceso o regulate que se está evaluando se haya implementado y esté operando de manera efectiva y constante durante un período prolongado, particularmente durante la pandemia.

Algún día, volveremos a una versión de la vida tal como la conocíamos y se reanudarán las visitas en persona. Pero hasta entonces, recuerde que el riesgo de que una empresa y / o un proveedor fallen es mayor en nuestro entorno real que en circunstancias típicas. Las organizaciones necesitan un program de contingencia para varios escenarios, incluida la exposición debido a acciones (o inacciones) de terceros y en el caso de que un tercero de alto riesgo falle. Anticípese y esté preparado para estos escenarios mediante el establecimiento de una sólida respuesta a incidentes, el desarrollo de planes para trasladar sistemas internos o para proveedores alternativos según sea necesario, y mantener la continuidad para evaluaciones de riesgos continuas y sólidas.

Ryan Smyth, director standard de FTI Technological know-how Ryan Smyth es director gerente del segmento de tecnología de FTI Consulting. Asesora a los clientes sobre una amplia gama de cuestiones normativas y de cumplimiento, con un enfoque específico en la privacidad, la seguridad de la información, la gobernanza de datos y el negocio …

Lectura recomendada:

Más información





Enlace a la noticia initial