6 pasos que pueden ayudar a mitigar el riesgo cibernético mediante la gestión de proveedores

Preste atención a estas mejores prácticas para mejorar su programa de gestión de riesgo de los proveedores

Hace poco, University of Miami Health System se unió a Shell Oil Company, la cadena de supermercados Kroger y otras organizaciones para dar comienzo a una investigación sobre filtración de datos relacionada con el proveedor de servicios en la nube Accellion. Cuando los piratas informáticos atacaron los servidores de transferencia de archivos del proveedor, no solo obtuvieron acceso a los archivos del proveedor sino también a los datos que les pertenecen a las organizaciones a las que les prestan servicios.

De manera semejante, el proveedor de Medicaid, Health Share of Oregon, se vio afectado y sufrió una pérdida importante cuando una computadora portátil sin cifrar que contenía información de identificación personal (PII) fue robada de la oficina de su proveedor. Si bien la oficina del proveedor fue la fuente informada del incidente de seguridad que resultó en la filtración de datos de noviembre de 2019, Health Share of Oregon tuvo que asumir la responsabilidad de notificar a más de 650,000 pacientes, proporcionarles un año de monitoreo de crédito y denunciar la filtración de datos al Departamento de Salud y Servicios Humanos (HHS).

Más o menos al mismo tiempo, un banco australiano anunció que intrusos habían robado PII durante una actualización del servidor, lo que comprometió los números de cuentas bancarias y los saldos de 96,000 miembros. La filtración de datos ocurrió a través de un sitio de alojamiento del proveedor.

Las asociaciones de proveedores tienen suma importancia en el mundo comercial actual, en especial mientras la pandemia sigue acelerando la transformación digital de muchas organizaciones y el traspaso a la modalidad de trabajo remoto, la adopción de la nube y de los servicios virtuales, como aquellos que se ofrecen a través de la telesalud, la tecnología financiera, y otros tipos de plataformas tecnológicas continúan expandiéndose. Esta mayor dependencia de terceros también tiene un precio: mayor exposición a riesgos cibernéticos y vulnerabilidades.

Mitigar el «riesgo de terceros»

Esta mayor exposición se denomina «riesgo de terceros» o la idea de que una filtración de datos que afecta a su organización puede provenir del proveedor de un proveedor o hasta del proveedor del proveedor de un proveedor.

A pesar del mayor riesgo de terceros, y del hecho de que las filtraciones de datos que implican a terceros cuestan hasta $700,000 más en promedio, los expertos advierten que alrededor de tres cuartos de las organizaciones todavía no les están exigiendo a sus proveedores que implementen prácticas de seguridad de la información adecuadas.

Para las industrias muy reguladas, como atención médica, servicios financieros e inversiones alternativas, que cada vez más se convierten en el objetivo de los delincuentes, es más importante que nunca minimizar el posible impacto de una filtración de datos y los riesgos estratégicos, reputacionales, financieros, operativos y reglamentarios que eso trae aparejado.

Las mejores prácticas para la gestión de riesgo de los proveedores

Las organizaciones deberían adoptar un enfoque holístico para preservar la seguridad de la información de la red de su empresa y sus proveedores.

Para comenzar, conforme un equipo de gestión ejecutiva y profesionales de TI de su organización para desarrollar un programa que se ocupe de administrar las relaciones con los proveedores y mitigar los riesgos asociados, y considere la posibilidad de contratar a una empresa de asesoría de riesgos con experiencia y conocimientos para que le ayude con estas iniciativas y con la identificación de cualquier brecha.

A continuación se mencionan seis mejores prácticas que pueden mejorar el programa de gestión de proveedores y ayudarle a mitigar el riesgo cibernético de terceros.

1. Establecer el interés y la tolerancia al riesgo en toda la organización.

Cada organización tiene su propio enfoque y nivel de confort cuando se trata de riesgos. Usted deberá determinar el interés y la tolerancia al riesgo de su organización para usarlos como guía para su programa de gestión de proveedores. Específicamente, su equipo de liderazgo tiene que decidir qué tipos de riesgos y el porcentaje de cada riesgo que su organización está dispuesta a aceptar.

• El interés sobre el riesgo es el riesgo general o la exposición a pérdidas que la organización está dispuesta a aceptar o soportar para alcanzar sus objetivos comerciales.
• La tolerancia al riesgo es el nivel específico de riesgo que una organización puede aceptar o soportar en relación a un proyecto individual.

Es posible que su organización tenga un interés bajo sobre el riesgo en términos generales pero una tolerancia al riesgo más alta cuando se trata de un área específica, o viceversa.

2. Evaluar el riesgo de proveedores.

Cada proveedor expone a su organización a un posible riesgo, y ese riesgo aumenta a medida que aumenta su acceso; así que aplique su debida diligencia. Determine cuán fundamental es el proveedor para el éxito de su empresa y cuáles son los posibles riesgos que presentaría.

Solicite al proveedor un informe de controles de sistemas y organizaciones (SOC). Para evaluar los controles relacionados con la ciberseguridad, usted debería solicitar específicamente un informe SOC 2. El informe incluirá una opinión del auditor independiente sobre si los controles de ciberseguridad vigentes están diseñados, implementados en el período de tiempo (Tipo 1) y en correcto funcionamiento por un período de tiempo, por ejemplo, un plazo de 6 o 12 meses (Tipo 2). Es importante que todos los proveedores que gestionan datos de sus clientes cuenten con controles para mitigar los riesgos de amenazas y vulnerabilidades relevantes de la empresa.

Un asesor de riesgos calificado puede realizar una evaluación de riesgos integral para ayudarle a identificar las vulnerabilidades relacionadas con los proveedores, calificar el riesgo de cada proveedor con base en factores como el acceso a datos críticos y actividades operativas, y ayudarle con la elaboración de medidas correctivas para remediar los problemas o brechas de control identificados.

3. Establecer una metodología de calificación de riesgos universal.

Un sistema de calificación de riesgos de los proveedores le ayudará a asignar recursos a los proveedores de mayor riesgo. Aplicar la misma metodología a varias evaluaciones de riesgo de la organización, incluidas las evaluaciones de riesgos de TI, ciberseguridad y empresariales, agregaría uniformidad y estandarización a la organización y ayudará al equipo de liderazgo a tener un panorama global de todos los riesgos y a identificar las áreas de riesgo que superan la tolerancia al riesgo de la organización.

Por ejemplo, si elige tres niveles (es decir, alto, moderado, bajo), respételos en todas las evaluaciones de riesgos. Además, considere usar un marco de trabajo existente, como el desarrollado por el National Institute of Standards and Technology (NIST), que le ayude a identificar y gestionar riesgos. Según el tipo de evaluación de riesgos, otro tipo de marco de trabajo puede ser más adecuado.

Un asesor de riesgos calificado puede ayudarle a establecer un sistema de calificación de riesgos consistente e implementar una metodología de gestión de riesgos adecuada en toda la organización.

4. Establecer límites con los proveedores.

Encamine su empresa hacia el éxito estableciendo límites, o un conjunto mínimo de requisitos para la ciberseguridad, con sus proveedores. Lo más básico sería solicitarles a los proveedores que cuenten con sus propios programas de seguridad de la información, pero también una buena idea es dejar en claro los límites entre su proveedor y sus proveedores o clientes.

Un ejemplo reciente de la importancia de los límites con los proveedores es la filtración de datos de SolarWinds que se reveló en diciembre de 2020. Una de las lecciones principales aprendidas hasta ahora de la investigación en curso es que proporcionarles a los proveedores acceso ilimitado a su red puede tener consecuencias devastadoras.

Si bien a veces esta situación es difícil de evitar, hay maneras de proteger a sus clientes mediante el establecimiento de límites en relación con sus proveedores para ayudar a mitigar el riesgo de que sus proveedores comprometan la capacidad de su organización de mantener un entorno seguro:

• Apartar a sus proveedores de la red
• Disponer de un sistema redundante que trabaje en paralelo
• Usar un tercero no relacionado para realizar un monitoreo activo de anomalías
• Definir las responsabilidades de los proveedores en la respuesta y recuperación de incidentes antes de entablar una relación con ellos

En algunas industrias, las regulaciones actuales pueden brindar pautas más claras acerca de cómo afrontar la ciberseguridad y el riesgo de los proveedores. Las restricciones de privacidad para las organizaciones de atención médica, por ejemplo, exigen la celebración de un acuerdo de socio comercial con los clientes que comparten información de salud protegida (PHI). El proveedor debe poder demostrar que está tomando las medidas adecuadas para proteger la privacidad del paciente o es posible que su empresa quiera considerar la posibilidad de terminar la relación.

5. Desarrollar un programa de gestión de proveedores que abarque a toda la empresa.

Incorpore todo lo mencionado anteriormente en un programa formal de gestión de proveedores que también incluye lo siguiente:

• Un proceso formal de selección de proveedores
• Requisitos de contrato: requisitos de notificación ante la filtración de datos, cláusulas de terminación, confidencialidad, requisitos mínimos de seguridad de la información y requisitos de ciberseguridad, roles y responsabilidades definidos, monitoreo/derecho a realizar auditorías
• Debida diligencia: revisión financiera, planificación de la continuidad de las operaciones/planificación de la recuperación ante catástrofes, procedimientos de respuesta ante incidentes, programa de seguridad de la información, revisión SOC, revisión OFAC, visita en el lugar, revisión del programa de privacidad y desempeño según la calificación de riesgos
• Monitoreo continuo con base en los riesgos
• Procedimientos de terminación de la relación con los proveedores y seguimiento

6. Mantenerse actualizado.

La gestión de proveedores no es una tarea para tachar de la lista. Es fundamental que revise y actualice su programa todos los años. Preste especial atención a los cambios importantes como los relacionados con la gestión dentro de su organización o la tecnología nueva que se ha incorporado y que puede requerir que se tomen medidas para confirmar la adecuación a las políticas de riesgo y cumplimiento de la organización.

El riesgo de los proveedores, si no se gestiona correctamente, puede derivar en pérdida financiera, daño a la reputación, pérdida de negocios y, en algunas industrias, multas reglamentarias. Sin embargo, los riesgos cibernéticos y otros riesgos relacionados con terceros pueden mitigarse al desarrollar, implementar y mantener un programa de gestión de riesgos de los proveedores sólido y sensato.

Póngase en contacto con el equipo de servicios de asesoría de riesgos de Kaufman Rossin para que le ayuden a implementar o mejorar la gestión de riesgos de los proveedores en su organización.