[06/12/2019] Para algunos, la idea de comenzar un programa integral de gestión de riesgos de terceros (TPRM, por sus siglas en inglés) puede parecer la máxima tarea en alguna lista de deseos obsesivo-compulsivos. Después de todo, la mayoría de las organizaciones de hoy tienen docenas, si no cientos -y a menudo miles- de relaciones con proveedores externos. ¿Dónde y cómo comenzaría uno tal proceso?
Pero, como dice el dicho, solo se es tan fuerte como el eslabón más débil de nuestra cadena. Y eso hace que sea fundamental para saber lo fuerte que las defensas de seguridad son para cada uno de esos enlaces. La seguridad de sus datos podría depender, fácilmente, de la diligencia debida de alguna otra organización.
Como evidencia, considere un estudio del 2017 realizado por el Audit Committee Leadership Network, que entrevistó a cerca de 400 organizaciones públicas y privadas, y encontró que dos tercios tienen más de cinco mil relaciones con proveedores externos. Y para algunas organizaciones, esos proveedores pueden ser una puerta abierta y disponible para los hackers que desean entrar.
Un ejemplo reciente es Airbus SE, que anunció en septiembre que había tomado nuevas medidas para proteger sus sistemas contra ciberataques a través de los sistemas informáticos de los subcontratistas. A principios de este año, los hackers atacaron a dos de los proveedores de la firma -Rolls-Royce Holdings PLC y Expleo- en un intento de infiltrarse en la información personal de los empleados de Airbus SE.
Con el aumento tanto de las amenazas a la ciberseguridad como de la conciencia respecto a ellas, los profesionales de seguridad de la información se enfrentan a una mayor presión para hacer que todos los sistemas y redes sean aún más seguros, con el fin de compensar cualquier deficiencia por parte de los proveedores y socios. Y, más a menudo, se les pide hacerlo posible con recursos y mano de obra insuficiente. Todo esto hace que un programa sólido de gestión de riesgos de terceros sea vital.
Las 5 fases de un exitoso programa de gestión de riesgos de terceros
En términos del programa real, los profesionales de seguridad de TI pueden adaptar las Third Party Risk Management Guidelines establecidas en el 2017 por la U.S. Office of the Comptroller of the Currency. Estas pautas están destinadas a cualquier programa de gestión de riesgos, pero se aplican igualmente bien para un programa de ciberseguridad.
- Fase 1: Planificación. Se desarrollan planes para gestionar las relaciones con proveedores externos.
- Fase 2: La debida diligencia y la selección de terceros. La organización lleva a cabo un estudio exhaustivo de todos los potenciales proveedores externos antes de entrar en contratos o relaciones.
- Fase 3: La negociación del contrato. El asesor legal revisa todas las propuestas de contrato.
- Fase 4: Monitoreo. Las relaciones con terceros se revisan periódicamente.
- Fase 5: Terminación y planificación de contingencia. Se pueden tomar medidas en caso de evasión, incumplimiento o terminación del contrato.
La TPRM requiere de todos
Incrementar la protección de ciberseguridad no ocurre en el vacío, se requiere de un exitoso programa de gestión de riesgos de terceros. Como se ha señalado por las fuentes consultadas para este artículo, un programa TPRM efectivo depende de que todos en la organización sigan los protocolos establecidos. Recuerde, la mayoría de las relaciones con proveedores y socios fueron iniciadas por unidades de negocios, y las relaciones son administradas por ellos.
"Cuando se ha tomado la decisión de involucrar a un proveedor o un tercero, es cuando acuden a mi organización, para determinar si se requiere una evaluación de seguridad de ese proveedor en función de la naturaleza de la relación”, afirma Siobhan Hunter, director de gobernanza, riesgo y cumplimiento de TI en Blue Cross Blue Shield de Carolina del Norte
La clave aquí es que el grupo de gestión de riesgos aparece de antemano, y que la relación con el proveedor no despega hasta que se haya autorizado para hacerlo. La aprobación depende de la evidencia que cada proveedor le proporciona a la organización. Deben demostrar que están haciendo todo lo posible para seguir las mejores prácticas de seguridad cibernética.
Confiar, pero verificar
Por supuesto, no todos los proveedores con los que una organización hace negocios, requieren el mismo nivel de escrutinio en seguridad. Los primeros pasos para establecer un programa TPRM es identificar todas las relaciones de negocios que la organización tiene. Posteriormente, se debe evaluar a cada proveedor en relación con el impacto en la organización si es que fueron víctimas de una irrupción cibernética.
Delta Dental utiliza un sistema de niveles para clasificar a los proveedores de acuerdo con el impacto organizacional potencial. Si son afectados por el cibercrimen, los proveedores que representan el mayor impacto son colocados en el Nivel 1; aquellos con un impacto ligeramente menor, en el Nivel 2, etc. Pero, como todas las organizaciones, Delta Dental no tiene un presupuesto ilimitado para la ciberseguridad, por lo que debe determinar el "riesgo aceptable” al clasificar a cada socio.
"No es conveniente que más del 10% de su población de proveedores esté en el nivel 1”, explica Kay Naidu, director de aseguramiento de riesgo cibernético en Delta Dental de California. "Si tiene recursos ilimitados, literalmente podría contratar a cien personas -cada una para enfocar su tiempo en evaluaciones a terceros, de cabo a rabo-. Pero no tenemos eso. Tenemos cinco personas en el equipo”.
Después de un período de refinamiento del proceso, Naidu afirma que Delta Dental se estableció basando su sistema de niveles en la cantidad de registros de información de salud protegidos que toca un proveedor. Cualquier proveedor que toque 500 o más registros se clasifica como Nivel 1, y se mueven hacia abajo según el tipo y la cantidad de información confidencial a la que pueden acceder.
Cómo revelar los mayores riesgos
Phani Dasari está de acuerdo en que la información del cliente debe encabezar la lista de criterios utilizados en la clasificación de proveedores para un programa TPRM. Como vicepresidente de gestión global de riesgos de terceros en ADP, Dasari afirma que hay algunas preguntas básicas que determinan rápidamente si un proveedor debe clasificarse como de mayor riesgo:
- "¿Están en contacto con mi dinero?”
- "¿Están en contacto con mis datos?”
- "Están en contacto con mis sistemas?”
- "Si sus sistemas se caen, ¿se caen mis sistemas?”
"Este es el tipo de cosas que usted tiene que manejar”, afirma Dasari. "Si tiene ese tipo de proveedores como socios, debe tener un programa que se asegure de no asumir ningún riesgo involuntario con la relación”.
Al igual que en Delta Dental, Dasari afirma que la creación de un programa de gestión de riesgos de terceros en ADP fue un largo viaje, tres años para ser exactos. Para complicar el proceso, el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) entró en vigor el año pasado y agregó nuevos requerimientos para garantizar la seguridad y privacidad de los datos.
Siga el dinero
Probablemente, el factor más importante en la duración de este viaje, es la gran cantidad de proveedores externos que una organización tiene que clasificar.
"Muchas compañías están luchando para obtener una lista precisa de todas las compañías con las que hacen negocios y cuál es la naturaleza de su interacción”, explica Hunter. "Si no sabe quiénes son todos sus proveedores, o si la información no es precisa, es muy difícil para usted realizar y llevar a cabo un programa integral de riesgos de terceros”.
Todas las fuentes coinciden en que, al menos, un buen lugar para comenzar es mirando las cuentas por pagar de su empresa.
"Para muchas compañías, la única forma en que conocen a todos los proveedores con los que trabajan es mirando sus cuentas por pagar y de quién recibieron las facturas. No es una gran manera para que tenga control de su base de proveedores, pero es un comienzo”, afirma Hunter.
A continuación, cree algún tipo de repositorio que mantenga los perfiles de sus proveedores, incluyendo su nombre, la industria, los productos o servicios que ofrecen, los contactos primarios y el tipo de interacción que tiene con ellos.
"No necesito evaluar a un proveedor que corta el césped en base al riesgo de seguridad. Hago que sea necesario evaluar a un proveedor por riesgo para la seguridad si está ingresando a mis sistemas y accediendo a información restringida”, continúa Hunter. "Uno no puede tratar a todos por igual. Debe poder personalizar y comprender el perfil de cada proveedor”.
No todos los riesgos de seguridad son iguales
Una vez que se han identificado los proveedores y socios externos, se debe evaluar su posible ciber riesgo. Muchas organizaciones han utilizado una serie de cuestionarios o auditorías para este paso, pero existe un número creciente de herramientas de calificación de proveedores en el mercado, capaces de ayudar en el proceso.
Todas las fuentes de este artículo sostienen que sus organizaciones han utilizado una serie de encuestas de preguntas y respuestas para crear perfiles iniciales de proveedores, y los utilizan para la gestión continua de sus programas. La gestión continua del proceso es crítica para identificar cualquier cambio en el proveedor que pueda afectar su preparación de ciberseguridad.
"Aparte de los datos que obtenemos a través de nuestras evaluaciones, tenemos un gran equipo de inteligencia de amenazas, que nos alerta si ven cualquier actividad inusual en uno de nuestros proveedores”, explica Naidu. "Puede que no los tengamos en nuestro programa de revisión hasta dentro de los próximos tres meses, pero vamos a decir, 'parece que algo ha pasado por allí, así que vamos a reunirnos con ellos de inmediato'”.
Separarse no debería ser difícil
Una gestión exitosa de los riesgos ligados a terceros implica una gran cantidad de confianza entre la organización y cada proveedor. La manera en que cada uno reacciona al perfil asignado y al monitoreo pueden ser tan variadas como cada relación en sí misma.
Como cualquier relación, las condiciones pueden cambiar con el tiempo y las actitudes sobre el compromiso pueden flaquear.
"Es una asociación, en el sentido de que debe ser transparente cuando se trata de riesgos de seguridad y administrar eso con el proveedor”, afirma Hunter. "Estamos al frente con nuestros procesos y la actividad correctiva que se necesita. Si vemos inquietudes importantes, trabajamos con el proveedor con la expectativa de que lo solucionen. Si no lo hacen, o no están dispuestos a hacerlo, nuestra empresa debe tomar una decisión para determinar si podemos trabajar con ellos”.
David Weldon, CSO (EE.UU.)