La empresa promedio comparte información confidencial con 583 proveedores terceros  — y el 82% de las empresas proporcionan a esos terceros acceso a sus datos sensibles.

En el panorama empresarial interconectado de hoy, la superficie de ataque de una organización se extiende mucho más allá de su propia infraestructura de TI. Evaluar y gestionar los riesgos de terceros es esencial para proteger tus operaciones contra amenazas externas.

A continuación, profundizaremos en la importancia de la seguridad de terceros, compartiremos un proceso paso a paso para evaluar el riesgo de terceros y definiremos KPIs para medir el éxito de tu programa TPRM.

Entender la gestión del riesgo de terceros (TPRM): ¿Qué es la seguridad de terceros?

Los proveedores terceros son empresas que tienen acceso a los activos de datos sensibles de tu organización, como proveedores de servicios, plataformas de computación en la nube, centros de datos, procesadores de nóminas y proveedores.

Si bien trabajar con proveedores terceros permite a las organizaciones escalar más rápido, mejorar los procesos y trabajar de manera más eficiente, también introducen riesgos. Cada proveedor tercero que tiene acceso a tus sistemas ofrece a los actores malintencionados un posible punto de acceso a los datos sensibles de tu empresa o clientes.

Según un Informe de Investigaciones de Brechas de Datos de Verizon, el 62% de todas las brechas de datos ocurren a través de proveedores terceros.

Por eso la seguridad de terceros es tan esencial; tener un conjunto de prácticas y herramientas que puedan ayudar a identificar los riesgos de terceros y reducir su probabilidad e impacto puede proteger a tu organización y a tus clientes de amenazas serias. Sin mencionar que no gestionar adecuadamente los riesgos de terceros puede exponer a tu organización a daños regulatorios, financieros, legales y reputacionales.

La amenaza del riesgo de seguridad de terceros en 2024

Los riesgos de terceros continúan evolucionando junto con el panorama más amplio de la seguridad de la información. Nuevas tecnologías como la IA, cambios en las prácticas comerciales globales, nueva legislación y requisitos regulatorios, y otros factores hacen que las sólidas prácticas de gestión de riesgos de terceros sean críticas para las organizaciones en 2024 y más allá.

• En los últimos dos años, el 82% de las organizaciones ha experimentado una o más brechas de datos causadas por un tercero, costando un promedio de $7.5 millones para remediarlas.
• Solo el 34% de los encuestados confía en que un tercero principal les notificaría de un incidente de seguridad o una brecha de datos.
• El 98% de las organizaciones tiene relaciones con al menos un tercero que ha experimentado una brecha en los últimos dos años.
• Por cada proveedor externo en su cadena de suministro, las organizaciones típicamente tienen relaciones indirectas con 60 a 90 veces ese número de relaciones de cuarto grado.
• En comparación con la organización principal, los proveedores externos son cinco veces más propensos a exhibir una mala seguridad. Aproximadamente el 10% de los proveedores externos reciben una calificación F entre las organizaciones que obtienen una calificación A para su propia postura de seguridad.
• En promedio, la identificación y contención de una brecha en la cadena de suministro toma 26 días más que el promedio global para otros tipos de brechas.

Tipos de riesgos de seguridad de terceros

Asociarse con proveedores externos puede introducir varios tipos de riesgos en su organización. A continuación se presentan muchos de los riesgos más comunes a tener en cuenta al construir un programa de gestión de riesgos de terceros.

1. Riesgo de ciberseguridad: El riesgo de una brecha de seguridad de datos o un ciberataque a un tercero que tiene acceso a los sistemas o activos de datos de su organización, permitiendo a los piratas informáticos u otros actores malintencionados el acceso no autorizado a sus redes.
2. Riesgo de cumplimiento: Muchas regulaciones requieren que las organizaciones realicen la debida diligencia para asegurarse de que cualquier proveedor con el que trabajen tenga protecciones de datos adecuadas en su lugar. Por ejemplo, HIPAA requiere que las organizaciones de atención médica verifiquen que sus asociados comerciales protejan la PHI. Si un proveedor externo no cumple con los requisitos regulatorios y legales, su organización puede estar expuesta a sanciones por violación.
3. Riesgo reputacional: Si una brecha de datos, incidente de seguridad o malas prácticas comerciales salen a la luz en un proveedor externo, su organización podría sufrir daños reputacionales por asociación.
4. Riesgo financiero: Si un tercero del que depende enfrenta dificultades financieras o quiebra, su organización podría sufrir pérdida de ingresos o costos excesivos, especialmente si depende en gran medida de sus servicios o productos.
5. Riesgo operativo: El riesgo de que el tercero no entregue servicios o productos como se espera, lo que puede interrumpir sus operaciones comerciales y compromisos con los clientes.
6. Riesgo estratégico: Si los objetivos estratégicos de un proveedor externo no se alinean con los de su organización, sus estrategias u operaciones pueden cambiar de una manera que sea perjudicial para su negocio.

Cómo realizar una evaluación de riesgos de seguridad de terceros

Una evaluación de riesgos de terceros es una herramienta esencial para comprender, cuantificar y reducir cualquier riesgo asociado con proveedores y suministradores externos. Estas evaluaciones de riesgos son importantes por algunas razones clave:

• Ofrecen una mejor comprensión del nivel y tipos de riesgos que asumiría con cada relación con el proveedor. Con este conocimiento, podrá tomar decisiones más informadas sobre cómo gestionar y mitigar esos riesgos de manera efectiva, o evitar asumir riesgos innecesarios por completo.
• Te brindan información crítica sobre las prácticas de ciberseguridad y privacidad de datos de un proveedor. Cuando das a un proveedor acceso a tu entorno de TI, necesitas la certeza de que se toma la ciberseguridad tan en serio como tú. Una evaluación de riesgos o un cuestionario de diligencia debida puede ayudarte a entender los controles de seguridad que han implementado y qué tan bien protegidos estarían tus datos sensibles en caso de un ataque externo.
• Podrás verificar tu propio nivel de cumplimiento con cualquier regulación o estándar de la industria que requiera que trabajes con proveedores conformes, como el RGPD, CCPA, NYDFS, PCI DSS y HIPAA. También cumplirás con los requisitos de cumplimiento para regulaciones que requieren evaluaciones regulares de riesgos de terceros.
• Adoptarás un enfoque proactivo para proteger la salud financiera y reputacional de tu empresa. La asociación con un proveedor comprometido podría tener implicaciones importantes para tu negocio, con consecuencias financieras inmediatas y pérdida de confianza de los clientes.

Aquí tienes una guía paso a paso sobre cómo completar una evaluación de riesgos de terceros.

Paso 1: Determina un nivel aceptable de riesgo de terceros

Los niveles aceptables de riesgo de terceros a menudo están dictados por los objetivos estratégicos de la organización, el entorno regulatorio, las capacidades operativas y la capacidad financiera.

Diferentes unidades de negocio también pueden tener diferentes tolerancias al riesgo, por lo que las decisiones sobre niveles aceptables de riesgo deben involucrar a múltiples partes interesadas de la organización. Incluye a la alta dirección, equipos legales, de TI, seguridad, cumplimiento y personal de operaciones en las discusiones sobre la definición de un nivel aceptable de riesgo.

Paso 2. Identifica los riesgos relevantes

Diferentes proveedores también conllevan diferentes niveles de riesgo. Aquí hay algunas preguntas para ayudar a identificar posibles riesgos de terceros:

• ¿Tendría el proveedor acceso a redes internas? ¿Qué nivel de acceso se le otorgaría?
• ¿Existen requisitos regulatorios específicos asociados con el proveedor, como HIPAA o RGPD?
• ¿El proveedor depende de otros terceros que podrían representar un riesgo para la entrega de su servicio? ¿Cómo gestionan y monitorean sus propios riesgos de cadena de suministro?
• ¿El proveedor ha tenido algún historial de brechas o incidentes?
• ¿El proveedor cumple con SOC 2 o ISO 27001?
• ¿Qué medidas tiene el proveedor para garantizar la continuidad del negocio en caso de un desastre?

Paso 3: Evalúa el entorno de control actual y la postura de ciberseguridad del proveedor de terceros

La diligencia debida o un cuestionario de seguridad siempre deben ser parte de tu proceso de adquisición de proveedores. Asegúrate de que cualquier proveedor con el que puedas asociarte cumpla con tus requisitos de seguridad antes de continuar.

• ¿Qué controles de seguridad tienen actualmente implementados para mitigar riesgos?
• ¿Con qué estándares de seguridad cumplen y cuándo se completó su auditoría externa más reciente?
• ¿El proveedor ha sufrido una brecha de datos o un incidente de seguridad importante, o ha sido objeto de intervención regulatoria?
• ¿El proveedor tiene un plan de respuesta a incidentes? ¿Ese plan incluye notificar a tu organización sobre un incidente de seguridad o brecha de datos?
• ¿El proveedor tiene un plan robusto de continuidad del negocio y recuperación ante desastres? ¿Cómo han gestionado interrupciones o crisis en el pasado?
• ¿Realizan pruebas de penetración, escaneos de vulnerabilidades o auditorías de seguridad internas regularmente?

Si no estás seguro de qué preguntar, consulta nuestra plantilla de cuestionario de seguridad para proveedores para una lista completa de preguntas de evaluación de seguridad.

Paso 4: Comprender los riesgos de las terceras partes

¿Subcontratará este proveedor alguna operación a otros proveedores? Muchas organizaciones tienen visibilidad limitada o control sobre las relaciones con terceras partes, sin embargo, estos subcontratistas también pueden introducir riesgos significativos en las operaciones de su negocio.

Para mitigar eficazmente los riesgos de terceras partes, las organizaciones necesitan ampliar sus marcos de gestión de riesgos y procesos de diligencia debida más allá de los proveedores directos para asegurarse de que los proveedores de terceros gestionen sus subcontratistas de manera efectiva.

Pregunte a los proveedores sobre sus propios programas de gestión de riesgos de terceras partes para comprender cómo evalúan y monitorean a los proveedores de terceras partes. También se recomienda incluir cláusulas de riesgos de terceras partes en los contratos de los proveedores:

• Incluya una cláusula que le permita auditar la gestión de los subcontratistas por parte del proveedor de terceros o que requiera que proporcionen informes de auditoría.
• Estipule que los proveedores de terceros deben asegurarse de que sus subcontratistas cumplan con un estándar específico de seguridad, privacidad y/o cumplimiento relevante para su industria, como SOC 2, ISO 27001, HIPAA o NIST 800-53.
• Defina la responsabilidad en caso de una brecha de seguridad o pérdida de datos de una tercera parte.
• Exija que la tercera parte le notifique rápidamente cualquier problema con subcontratistas que pueda afectar a su organización.
• Requiera que los proveedores de terceros revelen información sobre los subcontratistas clave que estén involucrados en operaciones comerciales críticas o manejan datos sensibles.
• Considere exigir a los proveedores de terceros que tengan un seguro de ciberseguridad que cubra los daños causados por los subcontratistas.

Paso 5: Clasificar los riesgos de terceros utilizando un registro y una matriz de riesgos

A continuación, deberá evaluar la probabilidad y el impacto potencial de cada riesgo de proveedor. Esto facilitará la priorización de los riesgos, la comparación de proveedores y el enfoque en mitigar los riesgos más urgentes que enfrenta su organización.

Agregue los riesgos de terceros a su registro de riesgos para mantener una vista integral del perfil de riesgo de su organización y la superficie de ataque. Luego, use una matriz de riesgos para priorizar los riesgos de terceros y crear un plan de mitigación.

Una matriz de riesgos clasifica los riesgos según las puntuaciones de probabilidad e impacto. Los riesgos que tienen una alta probabilidad de ocurrencia y que tendrían un impacto significativo en su negocio tienen una prioridad más alta que los riesgos menos severos.

La plataforma Secureframe utiliza escalas cualitativas y cuantitativas para su función de registro de riesgos:

Paso 6: Seleccionar un proveedor de terceros y establecer controles de mitigación

Después de crear una lista corta de proveedores de terceros para asociarse, es posible que requiera que implementen controles adicionales para ganar su negocio.

Incluya cualquier nivel mínimo de servicio o requisitos básicos de seguridad y cumplimiento en su contrato con el proveedor, por ejemplo, que el proveedor tenga la obligación de mantener una certificación ISO 27001 activa o someterse a una auditoría SOC 2 anual.

Paso 7: Monitorear continuamente el riesgo de terceros

Las evaluaciones de riesgos de terceros no son un trato único. Después de incorporar un nuevo proveedor, siga realizando evaluaciones de riesgos de terceros anualmente para mantener una imagen clara y actualizada de su entorno de riesgo. Actualice las puntuaciones de riesgo de los proveedores según sea necesario y señale cualquier proveedor que exceda su umbral de riesgo establecido.

Paso 8: Definir una estrategia de salida para proveedores

Si una nueva evaluación de riesgos revela que un proveedor ya no cumple con su nivel de riesgo aceptable, es posible que decida terminar la relación. Desincorporar adecuadamente a un proveedor es tan importante como incorporarlo con éxito, así que tenga un plan para cada etapa del ciclo de vida del proveedor.

Durante la desincorporación, deberá eliminar el acceso de un proveedor a su infraestructura de TI y a los activos de datos para mantener una seguridad sólida y reducir el riesgo de una brecha. Asegúrese de:

• Desautorizar todas las cuentas y credenciales de inicio de sesión del proveedor, incluidas las credenciales compartidas
• Desautorizar las credenciales a API, VPN, aplicaciones para compartir archivos y de mensajería
• Solicitar la devolución de cualquier equipo de la empresa
• Revocar cualquier acceso físico otorgado a los centros de datos o activos de información
• Asegúrese de que cualquier dato obtenido por el proveedor haya sido debidamente eliminado
• Mantenga registros de acceso para pistas de auditoría y para detectar intentos de acceso no autorizados

Métricas y KPIs para medir el éxito del programa de gestión de riesgos de terceros

Medir la eficacia de su programa de gestión de riesgos de terceros implica varias métricas clave. Estos KPIs y KRIs pueden ayudar a evaluar qué tan bien está gestionando los riesgos asociados con las relaciones con terceros.

Estas métricas incluyen:

1. Número de proveedores sin una evaluación de riesgos actual: Establecer una política de gestión de riesgos de proveedores puede asegurar que todos en su organización adhieren a los requisitos y siguen el proceso definido de evaluación de riesgos de terceros.
2. Tasa de aprobación de cuestionarios de seguridad: Si todos los proveedores que evalúa satisfacen sus requisitos de seguridad, es probable que no sean lo suficientemente rigurosos. Asegúrese de que los cuestionarios ofrezcan una evaluación integral de las prácticas de gestión de riesgos del proveedor y los controles de seguridad.
3. Número de problemas de cumplimiento actuales o hallazgos de seguridad: Cuantos más problemas haya, más probable es que el proveedor experimente sanciones o violaciones de cumplimiento normativo. Los proveedores no conformes tienen implicaciones importantes para su propio estado de cumplimiento.
4. Tasa de cumplimiento: Porcentaje de terceros que cumplen con las políticas y estándares de seguridad de su organización.
5. Tiempo de respuesta a incidentes: Tiempo que se tarda en identificar y responder a incidentes de seguridad que involucran a terceros.
6. Eficacia de la mitigación de riesgos: Evalúe qué tan eficazmente se mitigan o gestionan los riesgos de terceros identificados. Esto puede incluir revisar el éxito de los controles implementados.
7. Exposición al riesgo de cuartos: Comprender el riesgo que representan los propios proveedores de sus terceros. Es crucial saber qué tan bien gestionan sus terceros los riesgos secundarios.

Fortalezca su gestión de riesgos de seguridad de terceros con Secureframe

La plataforma de automatización GRC de Secureframe cuenta con una gestión robusta de proveedores y una solución de gestión de riesgos integral para ayudarle a construir y mantener una postura de seguridad sólida.

• Los flujos de trabajo de evaluación de riesgos mejorados por IA identifican el riesgo, asignan puntuaciones de riesgo y sugieren planes de tratamiento de riesgos con solo unos clics.
• Documente planes de tratamiento de riesgos y vea el historial de riesgos para mostrar a los auditores y partes interesadas los pasos que ha tomado para mitigar el riesgo y fortalecer su postura de seguridad.
• Construya su registro de riesgos con nuestra biblioteca de riesgos integral que incluye escenarios de riesgo NIST para categorías como Fraude, Legal, Finanzas e IT.
• Haga un seguimiento de la salud del control y señale vulnerabilidades con la supervisión continua en todo su stack tecnológico.
• Utilice la automatización, el aprendizaje automático y la Base de Conocimiento de Secureframe para automatizar las respuestas a cuestionarios de seguridad y RFPs.
• Utilice un Secureframe Trust Center para demostrar a terceros su propio cumplimiento y postura de seguridad

Obtenga más información sobre cómo Secureframe puede agilizar la seguridad y el cumplimiento y mejorar su gestión de riesgos programando una demostración con un experto en productos.