En un artículo pasado (Alineación de la estrategia de ciberseguridad con el negocio”) comentaba sobre el uso del modelo del Canvas (9 building blocks”) para analizar diferentes aspectos del negocio y así lograr alinear la estrategia de ciberseguridad. Uno de los aspectos a considerar es el de los aliados clave, aquellas organizaciones o personas externas que nos ayudan a realizar las actividades clave o a obtener los recursos clave para crear nuestra propuesta de valor. 

En los últimos meses ha tomado mucha relevancia un concepto denominado “Gestión de riesgos de terceras partes”, pues se ha observado una tendencia a atacar a estos proveedores, para así vulnerar a la organización que es el objetivo real del ataque 

 Para atender este nuevo frente, primero debemos analizar cuál es nuestra cadena de suministro y de valor; qué actividades clave realizan estos aliados; a qué recursos clave tienen acceso; a qué tipo y cantidad de datos de nuestra organización o clientes tienen acceso; qué probabilidad e impacto habría en los resultados, rendimiento, imagen y reputación de nuestra organización en caso de que un aliado clave recibiera un ciberataque. 

De acuerdo con un estudio de Zurich y del Business Continuity Institute, denominado Supply Chain Resilience Report 2019, la segunda causa de interrupción o afectación a la cadena de suministro fueron los ciberataques y la fuga de datos (26.1% del total). Si bien no es tan alto el porcentaje, se identifica como la principal preocupación para este 2020 por 61.7% de los encuestados.  

Además, 48.9% de las interrupciones se debió a proveedores de nivel 1; el resto, a proveedores de nivel 2 y 3, lo que nos indica que no sólo hay considerar a los proveedores más importantes, sino a todos. 

La gestión de la seguridad de terceras partes es el proceso de analizar y gestionar el riesgo asociado con proveedores de servicios que poseen de una u otra forma acceso a la información sensible de nuestra organización (información confidencial, propiedad intelectual, datos personales de clientes, información financiera, etc.). 

Los responsables de la seguridad deben garantizar que cada tercero que forme parte de la organización aborde de forma adecuada y completa la protección de la información que se le da, asimismo, que evite las posibles interrupciones de los procesos principales en los que ellos participan. 

Esta validación se debe hacer, idealmente, en dos momentos: 

  • Al iniciar la relación contractual(due dilligence). Consiste en investigar y evaluar qué tan robustas son las prácticas de ciberseguridad del potencial proveedor cuando se convoca a un RFP o a una licitación y se definen los alcances, responsabilidades y el esquema de trabajo con el tercero. 
  • De forma continua durante la relación comercial a través de auditorías periódicas y automatizadas complementadas con entrevistas y cuestionarios. 

Y el proceso debe considerar, entre otros, los siguientes aspectos: 

  • Inventariar todas las terceras partes con las que la organización guarda relación. 
  • Establecer los criterios para clasificar las terceras partes según su criticidad; se debe considerar el tipo de relación que existe, qué genera (producto o servicio) y a qué información tiene acceso. 
  • Identificar y catalogar el riesgo que cada tercera parte pudiera implicar para la organización, pudiendo ser un riesgo estratégico, riesgo a la seguridad de la información, al cumplimiento o a la resiliencia de la organización. 
  • Definir mecanismos de tratamiento para los riesgos identificados, empezando por las terceras partes de mayor riesgo y los más críticos para la organización, asimismo, se deberán definir las evidencias que el tercero deberá generar para demostrar que ha atendido los hallazgos de manera adecuada. Por ejemplo, un mecanismo a considerar podría ser adicionar una cláusula en los contratos con terceros para permitir la evaluación de su ciberseguridad, para permitir hacer auditorías, y la obligación del proveedor de mantener un nivel adecuado en sus prácticas 
  • Definir en la organización un responsable de gestionar el riesgo de las terceras partes. Se debe considerar el establecimiento de las tres líneas de defensa: 1) definir/establecer quiénes serán los dueños de esos riesgos y dejar claro que ellos deberán gestionarlo, 2) definir/establecer las funciones de vigilancia y cumplimiento, 3) realizar revisiones independientes. 
  • Monitoreo y revisión continuos del nivel de cumplimiento de los terceros. 
  • Integrar la gestión de riesgos de terceras partes al marco de referencia de gestión de riesgos empresarial que haya en la organización.

Establecer la capacidad para la gestión del riesgo de terceras partes es una iniciativa que toda organización debe abordar si busca lograr una mejor ciberpostura y madurar su estrategia de ciberseguridad. Esto implica no solo elegir una plataforma tecnológica que facilite la evaluación, sino también la instauración de un modelo de gobierno y el involucramiento de las áreas de negocio y de la alta dirección. 

 Referencias: 

https://insider.zurich.co.uk/app/uploads/2019/11/BCISupplyChainResilienceReportOctober2019SingleLow1.pdf 

https://www.bitsight.com/blog/how-to-develop-a-vendor-cyber-risk-management-framework 

https://www.isaca.org/resources/isaca-journal/issues/2017/volume-6/a-riskbased-management-approach-to-thirdparty-data-security-risk-and-compliance 

The Complete Guide to Building your Third-Party Risk Management Program in 2020, SecurityScorecard 

The Cyber Risk Handbook, creating and measuring effective cybersecurity capabilities. Domenic Antonucci