Los cuestionarios de seguridad de TI se han convertido en una realidad de la vida y un costo de hacer negocios. Sin embargo, los encuestados con frecuencia se quejan de que dichos cuestionarios son manuales, están mal estructurados y redactados, y lo que hacen es generar una gran pérdida de tiempo. Cuando se hace correctamente, la debida diligencia puede mejorar las relaciones con los proveedores, no solo la seguridad de la cadena de suministro.
En 2023, con el 50% de las infracciones que se producen a través de terceros de confianza, cualquier organización seria y responsable tiene que tratar el riesgo de terceros como una extensión de su propia postura de seguridad. Los cuestionarios pueden haberse convertido en un dolor de cabeza para las empresas y sus proveedores, pero no tienen por qué serlo. Un cuestionario bien estructurado y digitalizado que haga las preguntas correctas con claridad y precisión es algo raro, pero no es difícil de lograr.
Ya sea que esté evaluando a un contratista para un proyecto único o a un posible proveedor externo crítico (PEC), aquí hay cinco cosas fundamentales que sus cuestionarios no deben pasar por alto.
1. Personas: Formación y sensibilización
Los errores básicos siguen siendo la principal fuente de violaciones de datos. No importa cuántas historias de terror escuche la gente sobre ransomware y virus, la necesidad de "hacer clic aquí" en un correo electrónico poco fiable con demasiada frecuencia resulta irresistible. A medida que las técnicas de ingeniería social se vuelven más avanzadas gracias a la inteligencia artificial (IA), debe asegurarse de que todos sus terceros tengan en cuenta el factor humano.
- ¿El tercero tiene capacitación regular y obligatoria sobre ciberseguridad?
- ¿La capacitación cubre la conciencia de phishing y los riesgos de la ingeniería social?
- ¿Cuál es el proceso del tercero para reportar correos electrónicos sospechosos o posibles incidentes?
2.Protección de datos y privacidad
Interrogar a sus terceros sobre sus prácticas de manejo de datos le dirá mucho sobre cómo puede esperar que traten su información confidencial.
Incorporar un PEC a su entorno de red conlleva un riesgo adicional si se encuentra en una industria regulada y su PEC no lo está. La entidad regulada deberá asegurarse de que el PEC cumplan con sus propios estándares de cumplimiento y puedan demostrar que lo hacen a sus partes interesadas.
- ¿Cómo clasifica y protege el tercero los datos confidenciales?
- ¿Tiene un plan de recuperación para proteger su resiliencia operativa?
- ¿Cuál es su política de retención de datos? Además de no cumplir con la mayoría de las regulaciones (por ejemplo, manejo de datos personales), el acaparamiento de datos es un riesgo de seguridad inaceptable.
3. Control de acceso y autenticación
En una nota relacionada con la protección de datos, examine qué medidas toma su tercero para protegerse en sus relaciones con sus propios terceros. Esta forma de la llamada "gestión de riesgos de cuarta parte" puede sonar como agregar capas de complejidad a un proceso ya exhaustivo, pero es inevitable y necesaria. El "riesgo de cuarta parte" ni siquiera comienza a capturar la escala de los peligros a los que está expuesta su organización, probablemente se describa mejor como "riesgo omnipartidista", pero existen herramientas automatizadas que pueden ayudarlo a administrarlo.
Pregunte a sus terceros:
- ¿Cómo manejan su propio acceso de terceros y la administración de proveedores?
- ¿Cómo es el proceso de baja cuando se trata de revocar los privilegios de acceso?
- ¿Cómo gestionan el acceso de los usuarios? ¿Utilizan la autenticación multifactor (sigla en inglés: MFA)?
4. Seguridad: Políticas y procedimientos
La administración no es la tarea favorita de todos, pero cumple un papel vital para garantizar la continuidad del negocio en caso de un incidente cibernético.
Crear políticas y procedimientos es una cosa, pero mantenerlos actualizados y tener a alguien a cargo de su implementación es otra. Su tercero puede tener un equipo de seguridad dedicado, pero ¿quién tiene la responsabilidad de hacer cumplir y mantener sus políticas y procedimientos de ciberseguridad? ¿Alguien fuera del equipo de seguridad de TI los conoce (consulte "Formación y concienciación")?
- ¿Cuándo se actualizaron por última vez las políticas y procedimientos del tercero?
- ¿Quién tiene la propiedad de ellos?
- ¿Cuál es el proceso para responder a los incidentes de seguridad??
5. Seguridad de sistemas y redes
Como hemos mencionado, controlar cómo sus terceros tratan con sus propios proveedores es clave para comprender la amplitud de su propia superficie de ataque. En un mundo ideal, todas las organizaciones estarían operando en un modelo de responsabilidad compartida y manteniendo continuamente sus posturas de seguridad en un esfuerzo por protegerse mutuamente, así como a sí mismas.
Hasta que llegue ese día ideal, las empresas solo pueden controlar lo que está bajo su control. Estas deben ser capaz de demostrar a todas sus partes interesadas que está haciendo todo lo posible para gestionar y mitigar el riesgo, así como para prevenir las violaciones de datos.
Con ese fin, comience a ver a sus terceros como parte de su propia postura de seguridad cibernética. Esto minimizará su propio número de vectores de ataque y mejorará su calificación de seguridad.
- ¿Qué tipo de monitoreo de amenazas cibernéticas hace el tercero?
- ¿Cuál es su calificación de riesgo?
- ¿Sus sistemas y software se arreglan y actualizan regularmente?
- ¿Utiliza cifrado para todos sus datos, en tránsito y en reposo?
Nuestra solución: Orbit Diligence
En lugar de hacer malabarismos con múltiples herramientas de código abierto y de pago, Orbit Diligence automatizará la creación, emisión, comunicación e informes de su cuestionario de seguridad de TI.
La presentación de informes es esencial para cualquier equipo de seguridad de TI, y hablar el idioma de la alta dirección es crucial. Ayudamos proporcionando informes listos para usar:
Informes de gestión
Nuestras calificaciones de seguridad cibernética presentan información compleja de una manera que es fácil de entender tanto para las partes interesadas fuera de su equipo como para la alta gerencia, lo que le permite comunicar de manera clara y efectiva cuáles son sus puntos débiles de seguridad y qué recursos necesita para abordarlos.
Informes de riesgos de proveedores
Se le notificará instantáneamente si uno de sus terceros tiene su calificación de seguridad degradada. Nos comprometeremos con ellos a petición suya para proporcionar acceso gratuito y completo a su propia evaluación de inteligencia de amenazas, mejorando la seguridad de todo su ecosistema.