Los cuestionarios de seguridad informática se han convertido en una realidad y un costo de la actividad empresarial. Sin embargo, los encuestados suelen quejarse de que son manuales, están mal estructurados y mal redactados, lo que supone una enorme pérdida de tiempo. Cuando se hace correctamente, la debida diligencia puede mejorar las relaciones con los proveedores, no solo la seguridad de la cadena de suministro.

En 2023, cuando el 50% de las filtraciones se producen a través de terceros de confianza, una organización tiene que tratar el riesgo de terceros como una extensión de su propia postura de seguridad. Los cuestionarios pueden haberse convertido en un dolor de cabeza para las empresas y sus proveedores, pero no tienen por qué serlo. Un cuestionario digitalizado y bien estructurado que formule las preguntas adecuadas con claridad y precisión es algo poco frecuente, pero no es difícil de conseguir.

Tanto si está evaluando a un contratista para un proyecto puntual como a un posible proveedor de servicios críticos ("Critical Third Party", CTP), aquí tiene cinco aspectos fundamentales que sus cuestionarios no deben pasar por alto.

1. Las personas: Formación y sensibilización

Los errores básicos siguen siendo la principal fuente de filtraciones de datos. Por muchas historias de terror que la gente escuche sobre ransomware y virus, el impulso de "hacer clic aquí" en un correo electrónico sospechoso resulta irresistible con demasiada frecuencia. A medida que las técnicas de ingeniería social se vuelven más avanzadas gracias a la IA, debe asegurarse de que todos sus terceros tienen en cuenta el factor humano (y de que usted también lo hace).

  • ¿Recibe el tercero formación periódica y obligatoria sobre ciberseguridad?
  • ¿La formación incluye la sensibilización sobre la suplantación de identidad y los riesgos de la ingeniería social?
  • ¿Cuál es el proceso del tercero para informar sobre correos electrónicos sospechosos o posibles incidentes?

2. Protección de datos y privacidad

Interrogar a sus terceros sobre sus prácticas de tratamiento de datos le dirá mucho sobre cómo puede esperar que traten su información sensible.

Incorporar un CTP a su red conlleva un riesgo añadido si usted pertenece a un sector regulado y su CTP no lo está: tendrá que asegurarse de que cumplen sus propias normas de cumplimiento y de que pueden demostrarlo a las partes interesadas.

  • ¿Cómo clasifica y protege el tercero los datos confidenciales?
  • ¿Dispone de un plan de recuperación para proteger su resiliencia operativa?
  • ¿Cuál es su política de conservación de datos? Aparte de incumplir la mayoría de las normativas (por ejemplo, el GDPR), el acaparamiento de datos es un riesgo de seguridad inaceptable.

3. Control de acceso y autenticación

En una nota relacionada con la protección de datos, examine qué medidas toma su tercero para protegerse en sus relaciones con sus propios terceros. Este tipo de "gestión del riesgo de cuarta parte" puede sonar a añadir capas de complejidad a un proceso ya de por sí exhaustivo, pero es inevitable y necesario. El "riesgo de cuarta parte" ni siquiera empieza a captar la magnitud de los peligros a los que se expone su organización -probablemente sea mejor describirlo como "riesgo omni-parte"-, pero existen herramientas automatizadas que pueden ayudarle a gestionarlo. Pregunte a sus terceros:

  • ¿Cómo gestionan su propio acceso de terceros y la gestión de proveedores?
  • ¿Cómo es el proceso de baja cuando se trata de revocar privilegios de acceso?
  • ¿Cómo gestionan el acceso de los usuarios? ¿Utilizan autenticación multifactor (MFA)?

4. Seguridad: Políticas y procedimientos

La administración no es la tarea favorita de todo el mundo, pero desempeña un papel vital para garantizar la continuidad de la empresa en caso de un incidente cibernético.

Crear políticas y procedimientos es una cosa, pero mantenerlos actualizados y tener a alguien encargado de su aplicación es otra. Su tercero puede tener un equipo de seguridad dedicado, pero ¿quién tiene la responsabilidad de hacer cumplir y mantener sus políticas y procedimientos de ciberseguridad? ¿Alguien ajeno al equipo de seguridad informática los conoce (véase "Formación y sensibilización")?

  • ¿Cuándo se actualizaron por última vez las políticas y procedimientos del tercero?
  • ¿Quién es su propietario?
  • ¿Cuál es el proceso de respuesta a los incidentes de seguridad?

5. Seguridad de sistemas y redes

Como ya hemos dicho, saber cómo tratan los terceros a sus propios proveedores es clave para comprender la amplitud de su propia superficie de ataque. En un mundo ideal, todas las organizaciones funcionarían con un modelo de responsabilidad compartida y mantendrían continuamente sus posturas de seguridad en un esfuerzo por protegerse mutuamente, así como a sí mismas.

Hasta que llegue ese dichoso día, solo se puede controlar lo que usted puede controlar. Usted debe ser capaz de demostrar a todas las partes interesadas que está haciendo todo lo posible para gestionar y mitigar el riesgo, así como para prevenir las filtraciones de datos.

Para ello, empiece a considerar a sus terceros como parte de su propia postura de ciberseguridad. Esto minimizará su propio número de vectores de ataque y mejorará su calificación de seguridad.

  • ¿Qué tipo de supervisión de amenazas cibernéticas realiza el tercero?
  • ¿Cuál es su calificación de riesgo?
  • ¿Sus sistemas y programas se revisan y actualizan periódicamente?
  • ¿Utiliza el cifrado para todos sus datos, en tránsito y en reposo?

Nuestra solución: Orbit Diligence

En lugar de hacer malabares con múltiples herramientas de código abierto y de pago, Orbit Diligence automatizará la creación, emisión, comunicación y generación de informes de sus cuestionarios de seguridad informática.

La elaboración de informes es esencial para cualquier equipo de seguridad informática, y hablar el idioma de la alta dirección es crucial. Nosotros le ayudamos proporcionándole informes listos para usar:

Informes de gestión

Nuestras calificaciones de ciberseguridad presentan información compleja de forma que sea fácil de entender tanto para las partes interesadas ajenas a su equipo como para la alta dirección, lo que le permite comunicar de forma clara y eficaz cuáles son sus puntos débiles en materia de seguridad y qué recursos necesita para abordarlos.

Informes sobre riesgos de proveedores

Recibirá una notificación instantánea si se reduce la calificación de seguridad de uno de sus terceros. Nos pondremos en contacto con ellos a petición suya para proporcionarles acceso gratuito y completo a su propia evaluación de inteligencia sobre amenazas, mejorando la seguridad de todo su ecosistema

Orbit Diligence

Orbit Diligence

Automatice sus procesos de debida diligencia y solicitudes de información para una amplia gama de casos, accediendo a una biblioteca de marcos de riesgo y cuestionarios, listos para usar.
Descubra más

Contacte un experto

Luis Carlos Nino

Luis Carlos Nino

Director | Analítica

lnino@thomasmurray.com
Daniela Gomez

Daniela Gomez

Ejecutiva de cuentas | Ventas de SaaS y éxito del cliente

dgomez@thomasmurray.com