Shreeji Doshi trabaja con nuestro equipo de asesoramiento cibernético como director de gobierno, riesgo y cumplimiento, y es miembro asociado de la Coalición Belga de Seguridad Cibernética. Como parte de la serie de podcasts DORA Talks, Shreeji ha hablado con expertos de Thomas Murray sobre el impacto de la Ley de Resiliencia Operativa Digital de la UE (DORA).
Este artículo se basa en la transcripción de la discusión de Shreeji con Phoebe Jordan, directora gerente de gestión de riesgos de terceros aquí en Thomas Murray, y Nita Sinha. Nita gestiona nuestras operaciones tecnológicas, o equipo de operaciones tecnológicas, y también ha liderado el desarrollo de nuestro producto TPRM.
El panel analizó cómo DORA puede mejorar las prácticas de gestión de riesgos y cómo la tecnología puede ayudar a organizaciones de todos los tamaños a identificar su 'única fuente de verdad'.
Phoebe Jordan
Entonces, para empezar, Shreeji, ¿podrías darnos un poco de contexto sobre por qué DORA está enfocándose en el riesgo de terceros de TI y cuáles son los puntos interesantes?
Shreeji Doshi
Lo que los reguladores intentan con DORA es lograr estabilidad y resiliencia en la industria de servicios financieros, ese es su objetivo principal, y defender a la industria de los diversos tipos de ciberataques. Y hemos visto un gran aumento en esos ataques en la industria de servicios financieros.
Ahora, la razón por la que los terceros se convierten en una parte crítica de esta ecuación es porque hay tantos ataques que han surgido de un tercero.
Phoebe Jordan
¿Y hay alguno que te venga a la mente especialmente?
Shreeji Doshi
Hay muchos de ellos. Algunos que me vienen a la mente son el ataque a LastPass, que es una herramienta de administración de contraseñas, tuvieron una gran brecha.
El otro, que creo que es muy significativo, fue Okta, porque proporciona soluciones de gestión de identidad y acceso. Aunque en la divulgación indicaron que no muchas organizaciones se vieron afectadas, un proveedor de terceros de TIC como Okta, que proporciona soluciones de gestión de identidad y acceso, si tiene una brecha, provoca ramificaciones significativas para todos sus clientes.
En esa brecha, el atacante pudo acceder a tokens de sesión de varios entornos de clientes, y con estos pudieron acceder a organizaciones que eran clientes de Okta.
Si, por ejemplo, hay muchas organizaciones financieras dentro de la UE que dependen de una solución como Okta, que proporciona soluciones de gestión de identidad y acceso, las ramificaciones son significativas. Entonces, estos terceros críticos de TIC presentan un riesgo significativo para toda la industria de servicios financieros en su conjunto si tienen una brecha.
Phoebe Jordan
Entiendo. Eso tiene mucho sentido. Obviamente, nadie quiere una brecha de un tercero. ¿Qué está diciendo DORA sobre la gestión de terceros, cómo se supone que deben proceder las organizaciones?
Shreeji Doshi
Hay matices en los requisitos de DORA en el contexto de la gestión de riesgos de terceros. El alcance se limita a terceros de TIC, y tiene sentido porque DORA trata sobre resiliencia digital, por lo que está examinando la destrucción digital causada por terceros de TIC. Lo que DORA está solicitando a un nivel muy alto de las entidades financieras, en la gestión del riesgo de terceros de TIC, es que a nivel fundamental necesitan tener un inventario de todos los terceros de TIC y terceros que respaldan funciones críticas.
La mayoría de las organizaciones tendrían algún tipo de proceso de gestión de inventario, pero en mi experiencia, esto es algo que necesitarían formalizar.
Además de eso, debe haber un marco de gestión de riesgos de terceros que evalúe todos los tipos de riesgos de terceros de TIC, no solo de TI y ciberseguridad, sino también legales, financieros, etc.
Un requisito muy interesante incluido en DORA es el riesgo de concentración de estos terceros de TIC. Esto es altamente relevante para las entidades financieras que tienen múltiples empresas operativas en los Estados miembros, porque en la UE hay un riesgo significativo de riesgo de concentración cuando se trata de estos terceros de TIC, y eso debe evaluarse.
Otro requisito intrigante prescrito en la regulación, y uso la palabra 'prescrito' porque es bastante prescriptivo, es en torno a las cláusulas específicas que deberían incluirse en los contratos con estos terceros de TIC. Es significativo que una regulación sea tan prescriptiva, lo cual creo que es genial. Porque traerá consistencia a las entidades financieras sobre cómo manejan el riesgo de terceros de TIC, con cláusulas, con términos contractuales.
Y eso debería beneficiar en general a la gestión de riesgos de terceros en estas entidades financieras.
Phoebe Jordan
Claro, y creo que eso es muy lógico. Estabas diciendo que no todos los terceros están dentro del alcance, sino solo los de TIC y solo aquellos que se consideran críticos. ¿Cómo puede una organización determinar qué terceros son críticos?
¿Y hay algunas organizaciones en las que estás pensando, ¿cuenta esto como una organización de TIC? ¿Hay algunos casos donde hay terceros potencialmente en el perímetro de lo que considerarías dentro del alcance?
Shreeji Doshi
Creo que hay una definición clara dentro de la regulación de lo que constituye un tercero de TIC. Y lo que han hecho hasta ahora los ESAS es dar una guía clara sobre qué terceros son terceros de TIC. Publicaron un informe de alto nivel sobre el panorama de las TIC, si no me equivoco, en septiembre pasado.
Si vamos a los detalles de eso, lo que identificaron es que hay alrededor de 15,000 terceros de TIC que sirven a alrededor de 1,600 entidades financieras de la UE. Y de estos, alrededor de 9,000 fueron identificados como que respaldan funciones críticas e importantes. Entonces, de alguna manera, el regulador ya ha hecho un análisis de las organizaciones para proporcionar esa visión general. Y este informe está disponible para que cualquiera lo consulte.
Además de eso, ya se han proporcionado indicadores sobre qué impulsa la criticidad de los terceros de TIC, y cómo el regulador ya ha intentado identificar eso.
Los reguladores básicamente están diciendo, '¿cuántas entidades financieras proporciona servicios un tercero? ¿Cuántos activos o funciones está gestionando? ¿Hay alternativas disponibles para estos terceros de TIC? ¿O son muy especializados en lo que están proporcionando? ¿Es muy complejo cambiar a otro proveedor, o no hay otros proveedores adecuados disponibles?'
Han considerado múltiples aspectos para definir esta "criticidad" de los proveedores.
Phoebe Jordan
Y, en términos de cómo una organización categoriza a sus terceros, ¿consideras importante que la organización vaya más allá de lo que ya está disponible? ¿O solo necesitan tener en cuenta aquellos que están claramente detallados, como acabas de describir?
Shreeji Doshi
Lo que necesitarían evaluar es si los terceros respaldan funciones críticas para el negocio o no.
Si volvemos a DORA, ese es uno de los requisitos que forma parte del marco de gestión de riesgos, donde las organizaciones necesitan crear un repositorio de todas las funciones críticas para el negocio, qué tipo de activos, qué tipo de terceros las están respaldando. Entonces eso ya se ha hecho fuera del capítulo de DORA sobre gestión de riesgos de terceros, terceros de TIC. Ya se ha hecho a nivel de gestión de riesgos.
Pero una vez que lo tienes, ¿qué necesitas hacer al respecto? DORA proporciona detalles al respecto.
Phoebe Jordan
¿De quién es la responsabilidad en una organización para realizar este trabajo?
Shreeji Doshi
Tengo una respuesta muy 'consultora' – depende.
Y esto se basa principalmente en la experiencia, haber visto dónde ha residido la responsabilidad en varias organizaciones. A veces he visto que está a nivel de adquisiciones, a veces he visto que está a nivel de gestión de riesgos, a veces he visto que esta responsabilidad está en seguridad. También está legal, donde he visto que esta responsabilidad reside.
Ahora, creo que lo más importante es que la regulación exige que haya una función dedicada con alguien responsable de supervisarla. No importa dónde esté, lo que se necesita es que haya alguien dedicado a supervisarlo y administrarlo de manera estructurada. En mi experiencia, creo que es mucho más fácil ponerlo en una función de riesgo o adquisición.
Entonces tiene sentido. Pero nuevamente, depende de cómo esté estructurada la organización.
Phoebe Jordan
¿Hay alguna responsabilidad de informar al regulador?
Shreeji Doshi
Para los terceros de TIC sí hay, con DORA, un informe obligatorio al regulador o autoridad competente. Al menos una vez al año, las organizaciones deben informar sobre cualquier nuevo acuerdo para el uso de servicios de TIC. Ya tenemos una plantilla de informes proporcionada por el regulador.
Además de eso, también hay un requisito obligatorio de que, si hay algún cambio en sus proveedores de terceros de TIC, eso también debe informarse. Entonces, por ejemplo, si hay una nueva función crítica que ha identificado y tiene un tercero que no estaba en su lista, eso también debe notificarse a la autoridad competente.
Además, la autoridad competente solicitaría un registro completo de información de forma ad hoc. Entonces, hay algunos requisitos de informes obligatorios al regulador desde un tercero de TIC, lo que obligará a las organizaciones a asegurarse de que tienen un buen proceso de gestión de inventario para terceros de TIC.
Phoebe Jordan
Sí, ciertamente esencial que tengas todo en orden, para que puedas responder y notificar de la manera correcta.
¿Puedo volver a preguntar sobre el riesgo de concentración y las estrategias de salida? ¿Por dónde debería empezar una organización cuando se trata de intentar gestionar a sus terceros desde una perspectiva de DORA?
Shreeji Doshi
Bueno, creo que fundamental para cualquier programa de TPRM es un marco, tiene que haber un marco de gestión de riesgos de terceros.
Este marco tiene varios componentes. A nivel estratégico, ¿qué hay? ¿Cómo es el modelo, cuáles son las políticas? ¿Cuáles son los diversos mecanismos de gobernanza? Entonces, este sería uno de los componentes de los pilares dentro de ese marco.
Luego mencionamos que el inventario es una piedra angular, que también es parte del marco. Está en el corazón de ese marco, porque todo gira en torno a ese inventario y categorización. Actualmente, los reguladores están diciendo que son críticos o no críticos. Puedes categorizar aún más los no críticos en varios segmentos dependiendo del tipo de datos a los que tienen acceso, cómo tienen acceso a ellos.
Hay varios elementos para eso. Luego, ¿qué tipo de riesgos de estos terceros vas a evaluar? ¿Cuáles son los modelos de riesgo? ¿Cómo vas a verlo a nivel agregado? Necesitas tener todo el proceso de gestión del ciclo de vida alrededor de todos los terceros en ese inventario.
Después de la evaluación inicial, la debida diligencia, la contratación, tomando como entrada esa evaluación inicial, ahí es cuando comienza el verdadero trabajo. ¿Cuáles fueron los riesgos identificados? ¿Cómo estás gestionando ese riesgo si aún no estás gestionando ese riesgo? ¿A qué tipo de prioridad necesitas darle? ¿Cuál es la gobernanza en torno a eso? El monitoreo continuo y las evaluaciones también son una parte integral de ese proceso.
¿Con qué frecuencia evalúas a los terceros de TIC, haces visitas en el lugar? ¿O haces una evaluación remota o autoevaluación? ¿Qué tipo de dominios de riesgo vas a evaluar?
Phoebe Jordan
Muchas cosas para pensar.
Shreeji Doshi
Sí, muchas cosas para pensar. Muchos problemas con la gestión de riesgos, siempre. Luego, además de esto, necesitas informarlo de manera regular para que tus órganos de gobierno tengan suficiente información para actuar. En mi opinión, una organización que busca cumplir con DORA debería analizarlo de manera más holística para ver qué marco ya tiene en su lugar para la gestión de riesgos de terceros, y qué refinamientos necesita ese marco.
Y una vez que esos refinamientos estén en su lugar, luego mirar los requisitos de DORA para ver si cumple.
Phoebe Jordan
Esto realmente va más allá de DORA, ¿no es así? Quiero decir, realmente es un requisito global para asegurarse de que no estás expuesto a los terceros con los que estás trabajando.
Tu punto sobre el inventario es interesante. Hemos asistido a bastantes reuniones y estado en numerosas llamadas con organizaciones y un tema que surge de todas ellas es que comprender quiénes son tus terceros en primer lugar puede ser un desafío en sí mismo, especialmente cuando tienes muchos departamentos diferentes o áreas de la organización actuando en silos, en algunos casos. Realmente centralizar esa información es muy valioso.
Shreeji Doshi
Y desafiante, para ser honesto, porque, como mencionaste, hay unidades de negocio a las que se les han proporcionado presupuestos para hacer adquisiciones por sí mismas.
Es muy importante examinar ese proceso cuando estás estableciendo gobernanza para ver qué se delegará a los departamentos comerciales en términos de adquisiciones. ¿Cómo puedes saber si hay terceros de TIC en tu entorno operativo diario del equipo central puede no estar al tanto?
Y eso, creo que es muy crítico.
Phoebe Jordan
¿Hay otros desafíos que crees que enfrentan las organizaciones al gestionar terceros?
Shreeji Doshi
¿En general, en la gestión de terceros? Creo que, en mi experiencia, no. Cuánta influencia tienes con los terceros determina cómo manejas los problemas y riesgos que provienen de ellos.
Con el impulso regulatorio, eso debería volverse menos desafiante. Esa es mi hipótesis, así que aún está por verse. Lo otro que típicamente veo que las organizaciones luchan es evaluando varios tipos de riesgos de terceros.
Va más allá de las necesidades de seguridad y el riesgo financiero: es el riesgo de cumplimiento normativo, el riesgo operativo, las múltiples áreas de riesgo que uno necesita evaluar. ¿Cómo se integra eso en el proceso de toma de decisiones? Eso siempre es un desafío porque no hay una forma única de traducir esas evaluaciones de riesgo al modelo de riesgo.
Hay un gran elemento de integración dentro del proceso de gestión de riesgos existente porque eso guiará a cualquiera que esté diseñando o refinando ese tipo de cosa e informando de manera regular.
Volviendo al desafío anterior de la centralización. Creo que, si hay una función centralizada para administrar esto, entonces algunos de estos desafíos pueden abordarse de manera significativa.
Phoebe Jordan
¿Cómo pueden las organizaciones abordar los desafíos de centralización y la carga administrativa que tienen?
Shreeji Doshi
La tecnología es la respuesta.
Phoebe Jordan
La tecnología, creo que absolutamente es la respuesta. ¿Puedes expandirte un poco sobre eso?
Shreeji Doshi
Hacer la gestión de tus proveedores en una hoja de Excel se vuelve muy, muy desafiante. Especialmente cuando el volumen es enorme y los recursos son escasos, es casi imposible asegurar que la información sea consistente y esté actualizada en todo momento.
Una forma de mitigar eso es tener una herramienta. Obviamente, tus políticas aún necesitan documentarse fuera de la herramienta. Necesitan promoverse fuera de la herramienta. Pero esas políticas impulsarán los procesos de gobernanza. Esos procesos de gobernanza pueden implementarse en la tecnología.
El inventario puede almacenarse en la plataforma tecnológica. Los modelos de riesgo se pueden configurar en la tecnología, el cuestionario se puede configurar en la tecnología. Ejecutar todo el proceso de gestión del ciclo de vida se puede hacer a través de plataformas tecnológicas, y hay plataformas tecnológicas disponibles.
Phoebe Jordan
Entonces, una solución tecnológica por sí sola no resolverá todos tus problemas necesariamente, pero como parte de un marco y una estrategia integral, definitivamente puede llegar lejos.
Phoebe Jordan
Entonces, Thomas Murray ha apoyado a cientos de organizaciones con la gestión de procesos de diligencia debida, emitiendo cuestionarios, recibiendo respuestas. Ese elemento de gestión de riesgos de terceros, Nita, si fuera una organización que buscara gestionar terceros, ¿qué podría obtener de la tecnología?
Nita Sinha
Yo diría que, en primer lugar, cuando se busca una solución tecnológica, ésta debe apuntar a eliminar los procesos manuales en la medida de lo posible. Tenemos clientes de todos los tamaños, pequeños y grandes, y dependiendo del tamaño de su organización, tendrá diferentes desafíos, pero puede tener herramientas que respalden su caso de uso y eso es lo que quiere de la herramienta.
Debería buscar reducir la carga administrativa en lugar de aumentarla, por lo que no desea algo que requiera procesos largos y capacitación intensiva cuando adopta una nueva solución como esta.
Otros puntos clave que nuestros clientes valoran y que, por supuesto, les gustaría obtener de la herramienta, es la flexibilidad, diría yo, porque creo que un marco de riesgo estandarizado es muy importante.
Quiere algo personalizable que sea exactamente adecuado para su empresa. Entonces, cuando tomas una decisión, cuando evalúas las herramientas que se ofrecen, la flexibilidad es muy importante. Debe adaptarse a su marco para que pueda resolver sus desafíos y problemas con él.
Shreeji Doshi
Planteas un punto muy importante. Creo que hay una manera de ver estas plataformas tecnológicas. Introducen lo que parece "bueno" desde el punto de vista del proceso, ¿verdad? Porque hay mucha experiencia en estas plataformas tecnológicas, en ejecutarlas en múltiples clientes. Hay un elemento de mejores prácticas que aportan estas plataformas tecnológicas, aunque cualquiera que elija debe impulsar el perfeccionamiento de su propio marco.
Tiene que haber un equilibrio entre personalizar la plataforma tecnológica según sus requisitos y poder adoptar algunos elementos de mejores prácticas generales con los que la plataforma puede mejorar su marco.
Nita Sinha
Absolutamente sí. Y vemos ese viaje con los clientes, porque una vez que utilizan nuestra plataforma, centralizan su información y generan informes y análisis de sus datos.
Y una vez que el cliente tiene esa única fuente de verdad, puede ver dónde están los problemas y comenzar a solucionarlos. ¿Qué quieres mejorar? ¿Qué quieres estandarizar? Y de manera tangible, llegar a la verdad con eso.
Tal vez sea solo el último punto a agregar en términos de opciones de tecnología, los informes también son un aspecto clave porque se están recopilando muchos datos a través de cuestionarios, a través de otras fuentes de datos, se les presenta mucha información.
Piense en cómo extrae la información clave que importa y la pone en primer plano. Y nuevamente, la información clave para diferentes organizaciones puede ser diferente. Por lo tanto, desea una herramienta que pueda aprovechar y presentarle esos datos de una manera muy fácil de usar.
Phoebe Jordan
Al pensar en la cantidad de terceros con los que está trabajando, ¿hay una masa crítica en la que piensa, sí, ahora es el momento de utilizar una plataforma tecnológica?
Nita Sinha
Hemos ayudado a clientes con un número muy pequeño de terceros, así como a clientes que tienen un número muy grande de terceros. Y es interesante en ambos panoramas porque cuando el volumen es alto, estamos hablando de miles de entidades, entonces, por supuesto, los volúmenes son muy, muy grandes y es imposible hacerlo manualmente. Entonces definitivamente necesitas una herramienta para automatizar tus procesos y ayudarte con ello.
Pero cuando hablamos de nuestros clientes más pequeños, lo que normalmente encontramos es que tienen equipos más pequeños y un número menor de proveedores. En esos casos, sus recursos y sus analistas se utilizan mejor aportando valor agregado, en lugar de realizar tareas administrativas. Ese tipo de cliente realmente aprecia el uso de la herramienta.
Mi otro pensamiento es que hoy estamos aquí teniendo esta conversación porque el panorama regulatorio ha cambiado mucho en los últimos años. En muchas industrias existe un requisito cada vez mayor de monitorear a terceros, por lo que todas las empresas, grandes o pequeñas, deben prestar atención a eso.
Phoebe Jordan
La tecnología actúa como una extensión de su equipo. Entonces, si se trata de un equipo pequeño, puede agregar un recurso de soporte considerable. En términos de comentarios de los clientes existentes, ¿qué tipo de reacción ha tenido? A veces escuchamos que clientes u otras organizaciones están preocupados por el recurso inicial necesario para configurar y administrar la tecnología.
Nita Sinha
Nuevamente, varía según el volumen y el tamaño, pero yo diría que hay temas comunes generales para los diferentes tipos de clientes y la estandarización de sus procesos, la realización de tareas de valor agregado y la capacidad de identificar el riesgo muy fácilmente, y simplemente sentir que tienes el control porque eso proviene de la transparencia de la información que obtienes de estas herramientas.
Ayuda a los clientes en estas áreas, y este es el principal beneficio y la retroalimentación que hemos recibido. Se sienten en total control de la gestión de riesgos de terceros.
Phoebe Jordan
Tener el control, poder concentrarse en el valor agregado, eso tiene mucho sentido. Y creo que también estamos viendo un aumento en el número de organizaciones interesadas en servicios administrados, donde pueden recurrir a un proveedor subcontratado para eliminar esa carga administrativa.
Nita Sinha
Absolutamente. Incluso con la parte automatizada de la herramienta, todavía hay una serie de cosas que hoy en día requieren algún tipo de intervención humana.
Cuando se habla de nuestros servicios administrados, todos están estandarizados y se realizan de una manera muy basada en procesos. Nuevamente, ayuda a nuestros clientes a concentrarse en sus propias actividades de valor agregado y en sus aportes y análisis. Ahí es donde entra en juego el servicio gestionado.
¿Estás listo para DORA?
Utilice nuestro kit de herramientas de preparación gratuito y fácil de seguir para determinar qué tan cerca está su organización de cumplir con todos los requisitos de la Ley de Resiliencia Operativa Digital (DORA). Una vez completado, le enviaremos un informe gratuito que describe qué tan preparado está para DORA. Puede utilizar nuestros resultados para crear un plan de acción para lograr el cumplimiento antes del 17 de enero de 2025.