Hay muchas maneras de mejorar la situación de seguridad y aumentar su resiliencia para la empresa. Esto incluye hacer que las redes sean más seguras y capacitar a los empleados para que no participen en la ingeniería social. Sin embargo, un tipo de riesgo que a menudo se pasa por alto es el riesgo que proviene de un tercero.
Si se piratea una empresa, el atacante a menudo puede dañar cualquier negocio asociado con ella. Por lo tanto, si un tercero es fácil de atacar, su negocio podría estar indirectamente en riesgo. Verificar ¿Qué es Safety Service Edge (SSE) y por qué es importante?.
La gestión de riesgos de terceros está diseñada para reducir este problema. Entonces, ¿qué es esta técnica y cómo debe implementarse? Averigüémoslo a continuación.
Enlaces rápidos
¿Qué es un tercero?
Un tercero es cualquier entidad con la que opera su empresa. Incluye todos los proveedores, vendedores, socios comerciales y proveedores de servicios que utiliza. Estos servicios externos pueden proporcionar solo una pequeña parte de su negocio, pero eso no le impide confiar en ellos.
Muchos terceros también requieren acceso a su red comercial para desempeñar su función. Esto significa que si es pirateado, su red también será víctima.
¿Qué es la gestión de riesgos de terceros?
La gestión de riesgos de terceros es la práctica de identificar y reducir los riesgos que surgen del trabajo con terceros. Implica mirar con quién está trabajando actualmente, conocer los riesgos que enfrentan y establecer medidas de seguridad para proteger su negocio de ellos.
Si bien no es posible evitar trabajar con terceros, el propósito de la gestión de riesgos de terceros es hacerlo de la manera más segura posible. Dependiendo de su negocio, esto puede implicar el uso de diferentes terceros o aislarse de aquellos con los que entra en contacto. Verificar ¿Qué es un corredor de seguridad de acceso a la nube?
¿Por qué es importante la gestión de riesgos de terceros?
Es importante no subestimar los riesgos que plantean los terceros. Estas son algunas de las razones:
Las empresas confían cada vez más en terceros
Debido a la facilidad de la subcontratación, muchas empresas ahora confían en terceros para todo, desde el almacenamiento de datos hasta la nómina. La mayoría de las empresas no podrán funcionar correctamente si un tercero importante es objeto de un ataque lo suficientemente grave y esto también puede dar lugar a la filtración de sus datos.
La seguridad de terceros varía ampliamente
Las prácticas de seguridad de terceros varían ampliamente. Comprender quién representa un riesgo para su negocio a menudo requiere una investigación cuidadosa. La gestión de riesgos de terceros garantiza que la situación de seguridad de cada parte se entienda y se reemplace cuando sea necesario.
Los terceros a menudo ingresan a su red
Los terceros a menudo requieren acceso a su red. Por lo tanto, es común que a terceros se les proporcionen sus propias credenciales de usuario. Si se roban estas credenciales, el pirata informático puede obtener acceso a su red.
Eres responsable de los ataques de terceros.
A menudo se confía en terceros para almacenar información confidencial; Por lo tanto, su empresa será responsable si el tercero es pirateado y esta información es robada. Si se filtra la información de su cliente, usted es responsable, incluso si es culpa de un tercero. Esto no solo abre la puerta al daño a la reputación de su empresa, sino que también puede dejarlo vulnerable a un enjuiciamiento. Verificar ¿Qué es la gestión de identidades y accesos (IAM)?.
Cómo implementar la gestión de riesgos de terceros
La gestión de riesgos de terceros es una actividad amplia, y los pasos específicos que se toman dependen del tamaño de la empresa y los tipos de terceros con los que trabaja. Sin embargo, la mayoría de las empresas se beneficiarán de los siguientes pasos:
Inventario de todos los terceros
Para comprender los riesgos para su empresa, necesita un inventario de todos los terceros con los que está trabajando actualmente. Este inventario debe incluir a todos los terceros sin importar su tamaño. También debe documentar las partes de la red y los datos disponibles para cada una.
Clasificación de terceros por riesgo
Los terceros varían ampliamente en términos de riesgos. Por lo tanto, la empresa debe clasificar a cada tercero según el nivel de riesgo. Esto incluye ver qué sucedería si fueran pirateados y la probabilidad de que eso suceda. Esto es importante porque le permite concentrarse primero en los terceros de alto riesgo.
Considere todos los riesgos
La gestión de riesgos de terceros no se trata solo de riesgos de seguridad cibernética. Los terceros pueden dañar a su empresa de varias maneras que no implican ser pirateados. Si deja de prestar el servicio acordado por cualquier motivo, su negocio podría estar en problemas. Si su reputación se daña, tu reputación se asociará con ella. Por lo tanto, la evaluación de riesgos debe incluir todos los riesgos potenciales, no solo la seguridad.
Obtención de información adicional de terceros
La gestión de riesgos de terceros requiere mucha información sobre terceros, generalmente obtenida mediante el envío de encuestas. Es una práctica común y puede comprar cuestionarios estandarizados diseñados para este propósito. Por supuesto, también puede realizar sus propias encuestas, pero debe comprender las preguntas que debe hacer antes de seguir esta ruta.
Reducir los riesgos de daño
Una vez que haga un inventario de todos los terceros y sus riesgos, puede intentar reducir los riesgos. Esto puede implicar modificar su red, como restringir el acceso o solicitar a terceros que implementen políticas de seguridad adicionales. A veces, también puede implicar cambiar a los terceros con los que trabaja.
Configuración de monitoreo de terceros
La gestión de riesgos de terceros es un proceso continuo que requiere un seguimiento periódico. Puede monitorear a terceros manualmente realizando evaluaciones periódicas. O puede usar aplicaciones personalizadas que monitorean automáticamente a terceros. Los terceros pueden cambiar su comportamiento y las amenazas a las que se enfrentan cambian constantemente.
Repetir para nuevos terceros
Debe repetir los pasos anteriores cada vez que inicie una nueva relación con un tercero. Todos los terceros adicionales deben ser cuidadosamente investigados y seleccionados de acuerdo con los riesgos que plantean. Solo tiene que proporcionar a cada uno de ellos el nivel de acceso a la red y los datos necesarios para realizar su propósito.
Crear un plan de respuesta a incidentes
La planificación de respuesta a incidentes es el proceso de creación de procedimientos que puede implementar en caso de un incidente de seguridad. La gestión de riesgos de terceros no evita necesariamente los accidentes de terceros, pero se puede utilizar para predecir mejor qué eventos es probable que ocurran. La planificación de la respuesta a incidentes debe planificarse para prepararse mejor para ello. Verificar ¿Qué es una plataforma de protección de cargas de trabajo en la nube?
La gestión de riesgos de terceros es fundamental para cualquier negocio
Las empresas ahora confían en terceros para una amplia gama de servicios. Tampoco es raro que se les dé acceso a redes seguras y que sean responsables de almacenar la información privada de los clientes. En este escenario, un ataque a tal partido podría tener consecuencias nefastas.
La gestión de riesgos de terceros es una parte cada vez más importante de los seguros comerciales. Todas las empresas deben comprender claramente con quién están trabajando, qué riesgos están involucrados y cómo pueden mitigar esos riesgos. Ahora puedes ver ¿Qué es el análisis de comportamiento de usuarios y entidades (UEBA)?