Además, Valente recomienda que los CISO creen evaluaciones que puedan detectar fácil y rápidamente posibles problemas de seguridad en terceros que luego desencadenarían una inmersión más profunda en sus prácticas de seguridad. “Encuentre las preguntas que le darán señales de alerta”, le dice a CSO.
Valente explica que preguntar a terceros con qué frecuencia prueban sus planes de continuidad del negocio, por ejemplo, o si tienen un equipo de respuesta a incidentes dedicado puede ayudar a los CIO a evaluar la madurez de los programas de seguridad de esos terceros. Esto, a su vez, puede ayudar a los CISO a determinar si un tercero cuenta con la seguridad mínima requerida para justificar el avance de un contrato, o si un tercero debe ser rápidamente descalificado de la consideración porque ni siquiera puede pasar la evaluación inicial. Valente señala que los CISO tienen mucho margen de mejora en sus procesos de evaluación. Ella señala la investigación de Forrester, que encontró que menos del 50% de los tomadores de decisiones de riesgo dijeron que sus organizaciones evalúan a todos los terceros, mientras que el 10% dijo que solo evalúan a los terceros que se les pide explícitamente que evalúen.
5. Aprovechar el proceso de contratación de terceros para beneficiar la seguridad
Cuando Según los expertos, también es importante saber cómo se realizan las evaluaciones de seguridad. Esos controles de seguridad de terceros (ya sean proveedores, vendedores o socios) generalmente ocurren durante la adquisición, dice Tim Witos, vicepresidente de seguridad de la información y gestión de riesgos de McKesson, una empresa de tecnología y atención médica. Con demasiada frecuencia, las evaluaciones se realizan al final del proceso, cuando gran parte de la negociación está concluida, lo que deja a los CISO con poca o ninguna influencia.
«La mayoría de las organizaciones, en el mejor de los casos, tienen un lenguaje sobre los requisitos de seguridad que se revisan en el momento de la firma», dice Witos, quien también se desempeña como miembro del consejo de la Iniciativa Health 3PT, una colaboración de proveedores de atención, sistemas de salud y otras organizaciones de atención médica centradas en reducir los terceros. riesgo de seguridad de la información de las partes con garantías más confiables y consistentes.
Los CISO harían bien en involucrarse temprano en el proceso de adquisición, dicen Witos y otros. Dicen que los CISO deberían comenzar por educar a los líderes dentro de sus organizaciones sobre qué elementos de seguridad se requerirán de terceros. Los CISO también deben comunicar tempranamente a los posibles proveedores y socios qué estándares de seguridad deberán tener para cerrar cualquier acuerdo con la organización.
«Nosotros [CISOs] A veces no logramos mantener una conversación sobre lo que esperamos”, añade Witos. “Así que establezca las expectativas de lo que está buscando y por qué con anticipación; comprenda lo que busca en un proveedor cuando se trata de seguridad. Informe a su equipo legal, de abastecimiento y de adquisiciones sobre los requisitos de seguridad que desea de sus proveedores y explíqueles que deben incluirse en los contratos. Luego, escriba esos requisitos de manera que los proveedores puedan entenderlos”.
Además, Witos y otros dicen que los CISO deberían incluir detalles adicionales en sus contratos con terceros para garantizar que estén gestionando eficazmente los riesgos de terceros. Esos detalles incluyen requisitos sobre la rapidez con la que el tercero debe notificar al CISO (o una persona designada) si hay un incidente cibernético y qué información proporcionará el tercero. También deben incluir una articulación clara de qué aspectos de seguridad manejará el tercero y cuáles serán propiedad de la organización, dice Mettenheimer. “Sepa por qué están en apuros sus proveedores. Vemos una y otra vez que las organizaciones y los CISO aceptan un contrato y creen que existe un cierto nivel de seguridad. [only to learn that] ese nivel adicional de seguridad no está incluido en el contrato básico del proveedor”.
Otro requisito específico que un CISO debe exigir es el nombre y la información de contacto de los líderes de seguridad del tercero para que el CISO pueda comunicarse con ellos en caso de un evento (en lugar de tratar de trabajar a través de administradores de cuentas que probablemente no serán de mucha ayuda si hay un ciberataque).
6. Hacer de la gestión de riesgos de terceros un ejercicio continuo
La gestión de los riesgos presentados por terceros no termina una vez que se firman esos contratos, dice Paul Kooney, quien como director general de la consultora Protiviti se centra en el desarrollo de programas innovadores de gestión de riesgos de terceros, así como en el cumplimiento de la ciberseguridad y la privacidad. Dice que las organizaciones con los programas TPRM más efectivos y maduros crean programas que son de naturaleza continua para que puedan identificar y mitigar los riesgos a medida que surgen a lo largo de la relación de la organización con cada tercero.
Rica agrega: “La gestión de riesgos de terceros es un proceso; no es un evento. Muchos son muy buenos con esa evaluación inicial. Son muy minuciosos, obtienen los documentos requeridos, pero luego se olvidan. No tienen forma de volver atrás para ver si los riesgos son los mismos, si han cambiado o si necesitan cambiar los controles. Aquí es donde las cosas a menudo se desmoronan”.
Como tal, Kooney, Rica y otros recomiendan a los CISO que supervisen continuamente el cumplimiento de los requisitos contractuales e identifiquen los ajustes y actualizaciones que puedan ser necesarios, y señalan que el software y la automatización del programa de gestión de riesgos de terceros pueden ayudar a los equipos de seguridad a realizar esta tarea. trabajo evitando que se sientan abrumados por la tarea.