Cinco pasos que definen una buena gestión de riesgos de terceros

La gestión de riesgos de terceros hace referencia al manejo de riesgos reputacionales, financieros y legales para la organización por parte de terceros; es decir: por parte de entidades ajenas a la empresa. Se trata de un proceso estructurado, consistente y continuo, que se desarrolla por medio del empleo de diferentes herramientas de identificación, evaluación, medición y reporte de eventos e incidencias que afectan a la posibilidad de alcanzar el logro de los objetivos por parte de la organización a la que se presta el asesoramiento.

Este plan resulta esencial en el desarrollo de una organización en la medida en que cuantifica y evalúa los riesgos que exponen el conjunto de entidades (terceros y proveedores) que tiene acceso a sus redes o que manejan datos confidenciales en su nombre, una realidad de interdependencias que deja abierta una gran superficie de posibles ataques cibernéticos. Dicho de otro modo: existen numerosas vulnerabilidades en los vendedores o proveedores que se emplean para obtener acceso al entorno objetivo, con el fin de robar o comprometer información confidencial.

La explotación a terceros: quiénes son y por qué es vital la evaluación de riesgos

Los datos constatan que una de las causas más habituales de violaciones a gran escala se cifra en la explotación a terceros. En esta categoría están los proveedores, fabricantes, proveedores de servicios, socios comerciales, afiliados, distribuidores, revendedores y agentes. Dentro de ese conjunto, podemos diferenciar dos categorías: por un lado, los ascendentes, que hace referencia a los proveedores y vendedores; por otro, los descendentes, categoría en la que están los distribuidores y revendedores. También puede incluir entidades no contractuales. Asimismo, comporta riesgo la relación que se establece con las cuartas partes. Este grupo delimita relaciones más profundas en la cadena de suministro. Se trata de entidades que no tienen por qué mantener una relación contractual con su organización, pero sí que están vinculadas a dicha empresa a través de terceros.

Ese trabajo de evaluación de riesgos con terceros es vital por varios motivos. El más evidente es que los terceros habitualmente no se encuentran bajo su control, ni se dispone de una absoluta transparencia en sus controles de seguridad. También resulta bastante variable el grado de seguridad que esas entidades colaboradoras establecen como protocolos de vigilancia. De tal manera que algunos de los proveedores pueden tener estándares de seguridad consistentes, con buenas prácticas de gestión de riesgos, mientras que otros presentan bastantes debilidades en su estrategia de seguridad.

En resumen, una entidad tercera representa un marco potencial para una violación de datos o ataques cibernéticos. Si un proveedor presenta una superficie de ataque vulnerable, ese fallo en su sistema podría ser aprovechado para obtener acceso a tu organización. En la medida en la que se establecen más relaciones con diferentes proveedores, crece proporcionalmente la superficie de ataque y existen más debilidades potenciales a las que nuestra organización podría enfrentarse.

¿Cómo podemos contrarrestar los riesgos a terceros y minimizar su impacto?

Un plan competente para minimizar los riesgos a terceros debería incluir las siguientes estrategias:

1) Evaluar anualmente, como mínimo, el riesgo de terceros en el Consejo de Administración. Para ello, es necesario incluir este asunto fundamental en la agenda del Consejo a través de la comisión de auditoría.

2) Categorizar los proveedores según el acceso que tienen a nuestros sistemas e información, y definir un plan de continuidad si alguno de esos proveedores tuviera un incidente de ciberseguridad. Se puede incluso valorar el nivel de severidad del incidente de seguridad, si ello pudiera poner en un grave compromiso a la corporación y, por tanto, si se debe reevaluar la relación con ese proveedor, emitir de manera formal una advertencia o, en el peor de los casos, suspender la relación e incluso reclamar daños y perjuicios.

3) Definir los estándares de seguridad que se esperan de cada uno de los proveedores en cuanto a los riesgos de terceros (ciberseguridad, seguridad de la información, resiliencia operacional, etc.) y especificar en el contrato que si esos estándares no se cumplen se puede rescindir el contrato de manera inmediata y sin más explicaciones aportadas. Se les comunica desde el inicio el nivel de expectativas de los estándares solicitados y se espera que los proveedores acaten dichas indicaciones de manera responsable.

4) Garantizar que los auditores y el CIO se comunican con regularidad con los proveedores y se les pide actualización de los documentos y las garantías de seguridad. Tecnologías de la Información y la manera que se consume el contenido en Internet avanza a gran velocidad y forma parte de la responsabilidad de los proveedores de su corporación que estos puedan sostener ese nivel de seguridad en todo momento ahora y en un futuro.

5) Definir un marco de evaluación de terceros en el que se valoren los riesgos de terceros antes de firmar un acuerdo con ellos, en el que se establezcan la frecuencia de reevaluación y los estándares que deben cumplir. Los procesos y periodos de evaluación permiten certificar de manera continua que las terceras partes están capacitadas para llevar a cabo su función.

Todos estos pasos se cumplirán de manera rigurosa si contrata los servicios de Diligent, empresa especializada en software de optimización de las gestiones de gobierno corporativo del Consejo de Administración. Asimismo, nos esforzamos desde hace más de 20 años para que los procesos y las gestiones de los órganos corporativos de nuestros clientes en más de 90 países sean sencillos y eficientes. En esta página web le explicamos en detalle por qué confiar en Diligent es una apuesta segura para su empresa y Consejo de Administración en materias de cumplimientos de obligaciones legales, mitigación de riesgos de esta índole y aumento de la eficiencia de operaciones a nivel corporativo.