Mejorar la gestión de los proveedores de ciberseguridad

Dónde están las oportunidades para que los procesos de gestión de proveedores de ciberseguridad mejoren? Proviene de las herramientas tradicionales de evaluación y gestión de riesgos de GRC? O se deriva de las tradiciones de gestión de proveedores de terceros?

En este artículo exploraremos:

1. Desarrollo de programas de gestión de riesgos de terceros

2. Gestión tradicional de riesgos

3. Riesgos de ciberseguridad

4. Desafíos de la cadena de suministro

5. Oportunidades de TPRM para mejorar

El riesgo de terceros es exactamente eso. Es un evento que tiene cierto impacto en los objetivos de su organización que proviene de un tercero. Los objetivos de la organización son muchos y variados, dependiendo de la dirección de la junta y algo vinculados a la industria en la que opera la empresa. A los efectos de los debates, los objetivos de la organización son:

1. Construir y mantener una marca y reputación sólidas

2. Ofrecer productos y servicios con fiabilidad e integridad

3. Mantener las operaciones exitosas del negocio a lo largo del tiempo

Con las herramientas tradicionales de evaluación y gestión de riesgos GRC, estos riesgos se registran. Así que de acuerdo con ISO 31001 este es el primer paso. El propósito de los pasos de identificación es encontrar, reconocer y describir los riesgos que podrían impedir que una organización logre sus objetivos. Estas actividades suelen ser realizadas por un equipo de riesgo o un experto en la materia con un enfoque consciente para gestionar el riesgo.

En términos de riesgo de proveedores y riesgo de terceros, este podría ser el departamento de adquisiciones; en términos de riesgo cibernético, este podría ser el equipo responsable de la defensa contra las amenazas cibernéticas. De cualquier manera, se requiere que esta actividad clave se realice regularmente con acceso a la información que sea oportuna.

---

Los siguientes pasos en el proceso tradicional también son clave y se analizan juntos para analizar y entregar los resultados del análisis en la evaluación.

El análisis del riesgo es mucho más que un arte. El objetivo es comprender la naturaleza del riesgo e implica una interacción compleja de fuentes de riesgo, consecuencias, probabilidad, eventos, escenarios. El análisis de riesgos a menudo está influenciado por opiniones, sesgos y percepciones de riesgo que pueden agregar a todo tipo de cosas que suceden, es decir, evaluaciones inconsistentes, resultados contaminados. Estos resultados se vinculan a la evaluación del riesgo, que debe considerar los criterios de riesgo establecidos y tener en cuenta el contexto y las consecuencias reales y percibidas

Con las variaciones en el análisis, este proceso de evaluación puede volverse rápidamente defectuoso. Además, la naturaleza de la gestión del riesgo de terceros, con sus eventos inciertos, puede ser difícil de cuantificar. Esto puede ser un problema al analizar eventos con consecuencias graves. En tales casos, el uso de una combinación de técnicas generalmente proporciona una mayor comprensión.

El análisis de riesgos proporciona un insumo para la evaluación de riesgos, para las decisiones sobre si el riesgo debe tratarse y cómo, y sobre la estrategia y los métodos de tratamiento de riesgos más apropiados. Los resultados proporcionan información para las decisiones, donde se toman las decisiones, y las opciones implican diferentes tipos y niveles de riesgo.

Por lo tanto, los riesgos de seguridad cibernética se pueden analizar de la misma manera y utilizando técnicas tradicionales de gestión de riesgos. Sin embargo, debido a la naturaleza dinámica del panorama de amenazas para la seguridad cibernética, las técnicas tradicionales de gestión de riesgos no se adaptan bien. Los resultados resultantes de tal enfoque son la agregación y dilución del registro de riesgos. Cuando esto sucede comienza la introducción de puntos ciegos. Por lo tanto, incluso cuando se opera un enfoque de riesgo tradicional de gestión de pozos, hay áreas de seguridad cibernética que no se abordan adecuadamente, estos son los puntos ciegos.

Se han producido muchas filtraciones de datos de alto perfil que destacan esto. Grandes organizaciones han sido víctimas de esto y esto podría tener algo que decir sobre el enfoque tradicional de gestión de riesgos. Por lo tanto, las organizaciones que están en la industria de servicios financieros, infraestructura crítica, salud, logística o manufactura se fijan porque Ponemon recientemente encontró algunas estadísticas sorprendentes. Según los resultados del informe:

Y todo por la complejidad y el número de relaciones con terceros. Sí, la gestión de terceros es compleja y difícil: añada la complejidad de la seguridad cibernética y la mayoría preferiría enterrar su cabeza en la arena. La gestión del riesgo de terceros en ciberseguridad requiere una evolución al enfoque TPRM (gestión de riesgos de terceros). Y no solo desde una perspectiva de proceso. Y no solo desde una perspectiva tecnológica. Más bien, desde una perspectiva filosófica.

Los programas TPRM pueden mejorar cuando se considera un enfoque de toda la empresa y se toma un enfoque de riesgo estratégico. Salga de las malas hierbas del escaneo en busca de configuraciones erróneas que tienen poco impacto en la postura de riesgo. En su lugar, concéntrese en la gestión de la cadena de suministro a un alto nivel en todos los proveedores. Aquí hay 6 oportunidades que se pueden aprovechar para mejorar su TPRM de organizaciones:

1. Incluir a todos los propietarios de riesgos clave en su programa TPRM

2. Informar mensualmente a la gerencia y regularmente a las juntas de gobierno

3. Alterar los contratos para incluir objetivos específicos para mejoras

4. Evaluar con una perspectiva pragmática de futuro

5. Obtener actualizaciones en tiempo real de los cambios en toda la cadena de suministro

6. Integrar los resultados de las evaluaciones y la planificación de acciones en los hitos de la relación con proveedores externos