5 Consejos para la gestión del riesgo de terceros
La seguridad de la #CadenaDeSuministro es quizá nuestra mayor preocupación en LEET Security y donde el uso de la calificación puede marcar una gran diferencia, tanto para proveedores como para clientes.
Y reconozcámoslo, tiene algo de egoísmo, pero de ese que pretende que todos estén bien para estar nosotros también bien, dado que cuanto más compañías apuesten por la ciberseguridad, y más se refuerce la ciberseguridad de la cadena de valor, todos juntos, como ecosistema, estaremos más seguros.
Contexto
En el IV Estudio ‘Empresas y ciberseguridad’ de este año, centrado en la seguridad de la cadena de valor como una necesidad y una obligación, se constata la creciente importancia que tienen los proveedores para la seguridad de una organización: la mitad de su riesgo depende del nivel de protección de su cadena de suministro. Cada vez dependemos más de unos proveedores con creciente acceso, o conectados, a la red interna. Y en este escenario, 2 de cada cinco ataques han llegado a través de proveedores.
En este contexto, sólo la mitad supervisa anualmente a sus proveedores y, lo más preocupante, un 14,9% de las organizaciones no los evalúa nunca.
5 pasos para mejorar la seguridad
Por eso, para aquellas organizaciones que quieran mejorar la seguridad de sus terceros les recomendamos trabajar en los siguientes aspectos:
1.- Involucrar a todos los actores corporativos
No es posible gestionar el riesgo de terceros eficaz y eficientemente si no se implican todas las áreas afectadas: Negocio, Compras, Cumplimiento, DPD, Riesgos y Ciberseguridad.
2.- Diseñar un proceso holístico
El hecho de estar en una posición débil de defensa hace que el menor resquicio pueda generar un incidente significativo, por ello el proceso debe abordar todas las relaciones con terceros (no solo proveedores).
3.- Integrar la ciberseguridad como otro riesgo más en el proceso de aprovisionamiento
La ciberseguridad debe formar parte de la negociación con el mismo proveedor en la misma medida que el resto de componentes del servicio.
4.- Identificar y caracterizar el inventario de servicios de terceros
Lo que no se conoce no se puede proteger. Es necesario saber cuántos servicios se han subcontratado y cómo de críticos son para nuestra organización.
5.- Confíe pero verifique
Los cuestionarios no son fiables y tampoco los sistemas de gestión. Es necesario que la información esté confirmada (mejor por el propio proveedor y con un tercero independiente)
All you need is LEET!
Recibe nuestras notificaciones desde este enlace