Si busca en Google “violaciones de datos de terceros”, encontrar\u00e1 muchos informes recientes de filtraciones de datos que fueron causadas por un ataque a un tercero o que se expuso informaci\u00f3n confidencial almacenada en una ubicaci\u00f3n de terceros. Las violaciones de datos de terceros no discriminan por industria porque casi todas las empresas operan con alg\u00fan tipo de relaci\u00f3n con el proveedor, ya sea un socio comercial, un contratista o un revendedor, o el uso de software o plataforma de TI, u otro proveedor de servicios. Las organizaciones ahora comparten datos con un promedio de 730 proveedores externos, seg\u00fan un informe de osano<\/a>y con la aceleraci\u00f3n de la transformaci\u00f3n digital, ese n\u00famero solo crecer\u00e1.<\/p>\n Con m\u00e1s organizaciones compartiendo datos con m\u00e1s proveedores externos, no deber\u00eda sorprender que m\u00e1s del 50 % de los incidentes de seguridad en los \u00faltimos dos a\u00f1os se hayan originado en un tercero con privilegios de acceso, seg\u00fan un Informe de la Alianza de Riesgo Cibern\u00e9tico.<\/a><\/p>\n Desafortunadamente, aunque la mayor\u00eda de los equipos de seguridad est\u00e1n de acuerdo en que la visibilidad de la cadena de suministro es una prioridad, el mismo informe se\u00f1ala que solo el 41 % de las organizaciones tiene visibilidad de sus proveedores m\u00e1s cr\u00edticos y solo el 23 % tiene visibilidad de todo su ecosistema de terceros. <\/p>\n Los motivos de la falta de inversi\u00f3n en la gesti\u00f3n de riesgos de terceros (TPRM) son los mismos que escuchamos constantemente: falta de tiempo, falta de dinero y recursos, y es una necesidad empresarial trabajar con el proveedor. Entonces, \u00bfc\u00f3mo podemos hacer que sea m\u00e1s f\u00e1cil superar las barreras para administrar el riesgo cibern\u00e9tico de terceros? Automatizaci\u00f3n.<\/p>\n La automatizaci\u00f3n permite a las organizaciones hacer m\u00e1s con menos. Desde una perspectiva de seguridad, estos son solo algunos de los beneficios que brinda la automatizaci\u00f3n, como destacado por Graphus<\/a>:<\/p>\n Con respecto a TPRM, la automatizaci\u00f3n puede transformar su programa al:<\/p>\n Las evaluaciones continuas de exposici\u00f3n a amenazas incluyen evaluaciones integrales que incorporan lo siguiente: <\/p>\n Este es un an\u00e1lisis m\u00e1s completo de terceros en comparaci\u00f3n con solo enviar cuestionarios. Un proceso de cuestionario manual puede demorar entre 8 y 40 horas por proveedor, siempre que el proveedor responda de manera r\u00e1pida y precisa. Pero este enfoque no permite la capacidad de ver vulnerabilidades o validar la efectividad de los controles requeridos en un cuestionario. <\/p>\n Incorporar una capacidad de evaluaci\u00f3n de exposici\u00f3n a amenazas automatizada e integrarla con cuestionarios puede reducir el tiempo de revisi\u00f3n de proveedores, y hemos descubierto que la combinaci\u00f3n puede reducir el tiempo para evaluar e incorporar nuevos proveedores en un 33 %.<\/a><\/p>\n Las organizaciones que administran muchos cuestionarios o los proveedores que responden a muchos cuestionarios deber\u00edan considerar el uso de un intercambio de cuestionarios. En pocas palabras, es un dep\u00f3sito alojado de cuestionarios est\u00e1ndar o personalizados completados que se pueden compartir con otras partes interesadas una vez aprobados.<\/p>\n Si selecciona una plataforma que realiza la automatizaci\u00f3n descrita anteriormente, ambas partes obtienen un enfoque verificado y automatizado de los cuestionarios m\u00e1s recientes que se autovalidan mediante evaluaciones continuas. Nuevamente, esto puede ahorrarle tiempo a su equipo al solicitar acceso a cuestionarios existentes o escalar su tiempo en la respuesta de un nuevo cuestionario que puede reutilizarse a pedido.<\/p>\n Las clasificaciones de seguridad por s\u00ed solas no funcionan. Usar cuestionarios solo para evaluar a terceros no funciona. La gesti\u00f3n de exposici\u00f3n a amenazas, que incorpora clasificaciones de seguridad precisas de las evaluaciones directas, combinadas con cuestionarios validados, donde el cuestionario consulta la evaluaci\u00f3n y actualiza la clasificaci\u00f3n de seguridad, le brinda una soluci\u00f3n poderosa para la gesti\u00f3n continua de riesgos de terceros. Las plataformas que usan evaluaciones activas y pasivas, y no se basan \u00fanicamente en datos OSINT hist\u00f3ricos, brindan la visibilidad de superficie de ataque m\u00e1s precisa, ya que es de un tercero en ese momento. <\/p>\n Esta informaci\u00f3n se puede aprovechar para validar autom\u00e1ticamente los controles aplicables en el cuestionario para los requisitos del marco de seguridad y cumplimiento y marcar cualquier discrepancia entre la respuesta del cliente y el resultado de la evaluaci\u00f3n de la tecnolog\u00eda. Esto brinda a las organizaciones un enfoque real de “confiar pero verificar” hacia las revisiones de terceros. Dado que esto se puede hacer r\u00e1pidamente, puede recibir una notificaci\u00f3n cuando terceros no cumplan con controles t\u00e9cnicos espec\u00edficos.<\/p>\n Las organizaciones que buscan maximizar la eficiencia de su programa de gesti\u00f3n de riesgos cibern\u00e9ticos de terceros deben buscar agregar automatizaci\u00f3n a sus procesos. En entornos macroecon\u00f3micos m\u00e1s dif\u00edciles, las empresas pueden recurrir a la automatizaci\u00f3n para reducir el trabajo duro que realiza su equipo, sin dejar de lograr avances y resultados, a cambio de que los miembros del equipo puedan concentrarse en otras iniciativas.<\/p>\n Nota:<\/b> Victor Gamra, CISSP, ex CISO, ha escrito y proporcionado este art\u00edculo. Tambi\u00e9n es el fundador y director ejecutivo de FortifyData, una empresa de gesti\u00f3n de exposici\u00f3n continua a amenazas (CTEM) l\u00edder en la industria. FortifyData permite a las empresas administrar el riesgo cibern\u00e9tico a nivel organizacional mediante la incorporaci\u00f3n de evaluaciones de superficie de ataque automatizadas, clasificaci\u00f3n de activos, administraci\u00f3n de vulnerabilidades basada en riesgos, calificaciones de seguridad y gesti\u00f3n de riesgos de terceros<\/a> en una plataforma de gesti\u00f3n de riesgos cibern\u00e9ticos todo en uno. Para obtener m\u00e1s informaci\u00f3n, visite www.fortifydata.com<\/a>.<\/p>\nLa importancia de la gesti\u00f3n de riesgos de terceros<\/strong><\/h2>\n
Los beneficios de la automatizaci\u00f3n<\/strong><\/h2>\n
\n
Paso 1: eval\u00fae a sus proveedores con la gesti\u00f3n continua de exposici\u00f3n a amenazas (CTEM)<\/strong><\/h3>\n
\n
Paso 2: use un intercambio de cuestionarios<\/strong><\/h3>\n
Paso 3: combine continuamente los hallazgos de exposici\u00f3n a amenazas con el intercambio de cuestionarios <\/strong><\/h3>\n
![\"\"\/](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/02\/3-pasos-para-automatizar-su-programa-de-gestion-de-riesgos.gif\")