COMENTARIO
Mitigar el riesgo de terceros puede parecer desalentador si se considera la gran cantidad de regulaciones entrantes junto con las tácticas cada vez más avanzadas de los ciberdelincuentes. Sin embargo, la mayoría de las organizaciones tienen más agencia y flexibilidad de lo que creen. La gestión de riesgos de terceros se puede construir sobre las prácticas de gobernanza de riesgos y los controles de seguridad existentes que se implementan actualmente en la empresa. Lo tranquilizador de este modelo es que significa que las organizaciones no tienen que eliminar por completo su protección existente para mitigar con éxito el riesgo de terceros, y esto fomenta una cultura de mejora gradual y continua.
El riesgo de terceros presenta un desafío único para las organizaciones. A primera vista, un tercero puede parecer digno de confianza. Pero sin una transparencia total sobre el funcionamiento interno de ese proveedor externo, ¿cómo puede una organización garantizar que los datos que se le confían estén seguros?
A menudo, las organizaciones restan importancia a esta pregunta apremiante, debido a las relaciones duraderas que tienen con sus proveedores externos. Debido a que han trabajado con un proveedor externo durante 15 años, no verán ninguna razón para poner en peligro su relación pidiendo "mirar debajo del capó". Sin embargo, esta línea de pensamiento es peligrosa: un incidente cibernético puede ocurrir cuando o donde menos se espera.
Un paisaje cambiante
Cuando se produce una violación de datos, no sólo se puede multar a la organización como entidad, sino que también se pueden imponer consecuencias personales. El año pasado, La FDIC endureció sus directrices sobre riesgo de terceros., preparando el escenario para que otras industrias sigan su ejemplo. Con el surgimiento de nuevas tecnologías como la inteligencia artificial, los resultados de una mala gestión de datos por parte de un tercero pueden ser nefastos. Las regulaciones entrantes reflejarán estas graves consecuencias al imponer duras sanciones a quienes no hayan desarrollado controles estrictos.
Además de las nuevas regulaciones, la aparición de proveedores de cuarta e incluso quinta parte debería incentivar a las organizaciones a proteger sus datos externos. El software no es la práctica interna simple que era hace 10 años: hoy, los datos pasan por muchas manos y con cada eslabón agregado a la cadena de datos, las amenazas a la seguridad aumentan mientras la supervisión se vuelve más difícil. Por ejemplo, realizar la debida diligencia con un proveedor externo es de poco beneficio si el tercero examinado subcontrata datos privados de clientes a un tercero negligente y la organización no lo sabe.
Cinco sencillos pasos listos para usar
Con la hoja de ruta adecuada, las organizaciones puede mitigar con éxito el riesgo de terceros. Mejor aún, no siempre son necesarias inversiones tecnológicas costosas y disruptivas. Para empezar, lo que las organizaciones necesitan al realizar la debida diligencia es un plan sensato, personal capaz y dispuesto a participar y una mayor comunicación entre los equipos de TI, seguridad y negocios.
El primer paso es comprender a fondo el panorama de los proveedores. Si bien esto puede parecer obvio, muchas organizaciones, especialmente las grandes empresas con presupuestos para subcontratar, descuidan este paso crucial. Si bien establecer apresuradamente una relación con un proveedor externo puede ahorrar dinero en el corto plazo, todos esos ahorros se borrarán si se produce una violación de datos y la organización enfrenta fuertes multas.
Después de investigar el panorama de proveedores, las organizaciones deben determinar qué roles de terceros son "críticos": estos roles pueden ser operativamente críticos o procesar datos confidenciales. Según la importancia, los proveedores deben agruparse por niveles, lo que permite flexibilidad en la forma en que la organización evalúa, revisa y gestiona al proveedor.
Clasificar a los proveedores según su importancia puede arrojar luz sobre la dependencia excesiva que las organizaciones pueden tener de sus proveedores externos. Estas organizaciones deben preguntarse: si esta relación cesara repentinamente, ¿tenemos un plan de respaldo? ¿Cómo reemplazaríamos esta función mientras continuamos sin problemas con las operaciones diarias?
El tercer paso es desarrollar un plan de gobernanza. Debe haber sinergia entre las tres ramas principales de una organización para realizar la debida diligencia y gestionar el riesgo de manera efectiva: el equipo de seguridad ilumina los agujeros en el programa de seguridad del proveedor, el equipo legal determina el riesgo legal y el equipo de negocios predice la cascada negativa. efecto en las operaciones si los datos o las operaciones se ven comprometidos. La clave para crear una gobernanza sólida es adaptar el plan a las necesidades únicas de una organización. Esto es especialmente aplicable a organizaciones en industrias menos reguladas.
El paso de gobernanza incorpora la redacción de obligaciones contractuales. Por ejemplo, a menudo en la computación en la nube, los líderes empresariales se apresuran por error a firmar un contrato sin entender que ciertas medidas de seguridad pueden o no estar incluidas en el paquete básico. Las obligaciones contractuales suelen depender de la industria, pero también debería desarrollarse una cláusula de seguridad estandarizada. Por ejemplo, si estamos evaluando una empresa de entrega, es posible que nos centremos menos en el proceso del ciclo de vida de desarrollo de software (SDLC) de un proveedor y más en sus medidas de resiliencia. Sin embargo, si estamos evaluando una empresa de software, querremos centrarnos en los procesos del SDLC del proveedor, como cómo se revisa el código y cómo se ven las salvaguardas para llevar a producción.
Finalmente, las organizaciones necesitan desarrollar una estrategia de salida. ¿Cómo puede una organización separarse claramente de un tercero y al mismo tiempo garantizar que se eliminen los datos de sus clientes? Ha habido casos en los que una empresa rompe vínculos con un proveedor solo para recibir una llamada años después informándole que su antiguo socio sufrió un compromiso de datos y que los datos de sus clientes quedaron expuestos, a pesar de asumir que estos datos fueron borrados. Moraleja de la historia: no asumas. Además de una filtración de datos accidental, también existe la posibilidad de que terceros proveedores utilicen los datos de un antiguo socio para el desarrollo interno, como por ejemplo el uso de esos datos para crear modelos de aprendizaje automático. Las organizaciones deben evitar esto estableciendo en términos claros, específicos y legalmente vinculantes cómo los proveedores borrarán los datos en caso de que finalice la asociación y cuáles serán las consecuencias si no lo hacen.
Crear una cultura de responsabilidad compartida y mejora continua
Adoptar un enfoque de equipo para realizar la debida diligencia significa que el director de seguridad de la información (CISO) no tiene que asumir por completo la responsabilidad de eliminar riesgos de un proveedor externo. El Los cargos de la SEC contra SolarWinds sienta un precedente preocupante: un CISO puede asumir la culpa, incluso si el problema surge de una disfunción en toda la organización. Si los equipos de TI y de negocios apoyan al CISO en la investigación de proveedores externos, prepara el escenario para futuras colaboraciones entre equipos, aumenta la aceptación de la organización y produce mejores resultados en lo que respecta a la seguridad.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach
- :es
- :no
- :dónde
- 10
- 15 años
- 15%
- 7
- a
- Nuestra Empresa
- accidentalmente
- adicional
- avanzado
- en contra
- .
- Todos
- permite
- también
- hacerlo
- an
- y
- Aparecer
- aplicable
- enfoque
- somos
- armas
- artificial
- inteligencia artificial
- AS
- contacta
- pidiendo
- evalúa
- asumir
- asunción
- At
- Backup
- basado
- Base
- BE
- porque
- se convierte en
- esto
- "Ser"
- es el beneficio
- además de
- mejores
- entre
- uniéndose
- aumenta
- incumplimiento
- Presupuestos
- build
- construido
- Líderes del negocio
- pero
- comprar
- by
- llamar al
- PUEDEN
- capaz
- cases
- cesar
- a ciertos
- cadena
- Reto
- cambio
- cargos
- jefe
- CISO
- limpiar
- cliente
- Soluciones
- la computación en nube
- código
- colaboraciones
- colaboración
- proviene
- Comunicación
- Empresas
- compañía
- completar
- compromiso
- Comprometida
- informática
- porque nunca
- Consecuencias
- en vista de
- continuo
- continuo
- contrato
- contractual
- controles
- costoso
- acoplado
- Para crear
- Creamos
- crítico
- criticidad
- crucial
- Cultura
- En la actualidad
- ciber
- ciberdelincuentes
- peligroso
- datos
- Violacíon de datos
- día a día
- entrega
- dependiente
- A pesar de las
- Determinar
- determina
- desarrollar
- desarrollado
- Desarrollo
- difícil
- diligencia
- terrible
- disruptivo
- do
- sí
- doesn
- "Hacer"
- don
- dos
- cada una
- efecto
- de manera eficaz
- aparición
- anima
- fin
- garantizar
- asegurando que
- entidad
- encomendado
- especialmente
- el establecimiento
- evaluación
- Incluso
- Evento
- ejemplo
- existente
- Exit
- Estrategia de salida
- esperado
- expuesto
- externo
- caras
- Otoño
- fdic
- multado
- multas
- Nombre
- Digital XNUMXk
- Flexibilidad
- Focus
- seguir
- Ex
- Cuarto
- Desde
- completamente
- función
- futuras
- gobierno
- gradual
- orientaciones
- Manos
- Tienen
- refugio
- fuerte
- aumentado
- Agujeros
- capucha
- Cómo
- Sin embargo
- HTTPS
- if
- implementado
- es la mejora continua
- in
- incentivar
- incidente
- incluido
- Entrante
- incorpora
- aumente
- cada vez más
- industrias
- energético
- información
- seguridad de la información
- interior
- ejemplo
- Intelligence
- interno
- dentro
- Inversiones
- ISN
- Emitido
- emisor
- IT
- SUS
- Poner en peligro
- jpg
- Clave
- paisaje
- large
- Apellido
- El año pasado
- luego
- los líderes
- aprendizaje
- menos
- Legal
- equipo legal
- legalmente
- menos
- ciclo de vida
- luz
- como
- línea
- LINK
- pequeño
- ll
- de larga data
- Mira
- MIRADAS
- máquina
- máquina de aprendizaje
- Inicio
- gestionan
- Management
- gestiona
- muchos
- Puede..
- significa
- medidas
- podría
- Mitigar las
- mitigar
- modelo
- modelos
- dinero
- moral
- más,
- MEJOR DE TU
- debe
- necesario
- ¿ Necesita ayuda
- negativas
- Nuevo
- Nuevas tecnologías
- no
- bonos
- obvio
- of
- a menudo
- on
- , solamente
- Operaciones
- or
- organización
- para las fiestas.
- Otro
- resultados
- externalizar
- Supervisión
- paquete
- Socio
- Consorcio
- fiesta
- pasa
- multas
- Realizar
- realizar
- con
- Personal
- plan
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- posibilidad
- prácticas
- Precedente
- Predice
- regalos
- prensado
- evitar
- privada
- Problema
- en costes
- produce
- Producción
- Programa
- apropiado
- Protección
- Push
- pregunta
- RE
- razón
- tranquilizador
- recepción
- reflejar
- regulados
- industrias reguladas
- reglamentos
- relación
- Relaciones
- reemplazar
- requiere
- responsabilidad
- Resultados
- revisado
- Reseñas
- Derecho
- Riesgo
- Gestión sistemática del riesgo,
- hoja de ruta
- También soy miembro del cuerpo docente de World Extreme Medicine (WEM) y embajadora europea de igualdad para The Transformational Travel Council (TTC). En mi tiempo libre, soy una incansable aventurera, escaladora, patrona de día, buceadora y defensora de la igualdad de género en el deporte y la aventura. En XNUMX, fundé Almas Libres, una ONG nacida para involucrar, educar y empoderar a mujeres y niñas a través del deporte urbano, la cultura y la tecnología.
- prisa
- s
- salvaguardias
- Guardar
- Ahorros
- sin problemas
- SEG
- seguro
- EN LINEA
- Medidas de Seguridad
- Las amenazas de seguridad
- ver
- parecer
- sensible
- separado
- grave
- set
- Sets
- pólipo
- compartido
- cobertizo
- brilla
- a corto plazo
- tienes
- firma
- sencillos
- Software
- Desarrollo de software ad-hoc
- sólido
- soluciones y
- Etapa
- comienzo
- indicando
- deriva
- paso
- pasos
- Sin embargo
- Historia
- Estrategia
- strike
- Huelgas
- fuerte
- Con éxito
- tal
- sufrió
- siguiente
- SOPORTE
- Superficie
- sinergia
- táctica
- Sastre
- ¡Prepárate!
- equipo
- equipos
- tecnología
- Tecnologías
- términos
- que
- esa
- El
- su
- Les
- sí mismos
- Ahí.
- Estas
- ellos
- pensar
- Ideas
- Código
- terceros.
- así
- completo
- a fondo
- aquellos
- amenazas
- Tres
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- Corbatas
- a
- hoy
- parte superior
- Transparencia
- digno de confianza
- inconsciente
- bajo
- entender
- comprensión
- único
- utilizan el
- usando
- Ve
- vendedor
- vendedores
- examinado
- quieres
- fue
- we
- WELL
- tuvieron
- ¿
- cuando
- que
- mientras
- QUIENES
- seguirá
- dispuestas
- sin
- trabajado
- labores
- se
- año
- años
- zephyrnet
