Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

Una Guía para TPRM | Administración de Riesgos de Terceros

Inicio Glosario Una Guía para TPRM | Administración de Riesgos de Terceros

TPRM es un área importante de la ciberseguridad para todas las organizaciones que hacen negocios con proveedores externos; incluso puede prevenir filtraciones si se hace correctamente.

¿Qué es TPRM? La administración de riesgos de terceros es un proceso que analiza y controla a los proveedores externos y sus posibles riesgos de seguridad para minimizar problemas antes de que ocurra una filtración o incidente.

¿Qué es la Administración de Riesgos de Terceros?

En 2020, los hackers lograron insertar código malicioso en los sistemas de software de SolarWinds, un importante proveedor de servicios en la nube y Software como Servicio (SaaS). Este código se propagó a través del sistema de administración de redes de la empresa, Orion, y comprometió no solo las tecnologías internas sino también las de sus clientes. A medida que se hizo pública la noticia de la filtración, empresas como Microsoft, FireEye y Experian, junto con agencias gubernamentales como el Departamento de Seguridad Nacional, todos usuarios de Orion, informaron que habían sido comprometidos.

Una Guía para TPRM | Administración de Riesgos de Terceros

Plataformas impulsadas por datos, aprendizaje automático, inteligencia artificial, ciberseguridad y análisis: todas estas funciones cada vez más críticas están moldeando cómo las organizaciones aprovechan los datos y los canales de comunicación para llegar a clientes y partes interesadas, construir productos y mantener la integridad de sus sistemas técnicos.

Sin embargo, debido a que estas funciones son tan complejas, generalmente es demasiado difícil para una sola empresa u organización implementarlas de manera independiente. Requieren entornos en la nube sofisticados, plataformas de aprendizaje automático y análisis, herramientas de ciberseguridad y otras configuraciones de software y hardware que, por sí solas, a menudo son demasiado costosas para que una sola organización las implemente y mantenga.

En consecuencia, ha habido un aumento significativo en el papel de los proveedores externos. Los proveedores pueden suministrar casi cualquier cosa que una organización necesite para aumentar su capacidad operativa. Estos proveedores ofrecen desde infraestructura en la nube, seguridad administrada y plataformas avanzadas de computación en la nube y software como servicios dedicados que las empresas utilizan según sea necesario a través de acuerdos de suscripción o contrato. Los servicios administrados a través de un proveedor externo a menudo son menos costosos de usar que las soluciones en las instalaciones sin sacrificar efectividad.

Pero hay un inconveniente al usar proveedores externos: el riesgo de terceros.

Cuando una organización trabaja con un tercero, introduce riesgos de seguridad. “Riesgo”, en este contexto, no es solo el riesgo literal de una filtración o ataque. En cambio, el riesgo es una métrica de las relaciones entre las medidas de seguridad existentes y las amenazas potenciales. El riesgo es algo que una empresa mide para determinar los tipos de medidas de seguridad y tecnología que adoptará para proteger los recursos del sistema. La tecnología de terceros, aunque útil desde un contexto empresarial, también introduce nuevos niveles de riesgo en los sistemas de un cliente.

Uno de los principales problemas es que los proveedores externos no están sujetos a la gestión directa o supervisión del cliente. Construyen y mantienen sus propios sistemas y contratan a su propio personal. Esta es parte de su propuesta de valor y el espacio donde se introduce el riesgo potencial en la infraestructura del cliente.

Por lo tanto, TPRM es la práctica de reconocer, medir, contextualizar, abordar y (si es necesario) minimizar los riesgos introducidos al trabajar con proveedores externos. Más importante aún, esta práctica se refiere a los pasos de una organización para comprender y trabajar con los riesgos potenciales que un proveedor externo puede traer a la mesa.

Características de TPRM

TPRM es un término amplio y las empresas pueden definirlo de manera diferente; sin embargo, la mayoría de los programas de TPRM contienen un conjunto finito de principios clave, que incluyen:

  1. Identificación y Evaluación de Riesgos: TPRM proporciona la capacidad de identificar, evaluar y priorizar riesgos relacionados con activos de información y actividades.
  2. Gestión de Procesos: TPRM asegura que los procesos estén en su lugar y funcionen correctamente para reducir el riesgo a niveles aceptables. A través de características de flujo de trabajo automatizado y gestión de procesos, TPRM permite a las organizaciones optimizar sus operaciones y asegurar que se tomen los pasos correctos para minimizar riesgos.
  3. Informes: TPRM proporciona capacidades de informes integrales que brindan visibilidad sobre el perfil de riesgo y el rendimiento de la organización. A través de informes personalizables, los ejecutivos y gerentes pueden identificar rápidamente riesgos y tomar decisiones informadas sobre cómo reducirlos.
  4. Monitoreo y Auditoría: TPRM apoya el monitoreo continuo de amenazas y vulnerabilidades, así como la auditoría automatizada de configuraciones y procesos del sistema. Esto permite a las organizaciones mantener un entorno seguro y ser proactivas en abordar riesgos antes de que se conviertan en un problema.
  5. Cumplimiento: TPRM permite a las organizaciones cumplir con los requisitos regulatorios y de cumplimiento como ISO 27001, PCI DSS y HIPAA al proporcionar características de gestión de cumplimiento automatizadas y flexibles.
  6. Gestión de Incidentes: TPRM proporciona visibilidad sobre incidentes de seguridad, permitiendo a las organizaciones responder más rápido y de manera más eficiente a cualquier amenaza o vulnerabilidad. A través de características de clasificación de incidentes, escalamiento, seguimiento y resolución, TPRM asegura que los riesgos se aborden de manera rápida y profesional.

Por Qué las Políticas de TPRM Son Importantes

Estas características clave proporcionan a las organizaciones un marco para desarrollar un programa integral de TPRM. Las empresas ahora pueden desarrollar políticas de TPRM para asegurar que sus socios externos cumplan. Las políticas de TPRM son importantes para organizaciones de todos los tamaños, ya que proporcionan una capa importante de defensa contra posibles amenazas cibernéticas. Estas políticas proporcionan directrices integrales que describen las responsabilidades de las organizaciones y su personal para proteger sus sistemas y datos. Al crear e implementar una política de TPRM, las organizaciones pueden reducir efectivamente el riesgo de amenazas cibernéticas y proteger sus datos confidenciales. Además, las políticas de TPRM son clave para asegurar el cumplimiento de los requisitos legales y regulatorios aplicables.

¿Cómo Introducen Riesgo los Proveedores Externos?

Ningún sistema de TI es 100% seguro, y como tal, ningún sistema está exento de algún nivel de riesgo. Esto es especialmente cierto cuando una organización contrata a una parte externa para integrar servicios en la infraestructura existente.

Debido a que una organización cliente no tiene control total sobre la infraestructura de su proveedor, diferentes vectores introducen riesgo potencial en el sistema. Estos incluyen los siguientes:

  • Ciberseguridad: Como lo ejemplifica el ataque a SolarWinds, las amenazas de seguridad de desbordamiento son un problema real para las soluciones de TI suministradas por proveedores. La filtración de un servicio o sistema en la nube puede propagarse a los servicios conectados y amenazar los datos de todos los clientes. Es importante notar que las filtraciones no son solo el resultado de negligencia o error. Los sistemas en la nube complejos son inherentemente vulnerables; su interconexión es en sí misma una fuente de riesgo.
  • Cumplimiento: Estrechamente relacionado con la ciberseguridad, los riesgos de cumplimiento abundan en las relaciones con terceros. Las regulaciones de cumplimiento gobernarán cómo gestionas la información de clientes, clientes o socios, e introducir un tercero para ayudar a gestionar esos datos presenta riesgos de incumplimiento. Marcos y regulaciones como FedRAMP, la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) y el Reglamento General de Protección de Datos (GDPR) incluso tienen leyes de responsabilidad específicas que abordan las relaciones con terceros.
  • Amenazas Internas: Las amenazas internas son un problema real en casi todas las industrias. Desafortunadamente, los proveedores externos introducen el riesgo potencial de amenazas internas porque contratan y verifican a sus propios empleados. Una amenaza de estos equipos podría tener un impacto significativo en sus clientes.
  • Spear Phishing: El phishing es una de las formas más extendidas de ataques de seguridad a nivel mundial. Las relaciones con proveedores añaden una nueva capa de desafíos para minimizar los ataques de phishing porque introducen nuevas formas en que los hackers pueden suplantar su camino en un sistema. Un ataque de phishing a un proveedor puede abrir tus sistemas a vulnerabilidades, y los hackers pueden usar direcciones de correo electrónico suplantadas para dirigirse a personas críticas en tu organización para ataques de spear-phishing.
  • Reputación: Los problemas de reputación son una parte real, aunque algo difusa, de las relaciones con terceros. Incluso si un incidente con un proveedor no impacta tus operaciones generales, la prensa negativa de dicho proveedor puede afectar tu reputación. Mantener la reputación de la marca es una parte esencial de la gestión del riesgo de terceros.

Debido a que estos proveedores pueden introducir riesgo en un sistema, muchas empresas integran la gestión de terceros en su cartera general. Sin hacerlo, pueden tener una comprensión inexacta o distorsionada de las vulnerabilidades que enfrentan, cómo ese riesgo informa las decisiones de TI y cumplimiento, y la vulnerabilidad de los sistemas.

¿Qué es una Plataforma de Administración de Riesgos de Terceros?

Dado que TPRM es una tarea tan compleja y las organizaciones deben tener una comprensión precisa y en tiempo real del riesgo de terceros, una ola de plataformas TPRM y soluciones han ingresado al mercado.

Las plataformas TPRM son típicamente soluciones basadas en la nube que combinan varias herramientas de evaluación en un solo paquete que unifica la automatización, la evaluación de proveedores, el monitoreo de proveedores, las herramientas de flujo de trabajo y la gestión de remediación.

Hay mucho que desglosar aquí, por lo que puede ser útil dividir estos componentes:

  • Evaluación de Riesgos de Proveedores: Uno de los servicios más esenciales que las soluciones TPRM aportan a una organización es aumentar la visibilidad de los problemas en las relaciones con proveedores. Una plataforma en la nube conectada a un sistema de TI dado puede ejecutar análisis comparativos sobre problemas de cumplimiento, documentación y amenazas potenciales introducidas por software o hardware interoperable. Por ejemplo, si un proveedor ofrece integración de interfaz de programación de aplicaciones (API) entre su plataforma y aplicaciones móviles o correo electrónico, una solución TPRM podría analizar ese riesgo y proporcionar alertas y sugerencias.

    Además, estas soluciones proporcionan métricas reales y sistemas de clasificación para ayudar a coordinar la gestión en toda una organización. Con una vista panorámica del perfil de riesgo de una empresa, los tomadores de decisiones pueden centrarse en el riesgo de terceros tal como encaja en una estrategia de cumplimiento o seguridad organizacional.

    Las herramientas de evaluación también pueden ayudar a las empresas a construir una clasificación de riesgo de proveedores. Aunque lo que constituye un “alto riesgo” puede cambiar según el contexto, la mayoría de las empresas pueden usar combinaciones de factores como configuraciones de TI, estándares de cumplimiento, revisiones de contratos, procedimientos de selección de personal y empleados, historial de marca y verificaciones de antecedentes profesionales para compilar clasificaciones basadas en métricas internas.

  • Monitoreo de Riesgos de Proveedores: Una solución de gestión debe tener herramientas de monitoreo. Aunque pueda parecer contradictorio pensar en monitorear proveedores a través de una plataforma digital, el software TPRM puede ayudar a las organizaciones a crear e implementar métricas y recursos compartidos, requerir documentación e informes, y rastrear el rendimiento operativo. Las organizaciones pueden agilizar más fácilmente la gestión de proveedores para los requisitos de evaluación y cumplimiento a través de una herramienta de monitoreo continuo.
  • Automatización y Flujo de Trabajo: Los proveedores pueden cambiar configuraciones y software. Los contratos se renuevan. Las operaciones y los objetivos comerciales evolucionan con el tiempo. Una solución TPRM puede ayudar tanto a una empresa como a sus proveedores a automatizar operaciones críticas a medida que ocurren estos cambios. Estos procesos automatizados pueden incluir revisiones de contratos, actualizaciones de documentación o incluso la organización de reuniones cuando cambian las configuraciones del sistema. Es crucial enfatizar que a medida que cambian las relaciones, la evaluación será parte de ese cambio. Incluso un pequeño ajuste a la infraestructura o tecnología subyacente por parte de un proveedor puede tener un impacto significativo en el perfil de riesgo de un cliente. Además, automatizar las revisiones de contratos anualmente puede apoyar a las empresas clientes al evaluar los procedimientos de gestión necesarios como monitoreo, auditorías e informes requeridos.
  • Remediación: Si un proveedor experimenta una filtración, cualquier cliente afectado debe estar listo para reaccionar con una remediación rápida. TPRM puede apoyar alertas y remediación utilizando análisis para ofrecer soluciones que puedan aislar problemas de seguridad, minimizar cualquier exposición a amenazas y evaluar los próximos pasos para resolver el problema.

En todas estas categorías, las organizaciones deben reconocer el papel de la gestión de riesgos organizacionales como un componente de TPRM. Simplemente no hay forma de evaluar con precisión el riesgo de proveedores a menos que ya exista un plan de gestión en su lugar para una organización. Afortunadamente, la gestión de riesgos de la cadena de suministro es un tema importante en ciberseguridad y cumplimiento. La mayoría de los marcos como GDPR, HIPAA y FedRAMP tienen algunos controles que discuten la implementación de evaluaciones de la cadena de suministro. Además, el Instituto Nacional de Estándares y Tecnología (NIST) ha publicado Publicación Especial 800-161, que aborda específicamente estándares y mejores prácticas en la gestión de la cadena de suministro.

En todos estos casos, los reguladores y quienes establecen directrices coinciden en la necesidad de crear una política de gestión de proveedores. Estas políticas son reglas y procedimientos que una organización implementa para monitorear a los proveedores y los cambios en las relaciones con ellos. Tales políticas pueden incluir revisiones de contratos, monitoreo continuo, verificaciones de antecedentes y auditorías automatizadas basadas en cambios tecnológicos o de políticas de los proveedores.

Además, una solución TPRM debe incluir formas para que las empresas identifiquen y eviten relaciones de proveedores riesgosas. A veces, los proveedores pueden cambiar de nombre de marca o propiedad, lo que puede ocultar evidencia de problemas pasados con seguridad, mantenimiento o imagen pública. Estas soluciones podrían ofrecer métodos para monitorear el comportamiento de los proveedores o automatizar procesos para auditorías de proveedores y evaluaciones de contratos.

Para desarrollar prácticas y procedimientos de TPRM, las organizaciones pueden obtener la certificación TPRM. Una de las certificaciones más reputadas en la industria es la Certificación de Evaluaciones Compartidas CTPRP, que cubre tanto la evaluación de riesgos generales como de terceros.

Consideraciones de Compra para Soluciones TPRM

Las empresas en el mercado para una solución TPRM deben considerar algunos criterios clave, que incluyen:

  1. Requisitos de Cumplimiento: Las organizaciones deben asegurarse de que su solución TPRM cumpla con cualquier requisito de cumplimiento y regulatorio aplicable, como los requeridos por PCI DSS, GDPR, NIST o HIPAA.
  2. Estándares de Seguridad: Las organizaciones deben buscar soluciones TPRM que se adhieran a los últimos estándares y protocolos de seguridad de la industria, como los emitidos por la Organización Internacional de Normalización (ISO) o el Marco de Ciberseguridad (CSF).
  3. Privacidad de Datos: Las organizaciones deben buscar soluciones TPRM que proporcionen características mejoradas de privacidad y protección de datos, como cifrado, autenticación de dos factores y control de acceso.
  4. Automatización: Las características de automatización son esenciales para las organizaciones que buscan optimizar sus procesos TPRM. La automatización puede ayudar a reducir el esfuerzo manual, acelerar el tiempo de cumplimiento y mejorar la eficiencia.
  5. Escalabilidad: Las soluciones TPRM deben ser escalables y flexibles para apoyar las necesidades cambiantes de una organización. Las organizaciones deben buscar soluciones que puedan acomodar su crecimiento actual y futuro.
  6. Socios de Terceros: Las organizaciones deben buscar soluciones que les permitan gestionar y monitorear fácilmente la seguridad de sus socios de terceros.
  7. Costo: Las soluciones TPRM varían en costo, por lo que las organizaciones deben buscar soluciones que ofrezcan las características que necesitan a un precio que puedan pagar.

La Gestión de Riesgos es Crítica para las Relaciones con Proveedores Externos

Los proveedores externos pueden introducir un riesgo significativo en tu organización, y depende de tus equipos de ciberseguridad y cumplimiento identificar, medir y monitorear ese riesgo. La debida diligencia en cuanto a las capacidades técnicas y administrativas es una parte necesaria de hacer negocios. Afortunadamente, existen soluciones para apoyar tales esfuerzos, y con el uso estratégico de plataformas TPRM y prácticas de gestión de riesgos, la mayoría de las organizaciones pueden evitar la mayoría de los problemas importantes con terceros.

Si deseas aprender más sobre cómo la gobernanza de contenido y la gestión de datos pueden apoyar tus esfuerzos de TPRM, asegúrate de leer nuestro eBook sobre Cómo Conquistar el Riesgo Cibernético en Comunicaciones con Terceros. Y, si estás interesado en la plataforma Kiteworks, programa una demostración con un miembro del equipo de Kiteworks.

Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante
Compartir
Twittear
Compartir
Explore Kiteworks