Las organizaciones dependen cada vez más de terceros para llevar a cabo diversas funciones empresariales. Desde proveedores de servicios en la nube hasta consultores especializados, la colaboración con terceros es fundamental para la eficiencia operativa. Sin embargo, esta dependencia también introduce riesgos significativos para la seguridad de la información. Aquí es donde entra en juego la Gestión de Riesgos de Terceros en Ciberseguridad (Third-Party Risk Management, TPRM).
¿Qué es la Gestión de Riesgos de Terceros en Ciberseguridad (TPRM)?
Es el proceso mediante el cual las organizaciones identifican, evalúan y gestionan los riesgos asociados con el uso de servicios de terceros. La finalidad es garantizar que estos terceros cumplan con los estándares de seguridad y no expongan a la organización a vulnerabilidades.
Indicadores para medir el TPRM
Para gestionar efectivamente los riesgos de terceros, es crucial establecer indicadores clave de rendimiento (KPI) y de riesgo (KRI). Aquí algunos ejemplos:
1. Porcentaje de terceros evaluados:
– KPI: % de terceros evaluados en un año.
– Umbral: >95% de terceros críticos evaluados anualmente.
2. Incidentes de seguridad relacionados con terceros:
– KRI: Número de incidentes de seguridad vinculados a proveedores externos.
– Umbral: 0 incidentes críticos.
3. Tiempo de respuesta ante incidentes:
– KPI: Tiempo promedio de respuesta ante incidentes de seguridad relacionados con terceros.
– Umbral: <2 horas para incidentes críticos.
4. Cumplimiento de Normativas de Seguridad:
– KRI: % de terceros que cumplen con las normativas y estándares de seguridad requeridos.
– Umbral: >95% de cumplimiento entre terceros críticos.
5. Frecuencia de Auditorías y Evaluaciones:
– KPI: Número de auditorías de seguridad realizadas a terceros por año.
– Umbral: Auditoría anual para todos los terceros críticos.
Umbral de Apetito de Riesgo
El apetito de riesgo de una organización define el nivel de riesgo que está dispuesta a aceptar. Para TPRM, es vital establecer umbrales claros:
– Riesgo Bajo: Terceros con controles de seguridad robustos y cumplimiento total de normativas. Umbral aceptable: 0-10%.
– Riesgo Medio: Terceros con algunas áreas de mejora en sus controles de seguridad, pero sin incidentes críticos. Umbral aceptable: 10-30%.
– Riesgo Alto: Terceros con deficiencias significativas en seguridad y posibles incidentes históricos. Umbral aceptable: <5% de los terceros totales.
Estrategias para Implementar un TPRM Eficaz
1. Evaluación Inicial y Continua: Realizar evaluaciones de riesgos antes de contratar a un tercero y periódicamente durante la relación comercial.
2. Contratos y Acuerdos de Nivel de Servicio (SLA): Incluir cláusulas de seguridad específicas y requisitos de cumplimiento en todos los contratos con terceros.
3. Monitoreo Continuo: Implementar sistemas de monitoreo para supervisar las actividades de los terceros en tiempo real.
4. Capacitación y Concienciación: Capacitar a los empleados y a los terceros sobre las mejores prácticas de ciberseguridad y las políticas de la organización.
5. Plan de Respuesta a Incidentes: Establecer un plan claro y probado para responder rápidamente a cualquier incidente de seguridad que involucre a terceros.
La gestión de riesgos de terceros es una componente crítica de la estrategia de ciberseguridad de cualquier organización. Al establecer indicadores claros, umbrales de apetito de riesgo y estrategias efectivas de TPRM, las organizaciones pueden protegerse mejor contra las amenazas que surgen de sus relaciones con terceros. Recuerde, la seguridad no es solo una responsabilidad interna; también depende de la confianza y la verificación continua de aquellos con quienes colaboramos.
