¿Ha llegado el momento de dar prioridad a la gestión de riesgos de terceros?

El riesgo de los proveedores de terceros puede dar lugar a incidentes potencialmente muy perjudiciales, pero muchas empresas tienden a centrarse en la protección de sus sistemas y procesos internos y pueden preocuparse menos por los que entregan a otros, que bien pueden ser percibidos como "expertos" y por tanto seguros.

Sin embargo, esta difícil cuestión debería reclamar más atención por parte de los consejos de administración, tal y como han puesto de manifiesto las recientes filtraciones de datos. Los expertos en seguridad instan a adoptar un enfoque mucho más conjunto, de hecho
responsabilidad empresarial y colectiva.

Marco de riesgo

Con demasiada frecuencia, un departamento individual, como el de compras o el de TI, puede ser responsable de establecer y gestionar las relaciones con terceros, lo que significa que la supervisión puede ser a veces menos rigurosa. En cambio, es necesario invertir tiempo y esfuerzo en la gestión de riesgos de terceros desde el principio.
Se debe exigir a todos los proveedores que proporcionen información sobre sus normas de seguridad y gestión de riesgos para ayudar a verificar que son o pueden ser un socio de confianza y dónde hay posibles riesgos, especialmente si tienen acceso a los datos.

Cada uno de ellos debe responder a un cuestionario para ser introducido en un marco y esto puede ayudar a su clasificación en cuanto a si son de alto, bajo o medio riesgo. Debe haber una investigación, controles comerciales estrictos y acuerdos legales, junto con una supervisión, y esto debe ser más frecuente para los proveedores de mayor riesgo.

Algunos vendedores pueden no apreciar este nivel de supervisión o que se les pidan referencias, por ejemplo. Pero, si se muestran reacios, esto debería provocar algunas discusiones serias sobre si el acuerdo va a resultar viable.

Un reciente informe de Verizon descubrió que una de cada dos violaciones de datos tiene su origen en los riesgos de terceros, por lo que muchos gestores de riesgos pueden querer llevar a cabo revisiones en esta área y, potencialmente, esto debería ser a nivel de la raíz y la rama.

Dow Jones en el punto de mira

El pasado mes de febrero se reveló que un "tercero autorizado" había expuesto una lista de vigilancia de Dow Jones altamente sensible que se encontraba en una base de datos y que contenía unos 2,4 millones de registros.

Los nombres fueron clasificados como de "alto riesgo" por la empresa de noticias financieras, ya que se entendía que tenían posibles vínculos con el crimen organizado o el terrorismo. Se informó de que entre las personas que figuraban en la lista había políticos, presuntos terroristas y delincuentes de cuello blanco, y se dijo que los detalles incluían edades, ubicaciones, notas detalladas de presuntas infracciones y, en algunos casos, fotografías.

Una lista de este tipo puede ayudar a las empresas a evitar que traten con organizaciones de dudosa reputación y se vean afectadas por sanciones o por problemas normativos, como los relacionados con la lucha contra el blanqueo de capitales.
Los nombres se encontraban en un servidor no seguro de AWS y la base de datos fue descubierta por Bob Diachenko, un experto en seguridad que también ha descubierto otras violaciones de datos. Dijo que la lista se encontraba en un clúster público de Elasticsearch con un tamaño de 4,4 GB y disponible para el acceso público de cualquiera que supiera dónde buscar.

Participación del Consejo de Administración

Dow Jones dijo que los datos formaban parte de su oferta de riesgo y cumplimiento y el portavoz dijo:

"Nuestra revisión sugiere que esto fue el resultado de una mala configuración de un servidor de AWS por parte de un tercero autorizado, y los datos ya no están disponibles".

Las bases de datos no seguras de Elasticsearch han estado detrás de una serie de violaciones de datos recientemente, incluyendo una que afectó a 32 millones de clientes de Sky Brasil y un incidente de Thompson Reuters también relacionado con una lista de vigilancia y la exposición de 2,2 millones de registros.

El traspaso de datos y funciones a otras empresas se produce con frecuencia por muchas razones. Pero esto no significa que se abandone la responsabilidad y hay que mantener en la empresa a personas con los conocimientos adecuados tanto para gestionar a los proveedores como para garantizar que, en caso de incidente, se pueda dar una respuesta rápida y eficaz.
Cuando se trata de la gestión de terceros, los reguladores vigilan y los consejos de administración, junto con los gestores de riesgos, deben comprometerse e implicarse.