Mitigando el Riesgo en su Red de Proveedores

Un grupo de piratas informáticos fue acusado recientemente del robo de comunicados de prensa corporativos no publicados aún que incluían informes de ahorros, cambios de personal y otra información material, por lo que recibieron 100 millones de dólares. El delito más grande de este tipo llevado a juicio fue orquestado por un equipo de delincuentes cibernéticos de Estados Unidos, Ucrania y Europa.

Esta historia es un excelente ejemplo de la expansión y la mayor sofisticación de los delitos cibernéticos financieros, un verdadero efecto de la red. Los piratas informáticos son oportunistas: no atacaron directamente a las empresas afectadas, sino que explotaron la vulnerabilidad de los socios de la agencia de información de la firma. Es una lección para los bancos y las instituciones financieras que comparten información confidencial con una red de proveedores que incluye firmas de servicio profesional, reguladores y socios comerciales. A medida que continúa aumentando el riesgo de fugas de seguridad, y el entorno normativo se vuelve más estricto, resulta imperativo que las firmas financieras de todo tipo tomen medidas para mitigar los riesgos en las redes de sus proveedores.

Compartir información confidencial, y a menudo regulada, fuera de las organizaciones es un procedimiento operativo estándar para los empleados de bancos, empresas de seguros y firmas de inversión. Durante su día de trabajo, comparten datos de movimientos de mercado fuera del firewall: piense en la información que se envía a colegas y terceros ajenos a la empresa al trabajar en auditorías reglamentarias, clasificación, programas de cumplimiento, delitos financieros y otro material altamente confidencial. Si a esto se suma la información protegida de los clientes, es una tormenta perfecta para una impactante fuga de datos. Matthew L. Schwartz, un antiguo fiscal federal de Nueva York, dijo a Associated Press al referirse a una estafa de $100 millones que “La lección es que la información está tan segura como las personas con quienes la comparte. Si comparte esa información son un servicio de noticias, una firma de RR. PP. o incluso una firma legal, entonces debe asegurarse de que sea seguro.”

La Gestión de Riesgos del Proveedor es una moneda de dos caras: la seguridad y el cumplimiento, cada una de las cuales puede tener consecuencias costosas si no se tratan o monitorean regularmente. Por supuesto, en lo que respecta a seguridad, se incluyen las vulnerabilidades y la exposición que surge al compartir documentos fuera del firewall y el sistema de seguridad con proveedores y otros terceros. Los riesgos incluyen portales vulnerables de terceros, sitios de FTP inseguros, memorias USB, documentos no protegidos y correo electrónico que se pueden interceptar o contener software malicioso.

El cumplimiento requiere la capacidad de probar la adherencia a todas las regulaciones vigentes, que incluyen confirmar el hecho de que los socios comerciales también cumplen con ellos. El cumplimiento ya no termina en la puerta de la oficina: para asegurar el cumplimiento, ya no es suficiente contar con un firewall impermeable o una seguridad fuerte en la red interna de la empresa y el flujo de trabajo. Como institución financiera gobernada por una gran cantidad de regulaciones estatales y federales, los proveedores dentro de su ecosistema deben ser capaces de demostrar el mismo nivel de cumplimiento con todas estas leyes.

Los avances tecnológicos y la infraestructura cada vez más conectada han permitido que cada vez más funciones comerciales sean derivadas a los proveedores que se especializan en tratar diferentes elementos de las operaciones financieras. Esto es así especialmente en el área de los pagos electrónicos, los préstamos a los consumidores, el marketing de servicios financieros, los informes y el cumplimiento. Los proveedores se convierten esencialmente en una extensión de la organización. Ya sea que se trate de pagos, lanzamientos de prensa, problemas legales, servicios de cumplimiento o campañas de marketing, usted confía en otras empresas para realizar sus negocios. Todas estas empresas conforman su red de proveedores y pueden convertirse en una fuente de fuga de datos que puede infringir los reglamentos que rigen la seguridad y la privacidad de los datos. Estas fugas tienen un impacto negativo en el valor de la marca, el precio de las acciones, la reputación y la confianza de los consumidores.

Para mitigar exitosamente los riesgos en la organización, debe contar con una política completa de concientización y adherencia. La administración de riesgos se debe iniciar en el nivel ejecutivo y desde allí pasar a toda la organización y la red de proveedores, apoyada por una cultura de cumplimiento y tecnología que permita la aplicación. Teniendo en cuenta estos riesgos, la administración de riesgos de los proveedores no puede ser simplemente un elemento más del presupuesto del departamento de TI. Se debe considerar como una iniciativa estratégica.

Diez maneras de gestionar y mitigar los riesgos de los proveedores

1. Instituir una fuerte política de protección de datos y asegurar que todos los clientes y proveedores de la organización tengan capacitación al respecto, no solo en el momento de la contratación sino también periódicamente mediantes cursos de repaso para recordarles cómo pueden permanecer activos y diligentes.

2. Usar tecnología para respaldar el cumplimiento. El software de colaboración segura que ofrece una prueba de auditoría para todos los documentos y ofrece administración de derechos sobre la información (IRM) le permite controlar los archivos más allá de su firewall. Sugerir que los proveedores también adopten esta tecnología.

3. Considerar con quién más sus socios realizan negocios y que podrían ser objeto de ataques cibernéticos. ¿Comparten servicios en la nube con una empresa en una industria muy expuesta a ataques? Si bien usted podría no realizar negocios directamente con otras empresas en las redes de sus proveedores, estas empresas se convierten también en participantes y podrían ser una fuente de riesgos.

4. Estudiar detalladamente las políticas de seguridad de los proveedores. ¿Cómo protegen sus propios negocios, y sus datos?

5. Educar a los proveedores sobre las regulaciones que rigen su negocio. Asegurar que el flujo de trabajo y la tecnología demuestren su cumplimiento con todas las regulaciones vigentes. Informar periódicamente a los proveedores sobre los cambios en las regulaciones.

6. Incluir criterios para la tecnología de seguridad de la información y el cumplimiento del flujo de trabajo en RFP, RFI y contratos al buscar nuevos proveedores.

7. Auditar la red de proveedores. Identificar las áreas del negocio que podrían estar en riesgo de acuerdo con sus relaciones comerciales externas y crear maneras de mitigar estos riesgos, usando la tecnología o adaptando el flujo de trabajo.

8. Añadir lenguaje específico a los acuerdos de nivel del servicio (SLA) que reflejen los estándares que regirán a sus proveedores.

9. Trabajar junto con los proveedores para implementar pasos para identificar y resolver los problemas antes de que sean críticos. Trabajar juntos para contener y controlar los riesgos.

10. Finalmente, establecer un proceso que los proveedores puedan consultar en caso de fuga o consulta de un proceso o tecnología. Crear un conjunto de pautas que incluya un proceso de escalamiento y protocolos de comunicación que los proveedores puedan seguir en caso que sea necesario.

Administrar de manera eficaz los riesgos de los proveedores protegerá a la organización y a los clientes. Los proveedores brindan servicios valiosos y son socios vitales para su éxito. Su política debe incluir trabajar proactivamente con ellos para proteger los intereses de la organización y, en última instancia, la privacidad y los intereses de los clientes.