Las instituciones financieras de hoy están experimentando una transformación para modernizar sus organizaciones, confiando cada vez más en la subcontratación de tareas operativas a terceros para ganar eficiencia. Muchas grandes organizaciones financieras tienen amplias redes de terceros compuestas por numerosos proveedores y proveedores. De hecho, Gartner encontró que
60% de las organizaciones trabajar con más de 1000 terceros, y ese número solo crecerá a medida que las empresas se vuelvan más complejas.
A medida que las organizaciones financieras siguen dependiendo de terceros, no se puede dejar de enfatizar la importancia de mantener un sólido plan de gestión de riesgos para gestionar los riesgos de manera más eficaz y garantizar el cumplimiento normativo. Con este enfoque, las organizaciones financieras pueden obtener una mejor comprensión de sus vulnerabilidades a los ataques cibernéticos y enfocar sus esfuerzos de remediación en consecuencia, ahorrando recursos valiosos al identificar con precisión las amenazas más impactantes.
El riesgo de las redes de terceros
Si bien las asociaciones con terceros ayudan a simplificar las funciones comerciales esenciales, también aumentan los riesgos para las instituciones financieras en términos de riesgo cibernético. Esto puede volverse particularmente complicado con tantas entidades y servicios para asegurar y monitorear, así como organizaciones de terceros que pueden estar conectadas a entidades adicionales que también podrían ser la fuente de riesgos de seguridad cibernética. El catálogo de posibles problemas de seguridad de terceros puede ser catastrófico, amenazando información confidencial de empleados y clientes, datos financieros, así como operaciones dentro de la cadena de suministro de la organización y otras entidades externas que tienen acceso a sistemas privilegiados. un informe de
Instituto Ponemon encontró que el 51% de las empresas han experimentado una violación de datos causada por un tercero.
Para proteger los sistemas y los datos confidenciales del riesgo de terceros, muchas organizaciones de servicios financieros invierten en procesos de aseguramiento que, en diversos grados, requieren una evaluación independiente del cumplimiento cibernético de terceros a través de pruebas de riesgo empresarial, intrusión o certificación SOC 2 Tipo 2. Si bien esto El enfoque es conveniente, este tipo de evaluación es costoso, tiene brechas de visibilidad y aún así solo representa una aproximación del riesgo en un momento dado.
Un nuevo enfoque para la gestión de riesgos de terceros
La creciente complejidad de las redes de terceros ha hecho que la visibilidad del impacto causado por las vulnerabilidades sea particularmente difícil, especialmente para las grandes organizaciones. Las organizaciones financieras necesitan un enfoque moderno de la ciberseguridad que pueda identificar, medir, priorizar y gestionar todos los riesgos. Para crear un enfoque basado en el riesgo capaz de combatir el riesgo de terceros, las organizaciones financieras deben considerar implementar algunas estrategias clave:
- Evaluación de riesgos: La calificación de riesgo cibernético proporciona un marco objetivo para evaluar la postura de seguridad que tiene en cuenta una amplia gama de factores de riesgo internos y externos a una organización. Al convertir estas calificaciones en una representación fácil de comprender del riesgo cibernético cuantitativo, las organizaciones pueden comprender mejor qué tan seguros están sus activos y dónde deben mejorar.
- Priorización de vulnerabilidades: esta estrategia tiene en cuenta automáticamente la inteligencia de amenazas, el contexto de los activos y el análisis de la ruta de ataque. Las organizaciones con entornos complejos y recursos limitados pueden centrar sus esfuerzos en lo que importa priorizando y mitigando las vulnerabilidades que representan el mayor riesgo.
- Análisis de exposición: el análisis de exposición identifica las vulnerabilidades explotables y correlaciona los datos con las configuraciones de red y los controles de seguridad de una organización para determinar si un sistema es vulnerable a los ataques cibernéticos. Esta estrategia determina qué vectores de ataque o rutas de red podrían usarse para acceder a sistemas vulnerables. También permite opciones más granulares cuando un tercero representa un riesgo inaceptable al identificar sus puntos de acceso a la red y proporcionar una opción de “interruptor de apagado” para desconectar al socio sin afectar a otros socios.
Las estrategias de ciberseguridad efectivas deben proporcionar una garantía continua de los riesgos y vulnerabilidades de terceros. Un enfoque moderno de ciberseguridad basado en el riesgo permite la simulación de ataques, el cumplimiento y la visibilidad que permite a las organizaciones ver todos los puntos de entrada y acceso y realizar análisis de rutas y rutas. Al implementar un enfoque de ciberseguridad basado en el riesgo, las organizaciones financieras pueden mitigar de manera efectiva los riesgos de ciberseguridad de terceros.