El 45% de las organizaciones experimentaron ciberincidentes relacionados con terceros
- Seguridad
©Freepik
El éxito de la gestión del riesgo de ciberseguridad de terceros depende de la capacidad de la organización de seguridad para cumplir con tres resultados: eficiencia de recursos, gestión de riesgos y resiliencia e influencia en la toma de decisiones empresariales. Sin embargo, solo el 6% de las organizaciones son efectivas en los tres.
A pesar del aumento de las inversiones en la gestión de riesgos de ciberseguridad de terceros en los últimos dos años, el 45% de las organizaciones experimentaron ciberincidentes relacionados con terceros, según una nueva encuesta de Gartner.
"La gestión de riesgos de ciberseguridad de terceros suele consumir muchos recursos, está demasiado orientada a los procesos y tiene poco que mostrar en términos de resultados", señala Zachary Smith, investigador principal sénior de Gartner. "Los equipos de ciberseguridad luchan por desarrollar resiliencia contra las interrupciones relacionadas con terceros y por influir en las decisiones comerciales relacionadas con terceros".
Basándose en los resultados de la encuesta, Gartner identificó cuatro acciones que los líderes de seguridad y gestión de riesgos deben tomar para aumentar su eficacia en la gestión del riesgo de ciberseguridad de terceros. La encuesta reveló que las organizaciones que implementaron cualquiera de estas acciones experimentaron un aumento del 40-50% en la efectividad de la gestión de riesgos de ciberseguridad de terceros. Estas acciones incluyen:
--Revisar periódicamente la eficacia con la que se comunican los riesgos de terceros al propietario de la empresa: Los directores de seguridad de la información (CISO) deben revisar periódicamente si la empresa entiende sus mensajes sobre los riesgos de terceros para asegurarse de que están proporcionando información procesable sobre esos riesgos.
--Realizar un seguimiento de las decisiones contractuales de terceros para ayudar a gestionar la aceptación de riesgos por parte de los propietarios de empresas: Los propietarios de negocios a menudo optarán por interactuar con un tercero, incluso si están bien informados sobre los riesgos de ciberseguridad asociados. El seguimiento de las decisiones ayuda a los equipos de seguridad a alinear los controles de compensación para las aceptaciones de riesgos y alerta a los equipos de seguridad sobre los propietarios de negocios particularmente arriesgados que pueden requerir una mayor supervisión de ciberseguridad.
--Llevar a cabo una planificación de respuesta a incidentes de terceros: Una gestión de riesgos de ciberseguridad de terceros eficaz va más allá de identificar y notificar los riesgos de ciberseguridad. Los CISO deben asegurarse de que la organización cuente con sólidos planes de contingencia para prepararse para escenarios inesperados y poder recuperarse bien después de un incidente.
--Trabajar con terceros críticos para madurar sus prácticas de gestión de riesgos de seguridad según sea necesario: En un entorno hiperconectado, el riesgo crítico de un tercero es también el riesgo de una organización. Asociarse con terceros críticos para mejorar sus prácticas de gestión de riesgos de seguridad ayuda a promover la transparencia y la colaboración.