Detección automática de proveedores (AVD) para llevar su gestión de riesgos de terceros al siguiente nivel

Security Scorecard
 
Los proveedores son una parte clave de todo negocio y, por tanto, de la seguridad de toda organización. Sin embargo, uno de los mayores desafíos para los equipos de seguridad y gestión de riesgos es rastrear a sus proveedores. No es de extrañar que el 65 % de las organizaciones no sepa qué terceros tienen acceso a sus datos más confidenciales. Además de eso, los equipos de gestión de riesgos de proveedores deben preocuparse por quiénes son los proveedores de sus proveedores, es decir, sus cuartos, lo que deja un punto ciego potencial para el riesgo. 

Los métodos tradicionales de gestión de riesgos de terceros no funcionan

Según una encuesta reciente de Gartner, el 71 % de las organizaciones informan que su red de terceros contiene más proveedores que hace tres años. Este mismo grupo informa que su red de terceros crecerá aún más en los próximos tres años. Con el rápido ritmo de la transformación digital, la presión para incorporar rápidamente a nuevos terceros y los nuevos riesgos digitales que surgen de formas de trabajo cada vez más digitalizadas, el proceso tradicional de gestión de riesgos de terceros no es suficiente.

Tradicionalmente, el proceso de identificación de proveedores implica enviar y recibir correos electrónicos con adquisiciones, encuestar a varios departamentos e individuos, y revisar los contratos y el historial de pagos para comprender a los terceros que conforman una cadena de suministro digital. Esto requiere mucho tiempo, es propenso a errores y descuidos y, a menudo, pasa por alto múltiples relaciones de proveedores "en la sombra" que pueden existir. Estos métodos carecen de visibilidad continua de las vulnerabilidades en todo el ecosistema de proveedores.

Ahora, imaginemos este proceso para las cuartas partes. Si detectar y monitorear su propia cadena de suministro es difícil, hacer lo mismo para los proveedores externos es exponencialmente más difícil. Las organizaciones deben alejarse de estos procesos manuales hacia un enfoque automatizado, integrado y colaborativo. Para eso, hay 3 (tres) maneras fáciles de realizarlo.

1. Haga uso de una herramienta que detecte automáticamente todo su ecosistema de proveedores.

Para escalar el proceso de gestión de riesgos del proveedor, debe adoptar la automatización de principio a fin. Esta es una combinación de personas, procesos y tecnología. Ya sea que esté comenzando su proceso de gestión de riesgos de proveedores o haya desarrollado uno maduro, los procesos no siempre se seguirán al pie de la letra y la mayoría de las organizaciones informan escasez de talento en todos los ámbitos. Ahí es donde entra la tecnología para llenar este vacío.

Imagínese si tuviera una herramienta que pudiera escanear de manera no intrusiva cualquier dominio y detectar automáticamente a sus terceros. Ahora, imagine si esa misma herramienta también pudiera atribuir automáticamente a los proveedores de esos terceros, es decir, sus cuartos. Aprovechar la detección automática de proveedores de SecurityScorecard hace exactamente esto, ahorrarle horas en su proceso de gestión de riesgos de terceros. Con más de 21 millones de conexiones de proveedores identificadas para más de 180 000 empresas, la detección automática de proveedores visualiza la identificación de sus terceros y cuartos. Si bien esto puede mostrarle organizaciones que ya conoce, la mayoría de los clientes se sorprenden al descubrir proveedores que no estaban en su inventario.

Dar este siguiente paso automatizado potenciará la colaboración dentro de su organización desde la adquisición, la seguridad, TI y, lo que es más importante, la colaboración con sus proveedores.

2. Conozca el riesgo que representa cada proveedor y todo su ecosistema.

Una vez que se identifican los proveedores, el próximo desafío es la clasificación e identificación del riesgo. Tradicionalmente, la mayoría de los equipos de gestión de riesgos de proveedores envían evaluaciones o cuestionarios de seguridad extensas para evaluar la postura de seguridad de sus proveedores. Desafortunadamente, estos solo brindan una visión puntual, no una visibilidad continua de la postura de seguridad de cada proveedor, así como una comprensión del riesgo general que plantean.

La Detección automática de proveedores (AVD) brinda visibilidad continua de la postura de seguridad general de cada proveedor tercero y cuarto, lo que permite a las organizaciones identificar a sus proveedores más riesgosos y los problemas específicos que deben resolverse. Yendo un paso más allá, la detección automática de proveedores calcula una puntuación de riesgo de la cadena de suministro al combinar el riesgo de una organización y toda su cadena de suministro digital. Esto tiene en cuenta múltiples parámetros, incluida la infraestructura, las rutas a una organización y cuánto riesgo puede representar cada proveedor.

3. Identifique el riesgo de concentración para monitorear continuamente a sus cuartas partes más cruciales.

El riesgo de concentración de terceros se produce cuando muchos de sus terceros confían en el mismo cuarto. Esto puede crear un único punto de falla si ese tercero, como un servicio de hosting popular o un proveedor de la nube, experimenta un evento comercial disruptivo o una violación de datos. Una forma de identificar esto es pedir a sus terceros una lista de sus proveedores prioritarios. Sin embargo, muchas empresas son reacias a compartir sus listas y, cuando lo comparten, es difícil verificarlas o mantenerlas actualizadas.

El uso de la detección automática de proveedores no solo le permite descubrir a sus terceros, sino también comprender cómo están conectados con su organización. Por cada cuarto proveedor descubierto, puede profundizar en las conexiones y los proveedores externos que aprovechan este proveedor. Esto lo arma con los datos que necesita para priorizar y monitorear continuamente no solo a sus proveedores críticos de terceros, sino también a los de ellos. Si el puntaje de un proveedor externo cae repentinamente de una A a una C, su equipo está preparado con el conocimiento para tomar medidas y prevenir una posible infracción o evento.