NeuronaBA una publicación digital y portal de noticias sobre tecnología con impacto en la Provincia de Buenos Aires – Argentina.
10 enero, 2020
Webinar “Transforma tus ideas en soluciones innovadoras – 3ra. Edición”… empezamos el año con muy buena energía.
24 enero, 2020

Gestión de Riesgos de Proveedores Externos para Bancos e Instituciones Financieras.




Actualmente, los bancos e instituciones financieras cooperan estrechamente con varios proveedores externos. Si bien dicha cooperación trae muchos beneficios, también plantea algunas preocupaciones importantes con respecto a la seguridad de los datos y de los recursos a los que estos proveedores tienen acceso. De hecho, según el “Informe de investigaciones de violación de datos de 2019” de Verizon, el sector financiero se encuentra entre los más vulnerables, representando aproximadamente el 10% de todas las violaciones de datos en todas las industrias en 2018.


¿Por qué los bancos contratan proveedores externos?

No se trata solo de ahorrar dinero.

Los bancos y las instituciones financieras pueden subcontratar todo tipo de actividades operativas, desde contabilidad y tasaciones hasta mercadeo e incluso servicios de préstamos. Trabajar con subcontratistas independientes brinda múltiples beneficios, echemos un vistazo más de cerca a estas razones.

Mayor flexibilidad y escalabilidad de los equipos internos. La contratación de proveedores externos brinda a las instituciones financieras la libertad de escalar sus equipos internos de la manera que deseen.

Reducir costos, especialmente en reclutamiento. Trabajar con terceros puede ayudar a una organización a ahorrar algo de dinero en impuestos.

Aumentar la eficiencia. Delegar algunas tareas a proveedores externos permite a las instituciones financieras trabajar de manera más eficiente: procesar más operaciones, atender a más clientes, etc.

Introducir nuevas tecnologías y soluciones. Trabajar con proveedores de terceros es una excelente manera de implementar nuevas soluciones innovadoras con riesgos mínimos.
En la siguiente sección, analizamos más de cerca los desafíos y riesgos clave que enfrentan las instituciones financieras cuando trabajan con subcontratistas.


Riesgos de ciberseguridad de servicios de terceros

Tu aliado puede convertirse fácilmente en tu mayor amenaza.

Tener que otorgar a terceros accesos a datos confidenciales, sistemas críticos y otros recursos importantes, es quizás el mayor riesgo de cooperar con subcontratistas.

Es crucial recordar que, si bien puede delegar algunas tareas y funciones a un tercero, garantizar la seguridad cibernética de su organización sigue siendo su responsabilidad. Descuidar esta responsabilidad puede tener consecuencias devastadoras.

Echemos un vistazo a seis preocupaciones clave de seguridad cibernética con respecto a la cooperación con proveedores externos:

Fugas de datos. La información es el activo más valioso de una institución financiera, y puede ser objetivo de los ciberdelincuentes o ser dañada debido a errores humanos.

Pérdidas financieras Las violaciones de datos a menudo conducen a sanciones regulatorias o demandas de los clientes.

Daño reputacional. Los incidentes de seguridad relacionados con terceros pueden dañar la reputación de un banco y provocar la pérdida de la confianza del cliente.

Cumplimiento Normativos. Las instituciones financieras tienen que cumplir con los reglamentos y normas: boletines OCC, GLBA, PCI DSS, NIST, etc. El incumplimiento dará lugar a multas y sanciones.

Interrupciones operacionales. Los incidentes de ciberseguridad causados por proveedores externos pueden interrumpir gravemente las operaciones de su empresa y afectar la disponibilidad de su red y servicios.

Riesgos de la cuarta parte. Asegúrese de que sus subcontratistas no volverán a externalizar ninguno de sus servicios críticos a los llamados terceros. Puede hacerlo agregando una cláusula correspondiente a su contrato.

La buena noticia es que puede mitigar con éxito estos riesgos mediante la implementación de un programa exhaustivo de gestión de riesgos de terceros (TPRM). En la siguiente sección, le damos una guía paso a paso para construir uno.


Creación de un programa de gestión de riesgos de terceros.

Prevenir es mejor que curar

La gestión de riesgos de terceros es un proceso complejo en su análisis y tratamiento de los riesgos asociados con los subcontratistas. El Boletín OCC 2013-29 (Office of the Comptroller of the Currency) describe cinco etapas clave del ciclo de vida de gestión de riesgos de terceros:

1. Planificación. Desarrolle un plan exhaustivo para gestionar las relaciones con terceros. Este plan debe tener en cuenta la complejidad y el nivel de riesgo que representan las relaciones con subcontratistas particulares.

2. Diligencia Debida. Valide a sus terceros y asegúrese de que tengan el nivel necesario de ciberseguridad y estabilidad financiera para proporcionar a su organización los servicios o productos necesarios.

3. Negociación del contrato. Redacte y negocie un contrato que especifique claramente quién es responsable de qué y qué derechos tiene cada parte.

4. Monitoreo. Una vez que se firma el contrato, asegure el monitoreo continuo de las actividades de terceros.

5. Supervisión y responsabilidad. La alta gerencia es responsable de establecer una gestión de riesgos adecuada con respecto a la cooperación con terceros.

Un programa de gestión de riesgos de terceros para las instituciones financieras es un elemento necesario para la gestión eficaz de los subcontratistas. Dicho programa es un conjunto de políticas, herramientas y actividades para gestionar los riesgos que plantean los proveedores externos.

La implementación de un programa integral de gestión de proveedores de terceros lo ayuda a ver el panorama general y estar listo para lidiar de manera eficiente con varios incidentes de ciberseguridad relacionados con terceros. Para crear su propio programa TPRM, puede comenzar con las siguientes prácticas de gestión de riesgos de proveedores externos:

Defina personal responsable. Elija un individuo dedicado o cree un equipo responsable de monitorear a los subcontratistas y administrar los riesgos de ciberseguridad de terceros.

Aclare los requisitos reglamentarios clave. Para administrar de manera eficiente a los proveedores de terceros, debe saber a qué requisitos reglamentarios está sujeta su organización y qué pautas y recomendaciones pretende seguir. Asegúrese de que sus terceros sepan qué estándares, leyes y regulaciones de ciberseguridad debe cumplir.

Describa los posibles riesgos. Analice incidentes de seguridad cibernética relacionados con subcontratistas conocidos para componer una lista de posibles vectores de amenazas y riesgos. Busque las formas más eficientes para abordar cada uno de estos riesgos y prevenir y responder a posibles incidentes.

Cree un perfil de riesgo para cada subcontratista. Debe saber qué riesgos conlleva la cooperación con cada uno de sus proveedores externos. Al crear un perfil de proveedor, tenga en cuenta factores tales como a los efectos de determinar qué proveedores deben ser monitoreados más de cerca.

Utilice software de gestión de riesgos de proveedores externos. La implementación de herramientas adicionales puede ayudarlo a mejorar la eficiencia de la gestión de riesgos de su proveedor externo. Preste especial atención a las soluciones que le permiten establecer permisos de acceso granular, agregar más capas de protección a los activos más críticos y monitorear las acciones de un subcontratista dentro de su red.


Mitigue los riesgos de terceros con el sistema Ekran

Ekran System es una plataforma definitiva para gestionar riesgos de ciberseguridad de terceros.
1. El sistema Ekran permite el monitoreo continuo de la actividad de un proveedor externo y registra todo tipo de sesiones de usuario, incluidas las sesiones de Protocolo de Escritorio Remoto (RDP), en un formato de video completo. El video se combina con registros de audio y se indexa con metadatos como palabras clave, URL visitadas y nombres de archivos y aplicaciones abiertos. Puede usar estos registros más adelante para analizar la actividad de su subcontratista e investigar incidentes de seguridad cibernética.

2. La función de administración de acceso privilegiado de Ekran le permite establecer permisos de acceso granular para diferentes roles y cuentas. Como resultado, puede asegurarse de que solo un círculo limitado de personas pueda acceder a un sistema o punto final específico y pueda limitar el tiempo durante el cual se otorga dicho acceso.

3. Para mejorar la protección de sus activos más críticos, puede usar características adicionales como autenticación de dos factores, aprobación de acceso manual, contraseñas de un solo uso y autenticación secundaria.

4. Un sistema robusto de alertas y notificaciones lo ayudará a responder a cualquier incidente de seguridad cibernética en tiempo real. Puede crear alertas personalizadas y establecer una respuesta automática a eventos específicos. En particular, puede configurar el sistema Ekran para bloquear usuarios sospechosos y finalizar sesiones o procesos sospechosos.

5. Ekran System ayuda a las organizaciones a cumplir con las regulaciones y estándares como NIST, PCI DSS, GLBA y SOX. Esta plataforma proporciona herramientas y funcionalidades para garantizar el monitoreo de la actividad del usuario, la gestión de acceso y las auditorías de ciberseguridad.

6. Ekran le permite configurar reportes detallados basados en parámetros personalizados, incluidas las pulsaciones de teclas capturadas, las URL visitadas y las actividades de los usuarios registradas fuera del horario laboral. Estos informes pueden exportarse en un formato forense integral para su posterior auditoría y análisis.


Conclusión

Trabajar con terceros brinda muchos beneficios a los bancos, desde ahorrar dinero en impuestos hasta mejorar la calidad de sus servicios. Sin embargo, los proveedores externos a menudo tienen acceso privilegiado a los activos críticos de sus clientes, y las instituciones financieras tienen capacidades limitadas para controlar la forma en que se utilizan estos privilegios.

Es por eso por lo que abordar los riesgos de ciberseguridad asociados con los subcontratistas es vital para los bancos y otras instituciones financieras. La creación de un programa eficaz de gestión de riesgos de proveedores externos puede ayudar a las instituciones a definir claramente los riesgos que enfrentan al trabajar con terceros, así como las formas más efectivas de mitigarlos.

Ekran System es una plataforma de prevención de amenazas internas que viene con un conjunto de características útiles para una gestión eficaz de proveedores externos. Nuestra plataforma le permite monitorear la actividad del usuario, administrar el acceso privilegiado y responder a eventos de seguridad cibernética en tiempo real.

Dé el primer paso para mejorar la ciberseguridad de su organización: descargue una versión de prueba de Ekran System hoy.

Fuente: https://www.ekransystem.com
Conózcanos en: https://www.optaris.com
Comuníquese con nosotros a: hola@optaris.com