En el panorama de ciberseguridad que cambia rápidamente, las instituciones financieras enfrentan una batalla constante para proteger sus sistemas y datos. Esta batalla se extiende más allá de sus propios sistemas y datos a los de sus proveedores críticos de terceros. No solo necesitan proteger sus propios sistemas de los ataques cibernéticos, sino que también deben asegurarse de que los proveedores externos en los que confían para una variedad de servicios críticos también mantengan sus datos y sistemas seguros.
Las instituciones financieras y sus proveedores externos son objetivos atractivos para los ciberdelincuentes.
Relación Después relación confirma que la industria de servicios financieros es uno de los objetivos más populares para los piratas informáticos. Las infracciones de terceros (también conocidas como ataques a la cadena de suministro) estuvieron detrás del 17% de las infracciones de datos de infraestructura crítica en 2022, incluso en instituciones financieras, según el Informe de seguridad sobre el costo de la filtración de datos de IBM.
Las apuestas son altas. Las infracciones cibernéticas de los proveedores no solo dañan la reputación de una institución. Cuestan una fortuna. El costo de una filtración de datos en organizaciones de infraestructura crítica promedió $4.8 millones en 2022, un millón de dólares más que en otras industrias, según Verizon.
Más allá del costo financiero y el daño a la reputación, los reguladores no distinguen entre instituciones financieras y proveedores externos que actúan en su nombre. Si un proveedor sufre una violación de datos, una falla operativa, una violación de cumplimiento u otro paso en falso de seguridad cibernética, los reguladores responsabilizarán a la institución financiera como si fuera directamente responsable del déficit. Por ejemplo, la Oficina de Protección Financiera del Consumidor (CFPB) obligó a un banco a pagar $27,5 millones en reembolsos a clientes, más $7,5 millones en daños y sanciones civiles cuando su proveedor se involucró en prácticas de marketing engañosas o prácticas desleales durante la ejecución del contrato de trabajo para el banco.
La gestión de proveedores como primera línea de defensa
Los reguladores exigen que las instituciones financieras cuenten con programas efectivos de gestión de proveedores externos. Esto se define como los procesos, políticas y prácticas utilizadas para supervisar las relaciones y actividades con proveedores externos, fintechs, consultores y otros. A medida que las instituciones financieras dependen cada vez más de terceros para servicios, soluciones tecnológicas y productos críticos para sus operaciones, la gestión de proveedores se ha vuelto más importante.
Une gestion efficace des fournisseurs permet aux institutions financières de maintenir de solides relations avec les fournisseurs, d’optimiser l’efficacité opérationnelle, d’atténuer les risques, d’assurer la conformité réglementaire et de préserver la réputation de l’institution et la confiance clientes.
La gestión de proveedores incluye la debida diligencia del proveedor, el monitoreo continuo y la gestión de contratos para garantizar que las instituciones financieras puedan acceder a la información sobre la eficacia de la seguridad cibernética de un proveedor, como los informes SOC y los resultados de las pruebas. Esto ayuda a las instituciones financieras a evaluar la madurez y la eficacia del programa de ciberseguridad de un proveedor.
Protección de instituciones financieras con vigilancia cibernética de proveedores
Para reforzar sus defensas, las instituciones financieras recurren a Vendor Cyber Monitoring, una poderosa herramienta que ofrece información en tiempo real sobre las prácticas de ciberseguridad de sus proveedores externos.
El monitoreo cibernético de los proveedores que se utiliza en las herramientas de evaluación de riesgos de seguridad cibernética, cuando se combina con el programa de gestión de proveedores existente de una institución, brinda beneficios invaluables. A diferencia de los enfoques convencionales que se basan en el análisis retrospectivo, este monitoreo proactivo permite a las instituciones financieras evaluar continuamente la postura de seguridad cibernética de sus proveedores. Al observar a los proveedores en tiempo real, las instituciones pueden determinar si sus proveedores están utilizando las últimas medidas de seguridad, cuentan con las certificaciones necesarias y si sus nombres aparecen en la web oscura, una posible indicación de un ataque inminente.
Otros beneficios de la vigilancia cibernética de terceros incluyen:
- Mejora en la identificación y resolución de incidentes
El monitoreo cibernético de proveedores permite a las instituciones financieras comprender mejor la capacidad de sus proveedores para identificar y resolver incidentes de ciberseguridad de manera efectiva. Al monitorear a los proveedores en tiempo real, las instituciones pueden determinar si están detectando problemas antes que los propios proveedores. Esta supervisión ayuda a diferenciar los problemas menores de las vulnerabilidades potencialmente graves.
La resolución rápida de problemas es esencial, y el monitoreo permite a las instituciones verificar si los proveedores están abordando los problemas identificados rápidamente. Al comparar los informes de vigilancia cibernética con informes de proveedores independientes y de terceros, como SSAE 18 y pruebas de penetración, las instituciones pueden garantizar la coherencia y tomar decisiones informadas sobre sus relaciones con los proveedores.
- Asignación de recursos optimizada
Las regulaciones requieren que las instituciones financieras identifiquen proveedores de alto riesgo, críticos o materiales. El monitoreo cibernético del proveedor juega un papel fundamental en el perfeccionamiento de estas evaluaciones al proporcionar evidencia sólida de las vulnerabilidades en los controles cibernéticos del proveedor.
Al integrar los datos de monitoreo con la información de evaluación de riesgos existente, las instituciones pueden priorizar a los proveedores que representan un mayor riesgo. Los proveedores con vulnerabilidades existentes o un historial de vulnerabilidades justifican una mayor investigación y requieren recursos adicionales de monitoreo y vigilancia. Este enfoque específico garantiza que los recursos se asignen de manera eficiente para mitigar de manera efectiva los riesgos potenciales.
- Mitigación proactiva de riesgos
El panorama de amenazas en constante cambio dificulta que las instituciones financieras se mantengan a la vanguardia de los riesgos emergentes. La vigilancia cibernética de proveedores brinda a las instituciones la capacidad de detectar e identificar riesgos cibernéticos emergentes en tiempo real.
Al contactar proactivamente a los proveedores y evaluar sus operaciones internas, las instituciones pueden tomar medidas preventivas para resolver rápidamente problemas específicos. Esta actitud proactiva permite a las instituciones mitigar el riesgo de manera más efectiva, reduciendo el impacto potencial de las amenazas cibernéticas en sus sistemas y datos.
- Documentación completa y seguimiento continuo
Proveedor el monitoreo cibernético facilita la documentación completa y el monitoreo continuo de la relación con el proveedor. Permite a las instituciones evaluar el cumplimiento de los proveedores con aspectos críticos de seguridad, incluida la protección del sistema, los controles internos, la seguridad de los datos y los riesgos de la nube.
El monitoreo del acceso físico, el control de los sistemas, la protección del correo electrónico y los datos de los clientes y la verificación de la presencia de controles internos sólidos son partes integrales del proceso de monitoreo continuo. La evaluación de los protocolos de transmisión y almacenamiento de datos, así como los procedimientos seguros de destrucción de datos, garantiza que los proveedores cumplan con los estándares de seguridad necesarios. Además, los proveedores que confían en sistemas basados en la nube requieren una cuidadosa consideración debido a los riesgos asociados.
A la luz de las regulaciones de seguridad cibernética y la frecuencia cada vez mayor de ataques e infracciones cibernéticos, el monitoreo de proveedores cibernéticos se ha convertido en una inversión imprescindible para las instituciones financieras. Al implementar este enfoque proactivo, las instituciones pueden garantizar que sus proveedores externos prioricen las medidas de ciberseguridad y protejan diligentemente los sistemas y los datos. La vigilancia cibernética de proveedores actúa como una línea de defensa crucial, fortaleciendo a las instituciones contra amenazas potenciales y protegiendo la integridad y confidencialidad de sus operaciones.
