Estos pequeños proveedores pueden no tener personal de TI dedicado, y mucho menos un equipo de seguridad. Sin embargo, a menudo manejan datos sensibles y se conectan directamente a los sistemas empresariales. Esto representa una vulnerabilidad no solo para estos negocios, sino para todos los que están asociados con ellos.  

Pero, ¿cómo puede su equipo ayudar a asegurar estas relaciones críticas de terceros sin esperar que los pequeños proveedores operen como las empresas Fortune 500? Exploraremos algunas opciones que le ayudarán a ser parte de la solución.

1. Comunicar expectativas claras y priorizadas 

Recuerde, muchos proveedores quieren hacer lo correcto. A menudo, solo necesitan orientación. Quizás sea momento de replantearse la exigencia de cuestionarios de seguridad extensos o de exigir el cumplimiento completo de la norma ISO 27001. Considere un enfoque basado en riesgos, adaptado a la situación. Identifique los datos, sistemas o procesos a los que el proveedor tendrá acceso y establezca expectativas proporcionales a ese riesgo.  

Elabore una lista de verificación de seguridad simple que describa sus expectativas básicas para un proveedor. Esto podría incluir: 

• Uso de autenticación multifactor 

• Descargar e instalar actualizaciones de software regularmente 

• Cifrado de datos en tránsito y en reposo 

• Capacitación regular en seguridad para empleados que cubra temas como el phishing y las contraseñas 

2. Ofrecer herramientas y plantillas a los proveedores 

Muchos pequeños proveedores no saben por dónde empezar. Puede iniciar su postura de seguridad ofreciéndoles ayuda práctica. Afortunadamente, no tiene que crear herramientas desde cero. Simplemente puede enviarles algunos enlaces para ayudarlos a comenzar. Además, si su organización tiene plantillas para políticas de seguridad, planes de respuesta a incidentes o pautas de uso aceptable, considere compartirlas. 

Existen herramientas de ciberseguridad de bajo costo diseñadas específicamente para pequeñas empresas. 

• Defender para Empresas de Microsoft  

• El NIST Small Business Cybersecurity Corner 

• CyberSecure My Business de la NCA (¡somos nosotros!) 

3. Promocionar lo básico 

No necesita tecnología de punta o una sala llena de servidores para prevenir muchos incidentes cibernéticos. Los profesionales de la gestión de riesgos de terceros deben alentar a los pequeños proveedores a enfocarse en hacer lo básico de manera confiable: 

Parchear vulnerabilidades conocidas

• Usar contraseñas fuertes y únicas con un administrador de contraseñas para todas las cuentas

• Habilitar autenticación multifactor en todas las cuentas

• Respaldar datos regularmente y probar las copias de seguridad

• Comunicarse con su personal sobre estafas comunes. Sea específico con instrucciones como, “Nunca te pediré que me compres tarjetas de regalo” 

4. Posicionar la ciberseguridad como parte de la relación comercial 

En lugar de ver la seguridad como una barrera, trabaje para enmarcarla como una colaboración. Recomendamos formalizar este enfoque incorporando lenguaje de ciberseguridad en contratos y acuerdos de nivel de servicio (SLA). Discuta la seguridad desde el principio en la relación con el proveedor. Luego, puede mantener un espíritu de cooperación y colaboración, lo que ayudará a sus proveedores a sentirse apoyados en lugar de examinados. 

Aquí hay formas de mantener la ciberseguridad en primer plano: 

• Incluir obligaciones de ciberseguridad en contratos 

• Solicitar revisiones o evaluaciones anuales 

• Discutir cuán crítico es que los proveedores le notifiquen de incidentes temprano 

5. Ejercer su influencia 

Como socio más grande, su organización tiene una influencia significativa, quizás incluso más de lo que se imagina. Esfuércese por fomentar mejoras de seguridad de una manera de apoyo en lugar de simplemente exigir cambios.   

Puede operar con un espíritu de colaboración al: 

• Organizar un seminario web sobre ciberseguridad para proveedores o animarlos a participar en el Mes de Concienciación sobre la Ciberseguridad!     

• Crear un portal privado de recursos para proveedores -- siéntase libre de usar el nuestro! 

• Proporcionar comentarios sobre sus políticas o herramientas 

La ciberseguridad es un deporte de equipo 

Es un estribillo común entre el personal de seguridad en estos días, pero la ciberseguridad es verdaderamente un deporte de equipo. Y sus proveedores de terceros son parte de su equipo, incluso si no son oficialmente compañeros de trabajo. Ayudar a los proveedores más pequeños a mantenerse seguros se trata de la reducción de riesgos y también ayuda a construir asociaciones resilientes.  

Para obtener más información sobre cómo mantenerse seguro en línea, suscríbase a nuestro boletín! Nuestro programa CyberSecure My Business es una excelente oferta para pequeños proveedores, ¡déjenos ayudarle!