Tener sistemas de ciberseguridad tiene muchas ventajas, pero, a menos que se complemente con los controles adecuados, este conocimiento no impedirá que en ciertos casos se superen los muros de seguridad de una empresa.
Según un informe de Juniper Research, de 2019, se prevé que el coste de las violaciones de datos aumentará de 3 billones de dólares anuales a 5 billones de dólares en 2024. Esto es particularmente importante para las grandes organizaciones que confían en servicios de terceros para llevar a cabo sus operaciones básicas. Un estudio de 2018 realizado por Opus y por Ponemon Institute encontró que casi el 60% de las empresas experimentaron una violación de datos relacionada con un proveedor externo. Por ejemplo, en 2019, Quest Diagnostics anunció que la información de 11,9 millones de pacientes fue transgredida a través de su agencia de cobro de facturas. Un ejemplo más reciente es el del proveedor de banca digital Dave, que en julio reveló una violación de datos que implicaba la información de 7,5 millones de usuarios. La empresa dijo que la violación de datos venía de uno de sus antiguos proveedores externos.
En general, las infracciones de datos conllevan pérdidas financieras y de reputación importantes para las empresas afectadas. Para minimizar estos riesgos y pérdidas, las empresas deben ser conscientes de las ciberamenazas de terceros, y adoptar nuevas técnicas para supervisar sus vendedores y socios comerciales. A continuación ecpliquem para que las compañías deben tomarse en serio las amenazas de terceros y pedir garantías de ciberseguridad a posibles nuevos proveedores.
Tener más proveedores aumenta las amenazas cibernéticas de terceros
Hoy día, las empresas a menudo confían en muchos proveedores externos que les apoyan y llevan a cabo sus operaciones sin problemas. Por ejemplo, la lista de proveedores de Apple de 2019 incluye a más de 200 empresas vinculadas a su cadena de suministro. En muchos casos, los riesgos cibernéticos se derivan de las vulnerabilidades de seguridad de los proveedores. Por ejemplo, la aplicación de criptomonedes Agama fue pirateada a causa de una grave vulnerabilidad en su biblioteca JavaScript de proveedores.
El principal reto al que se enfrentan las organizaciones para gestionar las ciberamenazas de terceros es que los protocolos de seguridad de sus socios están fuera del control directo de la compañía. Las organizaciones invierten dinero y personas cualificadas para proteger sus sistemas de información contra violaciones de datos, pero esto generalmente sólo afecta sus entornos internos y les deja un control limitado sobre las medidas de seguridad implementadas por sus proveedores de servicios.
¿Qué hay que pedir cuando se elige un proveedor
Para ayudarle a determinar si un socio potencial se toma en serio la seguridad, aquí hay ocho preguntas que debe hacer cuando esté analizando un proveedor nuevo para su empresa.
1. Tienen contacto con alguien dedicado a la ciberseguridad o tienen un fin de ciberseguridad? Si un tercero despliega recursos dedicados para gestionar los riesgos y salvaguardar su información crítica, demuestra que adopta una postura de máxima seriedad respecto a la seguridad.
2. Tienen certificación industrial o están alineados con un marco industrial como NIST? Aunque la certificación industrial no necesariamente indica la eficacia de los controles de seguridad de terceros, proporciona una garantía adicional sobre el compromiso del vendedor con respecto a proteger la información de sus sistemas y la de sus clientes.
3. Tienen instalado un programa de gestión de amenazas? Es importante determinar la eficacia de sus controles de seguridad. Esto se puede hacer mediante la revisión de informes de auditoría de seguridad independientes para evaluar la gestión de vulnerabilidades del vendedor, los procesos de desarrollo de software seguro y los programas de gestión de amenazas, como la ciberintel·ligència.
4. Permiten el «derecho de auditoría»? En función del perfil de riesgo de un tercero, es posible que desee considerar incluir una cláusula que proporcione el derecho de auditar sus sistemas para determinar su riesgo y exposición.
5. Tienen establecido un plan de respuesta a incidentes, incluidos los acuerdos de nivel de servicio de notificación de incidentes? La normativa sobre protección de datos y privacidad se ha vuelto estricta y las organizaciones están obligadas a divulgar incumplimientos materiales en un plazo especificado. La responsabilidad de la divulgación corresponde a los propietarios y custodios de los datos, por lo que su organización debería trabajar estrechamente con un proveedor que esté obligado a cumplir estos plazos para evitar posibles incumplimientos o sanciones.
6. Han sufrido algún ciberataque o violación de datos importante? Ninguna organización es inmune a los ciberataques; sin embargo, cuando una organización se enfrenta a una brecha notable, es prudente entender los controles fallidos y como la organización les dirigió para evitar la recurrencia.
7. Sus requisitos de procesamiento de datos están alineados con las ofertas del vendedor? Las empresas pueden tener requisitos estrictos o necesidades empresariales para procesar o no procesar datos en ubicaciones o regiones específicas. Al seleccionar un proveedor, estos requisitos se han de acordar y controlar de forma continuada.
8. Tienen una buena puntuación cibernética? Es prudente determinar la exposición de una organización a la superficie web, deepweb y darkweb para predecir la probabilidad de una posible infracción debido a su exposición. Hay varias entidades que proporcionan puntuación cibernética a los proveedores y también le permiten compararlas con proveedores similares.