Ciberseguridad: Gestión De Riesgos Con Compañías Proveedoras

Ciberseguridad_ Gestión De Riesgos Con Compañías Proveedoras

¿Sabía que el 63% de todos los robos de datos via Internet están vinculadas directa o indirectamente con empresas de terceros? Esto es según una encuesta reciente realizada por Soha Systems, y de acuerdo con uno de los discursos pronunciados por el Superintendente del Departamento de Servicios Financieros del Estado de Nueva York, el Sr. Benjamin Lawsky, “la ciberseguridad de una compañía es tan fuerte como la ciberseguridad de sus proveedores externos “.

Este artículo se centrará en algunas estrategias que las organizaciones deberían considerar implementar para mitigar sus riesgos de seguridad cibernética en lo que respecta a los proveedores de servicios de terceros. Comencemos con cómo se produce la violación de datos de terceros.

Cómo se produce el robo de datos a través de terceros

Si un hacker está apuntando a una gran organización, busca la puerta de enlace que no será notada fácilmente. Esto significa que en lugar de atravesar la mayor seguridad del objetivo, buscan utilizar un punto de entrada válido para recopilar datos confidenciales a la vez que se enmascaran como usuarios genuinos. Este punto de entrada suele ser a través del proveedor externo cuyos protocolos de seguridad son menos seguros.

El atacante aprovechará este acceso para obtener acceso a la red más grande. Si los protocolos de seguridad del proveedor son menos estrictos, nadie detectará que se haya producido una infracción. Los hackers suelen ser pacientes y pueden tardar de días a meses para tener acceso a su información, como la información de la cuenta bancaria, los números de la seguridad social, los números de tarjetas de crédito, etc.

Cómo identificar y evaluar el impacto de una potencial violación de seguridad a través de terceros

Es crucial que las empresas empleen un enfoque basado en el riesgo para administrar a sus proveedores externos. Si no evalúa sus riesgos, significa que no podrá gestionarlos adecuadamente y que su empresa será susceptible a amenazas cibernéticas. Al pasar por el proceso de evaluación de riesgos, debe tener en cuenta que muchas clasificaciones de riesgo pueden afectar a su empresa:

  • Riesgo reputacional: tiene que ver con los problemas que surgen de la opinión pública negativa
  • Riesgo transaccional: tiene que ver con los problemas que surgen de la entrega de productos o servicios.
  • Riesgo operacional: tiene que ver con las pérdidas provocadas por sistemas, personas, procesos internos o incluso eventos externos fallidos o inadecuados.
  • Riesgo estratégico: tiene que ver con la imposibilidad de ejecutar decisiones comerciales adecuadas de una manera que coincida con los objetivos estratégicos de la empresa.
  • Riesgos de cumplimiento: esto significa incumplimiento de las regulaciones, procedimientos, políticas internas, reglas, leyes o estándares comerciales.

Los siguientes son los pasos básicos de una evaluación de riesgos

Describa la aplicación del sistema, la función y el proceso para determinar posibles amenazas:

  • ¿Quién es el vendedor?
  • ¿Qué datos usan?
  • ¿A dónde va la información?
  • Quién usa el sistema, etc.
  1. Identificar la amenaza, por ejemplo: interrupción de la productividad o servicio, pérdida de datos, exposición involuntaria de información (pérdida de datos), uso indebido de privilegios / información por parte de un usuario, acceso no autorizado accidental o malicioso de información, etc.
  2. Determine el grado de impacto de la amenaza que se ejerce, i.e. bajo, medio o alto
  3. Mire las diferentes categorías de información para analizar adecuadamente el entorno de control. En este paso, revise la amenaza, los controles de compensación, detección, mitigación y prevención, y cómo están relacionados con las amenazas que identificó. Por ejemplo, puede analizar los controles de seguridad ambiental, los controles de protección y los controles de gestión como inadecuados, necesitando mejoras.
  4. Determine una calificación de probabilidad del exploit dado teniendo en cuenta el entorno de control que su empresa ya tiene. Si su calificación de probabilidad es ‘alta’, significa que la fuente de amenaza que identificó es adecuadamente capaz, extremadamente motivada y que los controles vigentes para evitar que se ejerza la susceptibilidad son en vano. Sin embargo, si la calificación es “baja”, entonces lo contrario también es cierto.

Manejando Riesgos de las Compañías de Sus Proveedores

Es posible que su organización esté haciendo todo lo posible para garantizar que sus defensas cibernéticas internas estén en pleno rendimiento, pero también debe asegurarse de que los estándares de ciberseguridad de sus proveedores cumplan o superen los de su organización.

El primer paso, por lo tanto, es medir a todos los proveedores comenzando por el que tiene la calificación de riesgo más alta porque en este punto ya conoce a los proveedores que considera el riesgo más alto y el más bajo. A continuación se encuentran algunos de los pocos métodos que puede usar para evaluar:

  1. Cumplimiento de estándares relevantes: este es probablemente el mejor punto para comenzar. Si se espera que usted como organización cumpla con ciertos estándares, entonces no hay excusa para que su proveedor no pueda cumplir con dichos estándares también. Puede pedirles que le presenten copias de sus certificados de cumplimiento para asegurarse de que realmente cumplen con dichos estándares. Además, solicíteles que proporcionen pruebas de que sus protocolos de seguridad son efectivos, i.e. informes de cumplimiento, sinopsis de vulnerabilidad, informes SOC1 y SOC2, etc. También necesitará evidencia de protocolos de seguridad mediante contrato y documentación como estados financieros, comprobante de seguro, lista de incumplimientos recientes, resultados de pruebas de recuperación ante desastres, programa de continuidad del negocio e información políticas de seguridad entre otros.
  2. Envie a un inspector a que haga una visita al proveedor: envíe un representante de su empresa, preferiblemente alguien que esté familiarizado con asuntos relacionados con seguridad cibernética para hacer visitas a sitios o realizar entrevistas con los proveedores para comprender mejor su nivel de ciberseguridad.
  3. Uso de cuestionarios: permita que llenen cuestionarios detallados que se centren en sus prácticas de ciberseguridad que sean específicas de su propia organización.
  4. Otra opción es el uso de una evaluación independiente de terceros: por lo general, esta es una forma de una prueba de pentesting anual o una auditoría de cumplimiento que ayuda a darle a su compañía la seguridad necesaria. Esta es una forma anual de evaluación, pero se pueden realizar algunas evaluaciones cada vez que haya alguna modificación que sea notable para el entorno laboral y comercial de la empresa de terceros.
  5. Uso del software de monitoreo continuo: las estrategias tradicionales de administración de riesgos del proveedor que se han discutido anteriormente tienen algunas ventajas propias y nunca debe cancelarlas. Sí, lo ayudarán a evaluar los riesgos de su proveedor a un cierto nivel, pero aún así no alcanzan ningún punto. Por ejemplo, estos métodos tradicionales solo evalúan la seguridad del proveedor solo en el momento en que se ejecutan las pruebas. Aquí es donde el uso del software de monitoreo continuo es útil porque, como sugiere el término “continuo”, la evaluación continúa en todo momento. Estas herramientas lo alertan en el momento en que la red de su compañía externa se altera aunque sea levemente. Esto le ofrece el más alto nivel de protección.
  6. Tener un plan B si A falla: si un proveedor no cumple con los estándares de seguridad requeridos o si no proporciona a su compañía los servicios contratados, no tendrá más remedio que cambiarse a otro proveedor, especialmente si el servicio que le brindan es muy crítico para su negocio. Es por esto que necesita saber qué otras buenas alternativas existen para brindarle el mismo nivel o un servicio de mejor calidad.
  7. Asegúrese de que todos los contratos entre ambas partes definan claramente las expectativas de seguridad cibernética estableciendo un acuerdo de nivel de servicio (SLA). Como organización, existen algunos estándares de seguridad cibernética que usted espera de su proveedor, incluidos los controles de ciberseguridad obligatorios que cumplen con la industria y los estándares regulatorios. Sin embargo, si no son muy claros, entonces es consciente de que aumentará significativamente el riesgo del vendedor. Esta es la razón por la cual el SLA es importante porque deja claras todas sus expectativas de seguridad cibernética con su proveedor de servicios. Para empezar, incluye una disposición que le otorga el derecho de realizar una prueba de evaluación de seguridad o una auditoría de cumplimiento de las prácticas de seguridad del proveedor. También incluye una disposición que le permite considerar de qué desea que se responsabilice el proveedor del servicio y los mantiene en incumplimiento de los requisitos de notificación y un estándar de cumplimiento específico de la industria. Finalmente, el contrato también puede incluir la responsabilidad del proveedor si la empresa no cumple con alguna de las disposiciones acordadas y las consecuencias apropiadas que seguirían.

Conclusión

Si bien casi todos los negocios actuales requieren los servicios de socios y proveedores externos para que su negocio funcione bien y prospere, también podrían estar invitando a un enlace débil a sus sistemas de defensa de ciberseguridad. Sin embargo, para mitigar estos riesgos de seguridad cibernética que se canalizan a través de compañías externas, las empresas deben entender antes de diseñar un plan de seguridad para evitar que los piratas informáticos roben y aprovechen las relaciones de confianza entre empresas y clientes. La clave es que las organizaciones trabajen en asociación con sus proveedores de servicios para remediar y prevenir los ciberataques antes de que incluso se lleven a cabo. De esta forma, tendrá la certeza de la seguridad de los datos de su empresa, así como de los datos que pueda tener un tercero proveedor para facilitar el desarrollo de sus actividades comerciales.

No Comments, Be The First!

Your email address will not be published.