El informe 2022 de Verizon sobre investigaciones de filtraciones de datos contiene un verdadero tesoro de datos que analizan más de 23.896 incidentes de seguridad y 5.212 filtraciones durante el periodo comprendido entre el 1 de noviembre de 2020 y el 31 de octubre de 2021. Sin embargo, algunas tendencias inquietantes en los datos deberían alertar a los equipos de gestión de seguridad, riesgos y proveedores para prepararse mejor ante futuros incidentes. Estas son las principales conclusiones del informe sobre la gestión de riesgos de terceros.
El 62% de los incidentes de intrusión en sistemas se produjeron a través de un socio
Toda organización depende en cierta medida de terceros, ya sean vendedores
que suministran bienes o servicios para apoyar el negocio o proveedores
que producen insumos para los productos finales. Los datos de Verizon muestran que los socios (por ejemplo, terceros, vendedores o proveedores) fueron responsables del 62% de los incidentes de intrusión en sistemas el año pasado (véase el gráfico 36 del informe). Si tenemos en cuenta que los socios sólo estuvieron implicados en el 39% de las violaciones de datos en 2008, veremos rápidamente el asombroso crecimiento a lo largo del tiempo de terceros implicados en incidentes de seguridad. Por cada tercero con el que haga negocios, su superficie de ataque se amplía exponencialmente.
Los ataques a la cadena de suministro de software (a través de actualizaciones de software) están impulsando gran parte del crecimiento de las intrusiones dirigidas a socios, con este tipo de incidentes representando el 9% del total de incidentes en 2021. Un único proveedor de software comprometido que envía actualizaciones a miles de sus clientes (que, a su vez, pueden trabajar con miles de vendedores, proveedores y otros terceros, es decir, víctimas secundarias) puede causar estragos incalculables (léase SolarWinds).
Aunque el conjunto de datos mostró que las violaciones de terceros representan sólo el 1% de los datos de violaciones, Verizon señala que en ese método, las credenciales robadas y el ransomware fueron dos de las cinco principales variedades de acción. Esto significa que los profesionales del riesgo de terceros deben asegurarse activamente de que sus vendedores y proveedores cuentan con políticas sólidas de contraseñas y arquitecturas de segmentación de red, y ser capaces de validar de forma independiente dichas prácticas.

(Fuente: Verizon Data Breach Investigations Report, mayo de 2022)
La industria manufacturera es un objetivo creciente
Desde la perspectiva de la industria, los socios representan el 1% de los actores de amenazas en la fabricación. Aunque el 1 % puede no parecer una cifra elevada, considere el daño causado por un único evento de intrusión en el sistema, como el ataque de ransomware al proveedor de Toyota, Kojima industries. Aunque queda fuera del ámbito de este conjunto de datos, una brecha de este tipo debería servir como recordatorio de que un incidente puede tener repercusiones amplias y duraderas. De hecho, los datos de Verizon muestran que la industria manufacturera en su conjunto es un objetivo creciente, con un aumento exponencial de las intrusiones en los sistemas. Véase el gráfico 92 del informe.

(Fuente: Verizon Data Breach Investigations Report, mayo de 2022)
Aumento significativo del ransomware
Siguiendo con el tema del ransomware, las filtraciones de ransomware aumentaron un 13% en 2020, lo que según Verizon supuso un aumento interanual mayor que el de los últimos cinco años juntos. Véase la figura 38 del informe a continuación.
El aumento de incidentes y filtraciones no debería sorprendernos; basta con leer los titulares para conocer la última víctima. El año pasado se produjeron importantes filtraciones de ransomware de terceros, como las de PracticeMax, Kaseya y Colonial Pipeline, muchas de ellas variantes del ransomware Ryuk.

(Fuente: Verizon Data Breach Investigations Report, mayo de 2022)
Siete buenas prácticas probadas para reducir el riesgo de terceros
Ante el creciente número de infracciones de terceros y ataques de ransomware, las organizaciones que utilizan métodos manuales para gestionar los riesgos de proveedores y vendedores externos deberían considerar la implementación de las siguientes mejores prácticas para acelerar la identificación, el triaje y la mitigación.
- Empiece a gestionar el riesgo de terceros antes de firmar el contrato analizando las recientes violaciones de datos y las acciones reguladoras, y descubra relaciones de cuarto partido potencialmente arriesgadas, datos que pueden informar aún más sus decisiones de selección de proveedores.
- Incluya los tiempos de respuesta ante incidentes y violaciones en los contratos con los proveedores, y automatice los informes en función de los SLA aplicables para activar alertas cuando no se cumplan las expectativas. Además, asegúrese de que sus proveedores disponen de mecanismos sencillos e intuitivos para notificar e informar de incidentes y violaciones.
- Mida el riesgo inherente de los proveedores externos y clasifique a los proveedores según sus puntuaciones de riesgo inherente para realizar evaluaciones continuas de diligencia debida después de la incorporación.
- Llevar a cabo evaluaciones detalladas de los riesgos de los proveedores basadas en controles internos con arreglo a los marcos de seguridad de mejores prácticas, como NIST o ISO, y crear flujos de trabajo e informes para escalar las excepciones de control y sugerir soluciones. Estas actividades deben tener en cuenta ámbitos de riesgo específicos, como los factores humanos, la gestión de datos y los mecanismos de autenticación.
- Valide la eficacia continua de los controles de un proveedor correlacionando las métricas de ciberseguridad observables externamente con los resultados de las evaluaciones de los controles internos. Por ejemplo, si se descubre que los ID de usuario y las contraseñas de un proveedor están a la venta en un foro de la Dark Web, puede vincular ese hallazgo con la respuesta de la evaluación que analiza la solidez de su política de contraseñas y determinar si deben realizarse cambios.
- Identifique las relaciones entre la organización y terceros para descubrir dependencias y visualizar las rutas de información que podrían estar abiertas a ataques de terceros.
- Aproveche los flujos de trabajo para informar sobre el acceso al sistema, la destrucción de datos y la gestión de accesos para cerrar posibles vías de acceso a su organización una vez que se ha dado de baja a un proveedor.
Cómo gestionar los incidentes de seguridad de proveedores y vendedores de terceros
A medida que las violaciones de datos de proveedores y las interrupciones de la cadena de suministro siguen apareciendo en los titulares, es fácil sentirse abrumado por las exigencias de evaluar el riesgo en cientos (o incluso miles) de terceros.
Para ayudar a su equipo a ser más proactivo en la identificación y mitigación de incidentes de seguridad de terceros, Prevalent ha desarrollado una lista de comprobación de respuesta a incidentes basada en la Guía de gestión de incidentes de seguridad informática del NIST, SP 800-61. La lista de comprobación prescribe cuatro fases fundamentales que los equipos de seguridad deben tener en cuenta en sus programas de respuesta a incidentes. Utilice esta lista de comprobación, junto con la guía completa del NIST, para comparar sus procesos actuales de respuesta a incidentes de terceros con las mejores prácticas.
A continuación, solicite una demostración de Prevalent para un debate estratégico personalizado sobre cómo automatizar su programa TPRM desde la selección de proveedores hasta la incorporación.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
