En los últimos años, hemos asistido a una afluencia de ataques de ransomware contra empresas importantes, infracciones gubernamentales a gran escala y hackeos de infraestructuras críticas. Aunque la globalización ha traído consigo beneficios económicos sin precedentes, ha complicado la capacidad de recuperación y la gestión de riesgos de la mayoría de las organizaciones.
Según nuestro último estudio de TPRM, el 61% de las empresas informaron de una violación de datos de terceros o de un ciberincidente en el último año. Hoy en día, un solo ciberataque puede paralizar servicios críticos. Por ejemplo, UnitedHealth Group, la mayor aseguradora de salud de Estados Unidos, sufrió un ataque de ransomware dirigido a su filial de tecnología sanitaria Change Healthcare, que continuó perturbando hospitales y farmacias de todo el país. El ciberataque detuvo las operaciones de las farmacias y provocó cortes generalizados y problemas con el procesamiento de la facturación a los seguros y a los pacientes.
Un programa práctico de supervisión de riesgos cibernéticos puede ayudar a identificar las exposiciones a la seguridad en su cadena de suministro y operaciones comerciales, garantizar el cumplimiento de la normativa y reducir el riesgo de interrupciones graves por parte de terceros proveedores.
¿Qué es la supervisión de ciberriesgos?
La supervisión del riesgo cibernético es la práctica de evaluar periódicamente a los proveedores externos para garantizar que sus políticas de ciberseguridad se ajustan a las mejores prácticas y no suponen un riesgo inaceptable para su organización. Forma parte de un programa más amplio de supervisión de terceros.
Las organizaciones supervisan a sus proveedores en función de varios criterios, como la salud financiera, los riesgos ASG y el cumplimiento de los contratos. La supervisión de los proveedores para detectar riesgos de ciberseguridad suele constar de varios elementos constitutivos:
-
Supervisión de las violaciones de datos
-
Supervisión de credenciales expuestas
-
Control del cumplimiento
-
Cuestionarios rutinarios de evaluación de riesgos para proveedores
¿Cuáles son las ventajas de la supervisión de riesgos de ciberseguridad por terceros?
Muchas organizaciones asumen que pueden mitigar eficazmente el riesgo cibernético mediante la creación de un sólido programa interno de seguridad de la información. Sin embargo, en los últimos años, los actores maliciosos se han centrado cada vez más en contratistas y proveedores externos con acceso a sistemas críticos y datos confidenciales de otras organizaciones más grandes. Los atacantes pueden eludir programas de seguridad complejos y bien financiados secuestrando el acceso de un proveedor a sus clientes y socios comerciales.
Reducir los riesgos de filtración de datos de terceros
Las violaciones de datos de terceros se están convirtiendo en un problema cada vez mayor para las organizaciones de todos los tamaños. Un incidente de ciberseguridad en un proveedor tercero o cuarto puede poner en peligro información privada, datos de clientes, datos de empleados y mucho más. La supervisión continua puede alertarle sobre credenciales de proveedores expuestas o fallos de ciberseguridad que podrían conducir a una violación de datos.
Reducir los riesgos de cumplimiento
Las empresas están sometidas a una serie cada vez mayor de requisitos de cumplimiento en materia de ciberseguridad y protección de datos. Los requisitos de cumplimiento suelen incluir disposiciones estrictas relativas al intercambio de datos con terceros y a los requisitos de seguridad de la información. Compartir información sensible y regulada con un proveedor inseguro puede acarrear multas, sanciones y, potencialmente, consecuencias legales tanto para su organización como para el proveedor.
Por ejemplo, en virtud de la HIPAA, los proveedores que tratan con PHI se clasifican como asociados comerciales. Esto les obliga a emplear los mismos procedimientos y salvaguardias de ciberseguridad que la organización principal. Si un asociado comercial de la HIPAA no cumple los requisitos de conformidad, la organización sanitaria y el proveedor externo pueden ser considerados responsables con multas elevadas.
Estos son algunos reglamentos y normas adicionales que tienen requisitos específicos para supervisar el riesgo cibernético de terceros:
Comprender la postura de seguridad a lo largo del ciclo de vida del proveedor
No todos los proveedores necesitan acceder a información sensible o regulada. Sin embargo, puede ser útil conocer su postura de seguridad si tienen acceso a sistemas de información o trabajan in situ. Los perfiles de ciberseguridad de los proveedores suelen cambiar a medida que sus organizaciones adoptan nuevas normas, cambian de software, compran otras empresas y se expanden. Llevar a cabo una supervisión continua a lo largo del ciclo de vida de la relación puede ayudar a evitar sorpresas que el cuestionario inicial de riesgos del proveedor no captaría.
Por ejemplo, Target fue víctima de una filtración de datos en 2013 que expuso información de identificación personal de decenas de millones de sus clientes. La filtración se originó en un proveedor de sistemas de calefacción, ventilación y aire acondicionado (HVAC), que no es una empresa que normalmente se someta a una investigación detallada. Comprender la postura de ciberseguridad de un proveedor y supervisar continuamente las violaciones puede ayudar a su organización a decidir a qué sistemas e información acceder y formular controles para reducir el riesgo de una violación.
Creación de un programa de supervisión de riesgos de ciberseguridad
Hemos establecido la importancia de supervisar a sus proveedores de tercera, cuarta y enésima parte para detectar riesgos cibernéticos. Pero, ¿cómo se concibe una supervisión eficaz de los proveedores para detectar riesgos cibernéticos en un mundo cada vez más interconectado y complejo? Estos son los pasos que debe dar para crear un sistema sólido de supervisión de riesgos cibernéticos que pueda alertarle de los problemas antes de que fracase en una auditoría de cumplimiento o sufra una filtración de datos.
1. Defina su nivel de riesgo aceptable
Cada proveedor con el que trabaja plantea un determinado nivel de riesgo para su organización. Debe definir los riesgos con los que se siente cómodo y asegurarse de que los proveedores reciben calificaciones de seguridad que reflejen con precisión el riesgo que suponen para sus operaciones y datos sensibles. En muchos casos, puede que tenga que exigir a los proveedores que reduzcan su nivel de riesgo hasta que su riesgo residual sea aceptable.
2. Utilizar cuestionarios de riesgo para proveedores
Los cuestionarios de riesgo para proveedores son fundamentales para la incorporación de proveedores externos. Especialmente cuando los proveedores pueden acceder a datos confidenciales o su organización opera bajo numerosos requisitos de cumplimiento. Los Cuestionarios de Riesgo de Proveedores pueden cubrir la salud financiera, la estabilidad operativa, ESG, y otras preocupaciones, pero la ciberseguridad es uno de los componentes más críticos. Algunas preguntas que podría considerar son
-
¿Cuenta su organización con certificaciones de seguridad de la información de terceros, como SOC2, ISO27001 o CMMC?
-
¿Su organización se adhiere a un marco o modelo de ciberseguridad específico?
-
¿Tiene su organización un equipo interno de ciberseguridad o trabaja con un proveedor externo de servicios de TI o un proveedor de servicios de seguridad gestionados?
El uso de software de gestión de riesgos de terceros puede permitirle crear rápida y fácilmente cuestionarios basados en una biblioteca de docenas de plantillas personalizables. Puede plantearse realizar cuestionarios rutinarios de evaluación de proveedores para aquellos con perfiles de riesgo especialmente elevados o que manejen grandes cantidades de datos confidenciales de su organización.
3. Supervisar las violaciones de datos y las credenciales expuestas
Antes de contratar a un nuevo proveedor, recopile información sobre las filtraciones de datos que haya sufrido, incluidos los detalles sobre los sistemas y registros afectados, además de las medidas correctivas y paliativas. A continuación, vigile continuamente las noticias y pruebas de nuevas violaciones de datos. Por ejemplo, la exploración de la Web oscura se convierte rápidamente en un elemento crítico para la gestión de riesgos de terceros. En muchos casos, las organizaciones tienen correos electrónicos y contraseñas expuestos a la venta en la web oscura de los que no son conscientes, lo que podría conducir fácilmente a una violación de datos o incidente de seguridad. Afortunadamente, la búsqueda específica de credenciales expuestas es fácil y puede proporcionar información valiosa sobre si la organización ya ha experimentado una violación de datos o tiene malas prácticas de gestión de usuarios. Busque soluciones que ofrezcan escaneado de la web oscura e informes de violación de datos como parte de su solución de supervisión de riesgos de proveedores.
4. Supervise al proveedor in situ o cuando acceda a su entorno informático
Los proveedores pueden necesitar a menudo acceso in situ a los activos de TI para completar el trabajo contratado. Sin embargo, el riesgo de ciberseguridad no se detiene una vez que el proveedor abandona la construcción, y usted debe asegurarse de que su organización tiene políticas claras para gobernar el acceso del proveedor a su tecnología de la información. Es importante recordar que los errores del proveedor o las violaciones de datos pueden convertirse en última instancia en su responsabilidad, especialmente con requisitos de cumplimiento específicos.
Buenas prácticas de cibervigilancia
Puede reducir su exposición a las amenazas de ciberseguridad de terceros incorporando estas mejores prácticas a su programa:
Supervisión continua por terceros
Las evaluaciones de ciberseguridad basadas en cuestionarios suelen realizarse una o dos veces al año. Complementar las evaluaciones periódicas con una supervisión continua del riesgo cibernético le permite estar al tanto de los cambios en la postura de riesgo cibernético del proveedor a medida que surgen nuevas amenazas. Supervisar el rendimiento de la ciberseguridad de un proveedor también le permite validar sus respuestas de evaluación frente a pruebas observables externamente de violaciones de datos y otros incidentes. Mediante la implementación de una solución sólida de supervisión de riesgos por parte de terceros, puede gestionar con confianza el ciclo de vida de la gestión de riesgos de proveedores y responder a las brechas de seguridad, los problemas de cumplimiento y las posibles violaciones de datos antes de que afecten a su negocio.
Analizar los resultados anteriores en materia de ciberseguridad
El pasado no predice necesariamente el futuro, pero puede dar una idea de la seriedad con la que una organización se toma la ciberseguridad. Si una organización ha experimentado numerosas violaciones de datos en el pasado reciente, puede servir como un buen indicador de que los datos de su organización podrían verse comprometidos.
Aplicar el principio del menor privilegio
Debe aplicar el principio del menor privilegio a todos los proveedores con los que trabaje. Asegúrese de que sólo se les proporciona acceso a los sistemas y datos críticos necesarios para realizar su trabajo. Mientras el proveedor realiza su trabajo, confirme que dispone de la supervisión adecuada para asegurarse de que no accede a sistemas o datos innecesarios. Por último, asegúrese de que dispone de un programa eficaz de desvinculación del proveedor para revocar el acceso una vez finalizado.
Adapte su programa en función del perfil de riesgo
Los proveedores con sólidos programas de ciberseguridad que no manejan información confidencial pueden requerir menos supervisión que los proveedores que trabajan con información de clientes o secretos comerciales. Durante el proceso de incorporación de proveedores, asegúrese de perfilar, categorizar y clasificar a los terceros en función de su riesgo inherente. Esto le facilitará determinar la frecuencia y el alcance de las evaluaciones de riesgos y el nivel de supervisión que necesita realizar para cada proveedor. Como resultado, utilizará sus recursos de forma inteligente y adaptará sus actividades de supervisión cibernética al riesgo que representa el proveedor.
Próximos pasos para garantizar la ciberseguridad de los proveedores externos
La creación de un programa eficaz de supervisión de riesgos cibernéticos nunca ha sido tan importante. Prevalent hace que la navegación por el riesgo de terceras y cuartas partes sea manejable a lo largo de su cadena de suministro. Nuestra plataforma de gestión de riesgos de proveedores combina la supervisión continua de riesgos cibernéticos con la supervisión empresarial, financiera y de reputación, junto con funciones automatizadas de evaluación de riesgos de proveedores para obtener una visión de 360 grados del riesgo de proveedores. Solicite una demostración hoy mismo para ver si Prevalent se adapta a sus necesidades.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
