Con los ciclos de noticias dedicados actualmente a la cobertura de la COVID-19, tal vez se le haya pasado por alto que GE -la multinacional estadounidense- reveló recientemente que había sufrido una violación de datos originada en uno de sus proveedores de servicios externos, Canon Business Process Services. De este modo, GE se une a una serie de marcas mundiales y nombres conocidos como Marriott, Quest Diagnostics, LabCorp, Sprint y Target, que han sufrido violaciones de este tipo. De hecho, esta brecha es un caso de primer orden para garantizar mayores controles sobre terceros.
A continuación se ofrece un breve resumen de lo que sabemos sobre la filtración y cómo pueden ayudar las soluciones de gestión de riesgos de terceros, como las de Prevalent.
Visión general de la brecha de GE
Según GE, entre el 3 y el 14 de febrero de 2020, una parte no autorizada obtuvo acceso a una cuenta de correo electrónico de Canon que contenía información confidencial sobre empleados actuales y anteriores de GE y sus beneficiarios. GE se asoció con Canon para el procesamiento de documentos. Los documentos gestionados por el propietario de la cuenta de correo electrónico violada incluían información personal como formularios de depósito directo, permisos de conducir, pasaportes, certificados de nacimiento, etc., y probablemente también nombres, direcciones, números de la Seguridad Social, números de permisos de conducir, números de cuentas bancarias, números de pasaporte y/o fechas de nacimiento.
Aunque no conocemos con certeza el vector del ataque -por ejemplo, podría haberse producido a través de un ataque de spear phishing o de ingeniería social-, sí sabemos que evaluar y supervisar continuamente los controles de terceros ayuda a reducir la probabilidad y el impacto de infracciones como ésta.
Cómo puede ayudar la gestión de riesgos de terceros
En esta época de incertidumbre, los piratas informáticos van a intentar aprovecharse de los equipos distraídos y los recursos agotados. En una época en la que la seguridad de la cadena de suministro es más crítica que nunca, ya no podemos permitirnos tratarla como una casilla de verificación de cumplimiento.
Un programa maduro de gestión de riesgos de terceros es ágil y está preparado para incidentes de filtración de datos:
- Evaluar a los proveedores en función de una serie de marcos de mejores prácticas de seguridad, con una puntuación clara de los puntos débiles que deben corregirse.
- Supervisión de los foros de chat de hackers de la web oscura en busca de menciones de la empresa o credenciales robadas.
- Utilizar la notificación de infracciones en tiempo real y la inteligencia procedente de múltiples fuentes para informar las evaluaciones fuera de banda relativas a las prácticas críticas de ciberseguridad (por ejemplo, autenticación de dos factores, políticas de rotación de contraseñas y programas de formación y concienciación de los empleados).
- Aprovechar las evaluaciones ya realizadas para saber si los proveedores han tenido vulnerabilidades como ésta en el pasado y cuáles eran sus planes de corrección.
- Emplear procesos programáticos para la detección de infracciones, notificación y escalado a la tercera parte en cuestión.
GE ha declarado que está tomando las medidas adecuadas para garantizar la seguridad, que el incidente no afectó directamente a sus sistemas y que está trabajando con Canon para determinar cómo se produjo. Sin embargo, esto no sirve de consuelo a los miles de empleados de GE potencialmente afectados por esta brecha. Dos años de supervisión gratuita del crédito a través de Experian es sólo una tirita.
¿Le preocupan sus propias prácticas de riesgo de terceros? Realice la evaluación de riesgos en línea de Prevalent y obtenga una puntuación rápida y recomendaciones sobre lo que debe abordar inmediatamente.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
