Prohibición de Kaspersky: Implicaciones de la gestión de riesgos de terceros

Siga estos siete pasos para descubrir, clasificar y mitigar el riesgo del software prohibido en su ecosistema de proveedores y vendedores externos.

Imagen decorativa

En junio de 2024, el gobierno estadounidense prohibió la venta y las actualizaciones del software desarrollado por la empresa de ciberseguridad Kaspersky en Estados Unidos. El anuncio se produjo tras una ley de 2017 que prohibía el uso de software de Kaspersky en organismos gubernamentales. Estados Unidos no es el único país que ha tomado esta decisión. Los gobiernos del Reino Unido, Alemania, Italia, los Países Bajos y otros países también han prohibido o están limitando significativamente el uso del software de Kaspersky.

Aunque no hay pruebas directas de que se esté produciendo una actividad ilegal, la prohibición se debe a la preocupación de que el gobierno ruso pueda tener acceso a la red de Kaspersky y a los datos de sus clientes. A estos gobiernos les preocupa que el acceso que Kaspersky utiliza para proteger los sistemas informáticos pueda ser aprovechado para robar información sensible o instalar malware. La invasión rusa de Ucrania aumentó la preocupación de que los ciberataques rusos aprovecharan el acceso a los sistemas de Kaspersky para llevar a cabo operaciones ofensivas contra las naciones que apoyan a Ucrania.

Los terceros vendedores y proveedores de estos países ya deberían haber cortado lazos con el software de Kaspersky a la luz de estas prohibiciones. Sin embargo, no hay garantía de ello, por lo que es fundamental que las organizaciones investiguen a sus vendedores y cadenas de suministro para identificar casos de Kaspersky y evitar posibles daños cibernéticos, legales o de reputación.

A la luz de esta nueva prohibición, este artículo examina los pasos que pueden dar las organizaciones para descubrir y controlar los casos de Kaspersky en sus cadenas de suministro y proveedores externos y reducir el riesgo.

Siete pasos para mitigar el riesgo de tecnología prohibida en su cadena de suministro o de proveedores externos

Tenga en cuenta estos siete pasos para descubrir, clasificar y supervisar el uso de Kaspersky en su ecosistema de proveedores. Estos pasos también se aplican a cualquier otra tecnología prohibida, pero en este caso nos centramos en Kaspersky.

1. Elaborar un inventario centralizado de todos los terceros

Un inventario centralizado de todos los vendedores y proveedores externos añade gobernanza y procesos a la gestión de vendedores, y reduce la probabilidad de que las relaciones con vendedores no supervisadas introduzcan riesgos en sus operaciones de TI. El inventario de proveedores debe realizarse en una plataforma centralizada, no en hojas de cálculo, de modo que varios equipos internos puedan participar en la gestión de proveedores y el proceso pueda automatizarse en beneficio de todos.

Puede crear un inventario central de proveedores importando proveedores a su plataforma de gestión de riesgos de terceros mediante una plantilla de hoja de cálculo o a través de una conexión API a una solución de compras o cuentas a pagar existente. Los equipos de toda la empresa deben poder rellenar los datos clave de los proveedores con un formulario de admisión centralizado y personalizable y un flujo de trabajo asociado para su aprobación. Esta capacidad debe estar disponible para todo el mundo a través de una invitación por correo electrónico, sin necesidad de formación o experiencia en la solución.

Un inventario central de vendedores y proveedores externos tiene la ventaja añadida de crear un único perfil de proveedor que incluye atributos clave como detalles firmográficos, datos financieros, información operativa y otros datos importantes sobre la empresa.

2. Construir un mapa de terceros para determinar el riesgo de concentración tecnológica

Recopile las tecnologías de 4ª parte desplegadas en su ecosistema de proveedores durante el proceso de inventario para ayudar a identificar las relaciones entre su organización y terceras partes basándose en cierto uso de la tecnología. Hacer esto le ayudará a visualizar las rutas de ataque en su empresa y tomar medidas proactivas de mitigación. Puede lograrlo mediante una evaluación específica o a través de un escaneado pasivo.

En el caso de Kaspersky, tener un mapa de los proveedores que utilizan la herramienta ahora prohibida le ayudaría a centrarse en qué proveedores evaluar para detectar una posible exposición al malware. Céntrese primero en los proveedores de primer nivel o críticos para el negocio, ya que una interrupción en sus operaciones podría afectar a su organización de forma más aguda.

3. Realizar una evaluación de los riesgos inherentes

Después de centralizar a los proveedores y evaluar la presencia de tecnología afectada, realice evaluaciones de puntuación de riesgo inherente que le ayuden a determinar cómo evaluar a sus terceros de forma continua en función de los riesgos que plantean. Los atributos utilizados para calcular una puntuación de riesgo inherente deben incluir, como mínimo, el acceso a información o sistemas sensibles, los requisitos normativos y legales, y la ubicación geográfica.

4. Evaluar los planes de resistencia y continuidad de las actividades de terceros

Involucre de forma proactiva a los proveedores de riesgo con evaluaciones sencillas y específicas que se ajusten a las normas conocidas del sector. Los resultados de estas evaluaciones le ayudarán a orientar las medidas correctoras necesarias para cerrar posibles brechas de seguridad. Las buenas soluciones proporcionarán automatización del flujo de trabajo, revisión y análisis, gestión de pruebas de apoyo y recomendaciones integradas para acelerar la corrección y cerrar rápidamente esas brechas.

5. Supervisar continuamente a los vendedores y proveedores de riesgo para detectar ciberataques.

Estar continuamente alerta ante el próximo ataque significa buscar señales de un incidente de seguridad inminente. Es esencial vigilar los foros de delincuentes, las páginas cebolla, los foros de acceso especial de la web oscura, los feeds de amenazas, los sitios de pegado de credenciales filtradas, las comunidades de seguridad, los repositorios de código y las bases de datos de vulnerabilidades y hackeos/infracciones.

Puede supervisar estas fuentes individualmente, o puede buscar soluciones que unifiquen toda la información en una única fuente, de modo que todos los riesgos estén centralizados y sean visibles para la empresa. Correlacione todos los datos de supervisión con los resultados de las evaluaciones y centralícelos en un registro de riesgos unificado para cada proveedor, agilizando así las iniciativas de revisión de riesgos, elaboración de informes y respuesta.

6. Ponga a prueba su plan de respuesta a incidentes de terceros

La automatización de la respuesta a incidentes es clave para acortar el tiempo medio de detección (MTTD) y el tiempo medio de respuesta (MTTR) a incidentes de terceros, lo que puede reducir el impacto del incidente en sus operaciones. A medida que mejora continuamente sus planes de respuesta a incidentes:

  • Aprovechar un cuestionario centralizado de gestión de incidentes y eventos para reducir los tiempos de respuesta y simplificar y estandarizar las evaluaciones.
  • Seguimiento en tiempo real de la cumplimentación de los cuestionarios para reducir las posibles repercusiones.
  • Permitir a los proveedores informar proactivamente sobre los incidentes para añadir contexto y acelerar los tiempos de respuesta.
  • Utilizar reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos en función de su impacto potencial para la empresa.
  • Orientar al proveedor para que reduzca el riesgo hasta un nivel aceptable para su organización.

Al centralizar la respuesta a incidentes de terceros en un único proceso de gestión de incidentes empresariales, sus equipos de TI, seguridad, legal, privacidad y cumplimiento pueden trabajar juntos de forma eficaz para mitigar los riesgos.

7. Hacer cumplir las disposiciones contractuales de los proveedores

Asegúrese de incluir disposiciones ejecutables en los contratos de proveedores que prohíban el uso de tecnología prohibida y exijan a terceros que den fe de su no utilización. Para simplificar el proceso e integrarlo con el programa de evaluación de riesgos de terceros, aproveche las funciones de flujo de trabajo de contratos para automatizar el ciclo de vida, desde la incorporación hasta la exclusión, y busque funciones de IA que extraigan automáticamente detalles contractuales clave para el seguimiento y la aplicación centralizados.

Próximos pasos para el TPRM en la prohibición de Kaspersky

Adoptar un enfoque manual y reactivo de la gestión de riesgos de terceros sólo aumentará la probabilidad de sufrir una interrupción del negocio o una sanción legal o de cumplimiento. En su lugar, siga los siete pasos de este post para estar mejor preparado para futuras prohibiciones de software.

La Plataforma Prevalente de Gestión de Riesgos de Terceros puede ayudar:

  • Centralización de los contratos con proveedores, automatización de la gestión de las disposiciones clave e integración nativa con el proceso de evaluación de riesgos.
  • Automatización de la gestión de proveedores y creación de un mapa de todas las terceras, cuartas y enésimas partes.
  • Proporcionar un único perfil completo para cada proveedor disponible para todas las partes interesadas.
  • Perfilar y clasificar por niveles a los proveedores para categorizarlos con precisión y prescribir la diligencia debida adecuada.
  • Evaluar a los proveedores con respecto a docenas de marcos del sector utilizando más de 750 plantillas de evaluación de riesgos con recomendaciones de corrección incorporadas.
  • Supervisión continua de los riesgos cibernéticos, empresariales, de reputación y financieros para validar las respuestas de evaluación.
  • Gestión del proceso de respuesta a incidentes de terceros.

Para obtener más información sobre cómo Prevalent puede ayudarle a descubrir, clasificar y mitigar el riesgo del software prohibido en su ecosistema de proveedores, solicite una demostración hoy mismo.


Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.