Ya estamos otra vez. Otro minorista, otro ciberataque vinculado a un proveedor externo. Pero esta vez, el objetivo no era robar información de clientes, sino datos de empleados. La cadena de tiendas de lujo Nordstrom ha anunciado que la información de sus empleados puede haber sido comprometida en una violación de datos y puede incluir números de la Seguridad Social de los empleados, fechas de nacimiento, números de cuentas corrientes, números de ruta y otra información de identificación personal (PII). Los malhechores saben que entrar en una empresa más pequeña, que no cuente con los presupuestos de seguridad adecuados, abre la puerta al robo de datos valiosos de grandes empresas.
En un comunicado oficial, Nordstrom identificó el origen de la brecha como un trabajador contratado que manejó indebidamente los datos de los empleados. Aunque todavía no está claro si la información se compartió o se utilizó malintencionadamente, la empresa dejó claro que el trabajador contratado "ya no tiene acceso a nuestros sistemas y estamos poniendo en marcha medidas adicionales para ayudar a evitar que esto vuelva a suceder." Nordstrom aún no ha revelado el número de empleados afectados por la brecha.
Aunque la filtración de Nordstrom es en cierto modo única en el sentido de que se expuso la información de los empleados y no la de los clientes, es una más en una línea creciente de filtraciones de datos causadas por proveedores externos. Estas filtraciones de terceros han afectado a empresas como Target y Expedia y han suscitado debates sobre diferentes enfoques de la gestión de riesgos de terceros.
Aunque existe cierto desacuerdo en el campo de la gestión de riesgos de terceros sobre la eficacia frente a la carga de los diferentes métodos de mitigación de riesgos, como las encuestas de evaluación, la supervisión continua y las inspecciones in situ, la realidad es que cada uno de ellos es una única herramienta disponible para los equipos de gestión de riesgos, y cada uno sirve a un propósito específico en el contexto de la relación entre el proveedor y el cliente.
En el caso de la filtración de Nordstrom, la implicación de un contratista externo pone de relieve la necesidad de un programa multifacético de riesgos de terceros. Los estudios de evaluación y un proceso de incorporación exhaustivo pueden ayudar a las empresas a mitigar el riesgo de amenazas humanas, mientras que la supervisión continua puede prevenir y reducir las ciberamenazas.
Prevalent aporta a sus socios el conjunto completo de herramientas para prevenir y gestionar el riesgo de terceros. Forrester nombró recientemente a Prevalent líder en The Forrester New Wave™: Cybersecurity Risk Rating Solutions y señaló que "Prevalent es lo mejor para las empresas que quieren una herramienta TPRM con calificaciones de ciberriesgo integradas. Dada su sólida inteligencia de riesgos y sus completas funciones de gestión de riesgos, Prevalent es una opción digna para los profesionales de Seguridad y Riesgos que buscan una herramienta para todas las actividades de TPRM cibernética."
Al ser la única plataforma unificada del sector creada específicamente que integra una potente combinación de evaluaciones automatizadas, supervisión continua e intercambio de pruebas para la colaboración entre empresas y proveedores, Prevalent ofrece la mejor solución para un programa de riesgos de terceros eficaz y de alto funcionamiento.
Daryan Ver Ploeg es analista de inteligencia de código abierto en el equipo Vendor Threat Monitor de Prevalent, con sede en Washington, DC. Es licenciado en Gobierno y Política por la Universidad de Maryland, College Park.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
