El riesgo de ciberseguridad de terceros se ha convertido en un grave desafío para las organizaciones en los últimos años. Entre las violaciones de datos a gran escala por parte de terceros se incluyen SolarWinds, Kaseya, Mercedes y Okta. A medida que las organizaciones han adoptado cada vez más la nube y la infraestructura de TI fuera de las instalaciones, la dificultad de gestionar con éxito el riesgo cibernético de terceros ha crecido exponencialmente. Por cada tercero con el que una empresa comparte datos o al que proporciona acceso al sistema, existe una red de cuartos y enésimos terceros interdependientes que también pueden tener acceso a esos datos.
El riesgo cibernético de terceros afecta a todas las organizaciones, desde el pequeño proveedor de servicios de TI que distribuyó involuntariamente ransomware a sus clientes, hasta la gran empresa que sufre una violación masiva de datos atribuible a un proveedor de sistemas de climatización. En esta publicación se explica cómo las organizaciones pueden gestionar con éxito el riesgo cibernético de terceros a lo largo del ciclo de vida del riesgo de los proveedores.
¿Qué es el riesgo cibernético de terceros?
El riesgo cibernético de terceros se define como una exposición potencial en la confidencialidad, integridad o disponibilidad de la infraestructura y los datos de TI que una organización asume como resultado de trabajar con un proveedor, distribuidor u otro socio comercial. El riesgo cibernético de terceros puede adoptar numerosas formas dependiendo del papel que desempeñe el tercero. Algunas formas comunes de riesgo cibernético de terceros incluyen:
Violaciones de datos por parte de terceros: Las violaciones de datos por parte de terceros se han vuelto increíblemente comunes. A medida que han aumentado los servicios en la nube, el uso de aplicaciones SaaS y el uso de contratistas externos de seguridad y TI, también lo han hecho los riesgos asociados con las violaciones de datos. Organizaciones como Marriott, Volkswagen y Capital One han sufrido violaciones de datos en los últimos años como resultado del uso de contratistas externos, aplicaciones o infraestructura de TI.
Cuestiones de cumplimiento normativo: Existen numerosos requisitos de cumplimiento normativo que abordan el riesgo cibernético de terceros. Normativas como HIPAA, CMMC, GDPR, CCPA y otras establecen controles directos sobre cómo las organizaciones pueden compartir datos o proporcionar acceso a los mismos a terceros. No comprender y cumplir los requisitos de cumplimiento normativo puede acarrear enormes problemas legales, normativos y de relaciones públicas para las organizaciones.
Ataques de ransomware y denegación de servicio: tradicionalmente, el ransomware no se ha considerado un riesgo derivado de terceros. Sin embargo, en los últimos años, los actores maliciosos se han centrado cada vez más en las aplicaciones de software utilizadas por cientos, o incluso miles, de empresas con el fin de distribuir ransomware. Según el Informe de investigaciones sobre violaciones de datos de Verizon de 2022, el ransomware fue uno de los principales métodos utilizados por los atacantes en las violaciones de datos de terceros cubiertas por el informe. No se debe subestimar el riesgo cibernético de terceros que emana de los proveedores de software que requieren acceso privilegiado a la infraestructura de TI.
Comprensión del riesgo perfilado, inherente y residual en el contexto del riesgo cibernético de terceros
Comencemos con un breve resumen de un concepto que es fundamental para comprender y gestionar el riesgo cibernético de terceros. El riesgo cibernético de terceros se puede clasificar, en términos generales, en tres categorías distintas según las características del proveedor o proveedor, los servicios que presta a su organización y la etapa en la que se encuentra su relación con ellos.
Riesgo perfilado: El riesgo perfilado proviene de una combinación de información de la empresa, ubicación geográfica, sector y requisitos normativos. Por ejemplo, los terceros ubicados en países políticamente inestables, aquellos que suelen ser blanco de ciberataques o aquellos que están muy regulados tendrán un riesgo perfilado más alto. Asimismo, la situación financiera, la salud y la reputación de un tercero pueden incluirse en el riesgo perfilado, ya que las malas calificaciones en estas áreas pueden indicar una incapacidad para cumplir con las promesas contractuales.
Riesgo inherente: El riesgo inherente es más específico del servicio prestado y se clasifica como el riesgo que el tercero supone para su organización antes de la aplicación de los controles. El riesgo inherente se calcula teniendo en cuenta la importancia del tercero para el rendimiento y las operaciones de la empresa; su ubicación y las consideraciones legales o normativas relacionadas; el nivel de dependencia de cuartos o enésimos terceros; la exposición a procesos operativos o de cara al cliente; y la interacción con datos protegidos o sistemas internos. Las organizaciones con altos niveles de acceso a datos e infraestructuras sensibles tienen un riesgo inherente mayor que las que no lo tienen.
Riesgo residual: El riesgo residual representa el riesgo restante que supone para una organización un tercero después de que se hayan implementado los controles obligatorios. Los equipos de gestión de riesgos deben considerar y definir cuidadosamente los niveles aceptables e inaceptables de riesgo residual o controles compensatorios.
Identificación de riesgos cibernéticos de terceros durante la búsqueda y selección de proveedores
Casi todos los proveedores con los que trabaje, incluso aquellos con un acceso mínimo a la infraestructura informática o a datos confidenciales, presentarán cierto grado de riesgo cibernético de terceros. Sin embargo, identificar a los proveedores que exponen a su organización a niveles innecesariamente altos de riesgo cibernético es fundamental para reducir las posibilidades de que se produzca una violación de datos o un incidente de seguridad en el futuro. A continuación, se incluyen algunas preguntas que debe hacer a los posibles proveedores, en particular a aquellos que presentan un riesgo elevado.
- ¿Cuenta la organización con un programa formalizado de ciberseguridad alineado con un marco de ciberseguridad conocido, como NIST CSF o ISO 27001?
- ¿Algún auditor externo o tercera parte ha validado que el programa de seguridad cumple plenamente con la norma?
- ¿Cumple la organización plenamente con los requisitos legales aplicables para trabajar con los datos de su organización? (por ejemplo, HIPAA, RGPD, CCPA)
- ¿Ha sido multada alguna vez la organización por infringir las normas de ciberseguridad?
- ¿Cuál es el grado de dependencia de la organización respecto a terceros o cuartos?
- ¿Tiene la organización antecedentes de violaciones de datos o incidentes de seguridad que se hayan hecho públicos?
- ¿Se encuentra la organización en un país que podría obligarla a revelar datos corporativos confidenciales contrarios a sus obligaciones contractuales?
Mitigación del riesgo cibernético de terceros durante la admisión y la incorporación
Identificar a los proveedores que presentan un nivel de riesgo aceptable es solo el principio. La admisión y la incorporación son fases cruciales para permitir tanto la identificación de riesgos como las oportunidades de reducción a lo largo del ciclo de vida del contrato.
Incluir la ciberseguridad en el contrato
Incluya requisitos específicos de almacenamiento de datos y ciberseguridad en su contrato con el proveedor en función de las necesidades de cumplimiento y el riesgo perfilado. Las cláusulas estandarizadas deben cubrir cuándo y cómo el proveedor puede compartir datos con sus terceros (es decir, sus cuartos). Además, considere la posibilidad de añadir requisitos al SLA en relación con las normas de cifrado, la gestión de identidades y accesos y la conservación de datos.
Puntuación del riesgo inherente
La puntuación del riesgo inherente es fundamental para gestionar adecuadamente el riesgo cibernético de terceros. Como se ha mencionado anteriormente, el riesgo inherente de una organización es el riesgo que esta presenta antes de la implementación de los controles específicos requeridos por su organización. A continuación, se incluyen algunos consejos que puede utilizar para mejorar su enfoque de puntuación del riesgo inherente:
No adopte un enfoque único para todos: la puntuación de riesgo inherente debe basarse en el perfil de riesgo de la organización. Los proveedores deben clasificarse en función de los datos y la infraestructura a los que tienen acceso. Si no se clasifica adecuadamente a los proveedores, se desperdicia esfuerzo al centrar la diligencia debida en los proveedores equivocados, mientras que aquellos que pueden suponer un riesgo sustancial para la organización no reciben la atención suficiente.
Tenga en cuenta la ubicación del proveedor al evaluar el riesgo cibernético inherente: los proveedores con sede en ubicaciones específicas pueden ser parcialmente propiedad de gobiernos o estar sujetos a requisitos específicos de intercambio de datos por parte de estos, lo que puede prevalecer sobre las obligaciones contractuales de los proveedores con su organización. Considere cuidadosamente la ubicación del proveedor y la política regional al determinar el nivel de riesgo inherente que representa un proveedor.
Consejo adicional: El uso de una solución de gestión de riesgos de terceros específica le permite clasificar a los proveedores según criterios personalizados.
Identificar proveedores de cuarta y enésima parte
Si el proveedor que está incorporando presenta un alto grado de riesgo inherente basado en sus datos y su acceso a la tecnología de la información, puede que valga la pena examinar su cadena de suministro ampliada. Preste especial atención a las organizaciones que trabajan en su infraestructura de tecnología de la información o que tienen acceso a los datos que almacena. Comprender el uso de terceros y cuartos ayuda a informar su programa general de gestión de riesgos de proveedores, así como a centrar su enfoque de supervisión de terceros a lo largo del ciclo de vida del contrato.
Evaluación y corrección de riesgos de ciberseguridad de terceros
Evaluar y remediar los riesgos de ciberseguridad que emanan de terceros es crucial para su programa TPRM más amplio. A continuación, le ofrecemos algunos consejos que puede utilizar al evaluar y solicitar medidas correctivas a los proveedores:
Requisitos de cumplimiento de mapas para controles de proveedores
Si tiene obligaciones en virtud de la HIPAA, el RGPD, la NYDFS u otras normativas, debe asegurarse de que el proveedor cumple los controles necesarios en función del tipo de datos que maneja. El uso de software de gestión de riesgos de terceros, como Prevalent, puede agilizar considerablemente este paso, ya que mapea automáticamente los marcos de ciberseguridad utilizados por el proveedor con los requisitos de cumplimiento de su organización.
No tema solicitar nuevos controles o auditorías externas.
Si la organización no ha contado con una organización externa que certifique que cumple con una norma de ciberseguridad reconocida, no dude en solicitar que se someta a una auditoría basada en un marco (o requisito de cumplimiento al que se acoge su organización). Es mucho mejor perder un posible contrato que descubrir más tarde que su autocertificación de cumplimiento de la HIPAA era exagerada y que, como resultado, su organización es responsable de una infracción.
Comprender los procesos relacionados con el intercambio de datos de cuarta y enésima parte
Debería tener una idea general de qué organizaciones externas utiliza su proveedor basándose en sus respuestas durante la fase de admisión e incorporación. A medida que su organización lleve a cabo su evaluación formal de riesgos de los proveedores, solicite las políticas y procedimientos específicos que su proveedor tiene para compartir datos o acceder a terceros. Si no disponen de políticas y procedimientos formalizados, solicite que los creen.
Evaluar y remediar los riesgos periódicamente
El riesgo no es estático. El riesgo cibernético que un proveedor supone para su organización probablemente cambiará significativamente a lo largo del ciclo de vida del contrato. La ampliación del alcance puede dar lugar a que los proveedores asuman trabajos adicionales a medida que se ganan la confianza, lo que también les puede permitir acceder a recursos adicionales que no se tuvieron en cuenta en la evaluación inicial del riesgo. A medida que evoluciona el contrato con la organización, reevalúe periódicamente el riesgo de los proveedores para asegurarse de que el riesgo residual se mantenga dentro de parámetros aceptables.
Utilizar una biblioteca compartida
Para adaptarse a las limitaciones de recursos, muchas organizaciones, especialmente aquellas con un sólido plan de clasificación de proveedores, optan por aprovechar el contenido ya completado que se ha enviado y compartido dentro de un intercambio sectorial. Estos intercambios entre proveedores son profecías autocumplidas: cuantos más proveedores participan, mayor es el solapamiento con otras empresas. Esto acelera los procesos de identificación y mitigación de riesgos y minimiza el tiempo necesario para recopilar datos.
Supervisión continua del riesgo cibernético de terceros
Aunque realice evaluaciones de riesgos periódicamente para supervisar los riesgos de terceros, es posible que se le pasen por alto cambios rápidos en el perfil de riesgo de un proveedor. La supervisión continua de los cambios en la postura de ciberseguridad de su contratista es fundamental para gestionar eficazmente los riesgos cibernéticos de terceros. A continuación, se incluye una breve lista de fuentes que vale la pena supervisar a lo largo del ciclo de vida del proveedor para asegurarse de no pasar por alto ningún evento de seguridad significativo.
Foros de la Dark Web
Cuando se dirigen a grandes organizaciones, los actores maliciosos suelen coordinar y planificar ataques en foros a los que solo pueden acceder usuarios autorizados que utilizan la red TOR. Supervisar los foros de la web oscura en busca de menciones a proveedores externos y terceros puede permitirle identificar rápidamente posibles ciberataques que se estén llevando a cabo o que se hayan ejecutado contra terceros.
Mercados de la web oscura
Los mercados de la web oscura, como Genesis Market, venden botnets que contienen huellas digitales de navegadores que pueden ser utilizadas por actores maliciosos para eludir la autenticación de dos factores (2FA) y otros controles. La supervisión de estos mercados puede permitir una rápida identificación si se pone a la venta el acceso de terceros, lo que le alertará de una posible violación de datos en curso. Además, los actores maliciosos suelen vender acceso a cuentas y credenciales robadas en los mercados de la web oscura. Otros actores maliciosos pueden utilizarlas para facilitar el robo de cuentas y los ataques de phishing. La supervisión de estos mercados puede ayudarle a comprender mejor el riesgo cibernético de los proveedores. Algunas preguntas que debe plantearse:
- ¿Las credenciales asociadas con el proveedor o sus soluciones están a la venta en la Dark Web?
- ¿Existen botnets a la venta que contengan subdominios que indiquen que la víctima es empleada de un proveedor?
- ¿El proveedor ya ha identificado las credenciales que están a la venta o desconoce en gran medida su exposición al riesgo externo?
Sitios web Pastebin y Clearweb
No todas las fugas de datos y cuentas robadas se producen en la Dark Web. En muchos casos, los empleados filtran accidentalmente datos de terceros que aparecen en Pastebin y otros foros públicos. Para agravar estos problemas, también se sabe que los actores maliciosos descargan archivos que contienen miles de credenciales en foros de acceso público. La supervisión de Pastebin y otros foros públicos en busca de información confidencial, credenciales robadas de terceros y otros datos sensibles es una parte fundamental de la supervisión continua de terceros.
Bases de datos de vulnerabilidades
Las bases de datos de vulnerabilidades, como la base de datos CVE de MITRE, pueden ayudar a su organización a identificar exposiciones en el software desarrollado o utilizado por sus proveedores externos. El uso de software de gestión de riesgos de terceros le permite identificar automáticamente a los proveedores de software de terceros y cuartos con posibles vulnerabilidades.
Bases de datos de violaciones de datos
Otra parte importante de la supervisión de los riesgos cibernéticos de terceros es la búsqueda de proveedores en bases de datos de violaciones de datos notificadas, como las de Privacy Rights Clearinghouse y el Estado de California. Incluso una violación de datos de alcance limitado debería llevarle a evaluar el riesgo de cualquier dato compartido con terceros. También puede requerir una revisión de los requisitos de cumplimiento normativo aplicables.
Automatización del proceso de supervisión
El software de supervisión de riesgos de terceros puede ayudar a automatizar el proceso de identificación y cuantificación de los riesgos cibernéticos de los proveedores. Por ejemplo, nuestra solución de supervisión de riesgos le permite revelar incidentes cibernéticos de terceros para 550 000 empresas mediante la supervisión de más de 1500 foros criminales, miles de páginas onion, más de 80 foros de acceso especial a la web oscura, más de 65 fuentes de amenazas y más de 50 sitios de pegado de credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.
Riesgos cibernéticos de terceros y acuerdos de nivel de servicio
Gestionar con éxito los SLA entre departamentos y proveedores es fundamental para gestionar eficazmente el riesgo cibernético de terceros. Es necesario evaluar periódicamente a los proveedores para garantizar que se cumplen los requisitos de conformidad y que no se han incurrido en cargas adicionales de conformidad debido a aumentos del alcance. A continuación se presentan algunas consideraciones clave para la gestión del riesgo cibernético de terceros al gestionar los SLA.
Automatizar siempre que sea posible
Revisar manualmente cientos de contratos en docenas de departamentos y, potencialmente, miles de proveedores es, como mínimo, un reto. El uso de software de gestión de riesgos de terceros puede permitirle automatizar elementos clave de la gestión de SLA con flujos de trabajo y soluciones integrados.
Incluir la ciberseguridad en el acuerdo de nivel de servicio (SLA)
Asegúrese de que las buenas prácticas cibernéticas se incluyan en el acuerdo de nivel de servicio. Las consideraciones específicas sobre el manejo de datos, los requisitos de seguridad de los contratistas, la verificación de antecedentes del personal y otras disposiciones pueden ayudar a garantizar que los terceros utilicen técnicas eficaces de reducción de riesgos al prestar sus servicios.
Desvinculación, rescisión y mitigación del riesgo cibernético de terceros
No todas las violaciones de datos se producen durante la vigencia de un contrato. La salida y la rescisión representan la etapa final y crítica en la mitigación del riesgo cibernético que plantean los terceros. Muchas organizaciones con una falta de madurez en la salida terminan dejando a los proveedores con acceso a datos críticos, cuentas e infraestructura de TI. A continuación se presentan algunas prácticas recomendadas que se deben seguir al dar de baja a los proveedores.
No perder de vista el cumplimiento de la normativa
Garantizar el cumplimiento de las leyes y normativas aplicables es fundamental para llevar a cabo con éxito la salida de los proveedores. Evalúe los requisitos de cumplimiento de su organización y asegúrese de que la salida de los proveedores, la eliminación de datos y la validación se realicen de acuerdo con las leyes y normativas aplicables.
Las plataformas de gestión de riesgos de terceros contarán con funciones de generación de informes integradas que se ajustan a estas obligaciones normativas, lo que puede simplificar el proceso de cumplimiento. Muchas organizaciones dan por sentado que los datos se han destruido al finalizar el contrato. Tómese el tiempo necesario para verificar manualmente que todos los datos confidenciales, privados y regulados que obran en poder del proveedor hayan sido destruidos.
Validar que se ha revocado el acceso
Mantener un control sobre el acceso de los proveedores, especialmente aquellos que trabajan en varios departamentos, puede resultar difícil. Sin embargo, es imprescindible que se tome el tiempo necesario para comprobar manualmente cada departamento y asegurarse de que el proveedor ha sido dado de baja de forma completa y satisfactoria en toda la organización. Dejar que un proveedor tenga acceso a la infraestructura informática, las cuentas o la información confidencial puede dejarle vulnerable a una violación de datos o al incumplimiento de la normativa meses o incluso años más tarde.
No olvides la infraestructura física
Muchas organizaciones se centran, con razón, en garantizar que los proveedores ya no tengan acceso a los servidores en la nube, las bases de datos y las aplicaciones SaaS. Sin embargo, es casi tan importante no perder de vista la seguridad física de la infraestructura y los activos de TI. No revocar las credenciales o no informar a los equipos de seguridad de que se va a prescindir de un proveedor puede dar lugar a fallos de seguridad y a posibles violaciones si un empleado de un proveedor externo actúa de mala fe.
Gestión del riesgo de ciberseguridad de terceros a lo largo del ciclo de vida del riesgo de los proveedores
Mitigar con éxito los riesgos de ciberseguridad de terceros hasta un nivel aceptable a lo largo del ciclo de vida del riesgo de los proveedores puede resultar una tarea abrumadora. Las violaciones de datos de terceros siguen aumentando a medida que surgen nuevas vulnerabilidades y evolucionan las técnicas de ataque. Acontecimientos recientes, como la guerra en Ucrania y el aumento de la inestabilidad geopolítica, han agravado estos riesgos.
El uso de una solución de gestión de riesgos de terceros puede reducir drásticamente el esfuerzo necesario para mitigar con éxito los riesgos derivados del acceso de terceros a la TI. La plataforma de gestión de riesgos de terceros de Prevalent facilita enormemente la gestión del ciclo de vida de los proveedores. Obtenga más información sobre nuestro enfoque leyendo nuestra guía de prácticas recomendadas, Gestión del ciclo de vida de los riesgos de los proveedores: claves para el éxito en cada etapa, o solicite una demostración hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
