Las principales prioridades de los riesgos de ciberseguridad de terceros en 2024 y qué hacer al respecto

Es hora de hacer de la gestión de riesgos de terceros una prioridad para su organización. Aprenda 7 maneras de conseguir que su programa de TPRM empiece con buen pie en 2024.

Personal de Mitratech
Personal de Mitratech Enero 15, 2024 5 minutos de lectura
Decorative image

2023 mostró que las filtraciones de datos de terceros afectaron a organizaciones de todos los sectores. El estudio anual del sector TPRM de Prevalent reveló que el 41% de las empresas había sufrido una violación de datos por parte de terceros, y que el 71% consideraba que las violaciones de seguridad por parte de terceros eran una de sus principales preocupaciones. Organizaciones de todos los tipos y tamaños están analizando más seriamente cómo pueden mantenerse al tanto del creciente número de riesgos cibernéticos de terceros. El reto no hará más que crecer hasta 2024.

Los profesionales de la seguridad y el riesgo tenemos mucho que hacer para mejorar el estado de la gestión del riesgo de terceros. Persiste la confusión sobre qué es el riesgo de terceros, qué controles implantar, cómo evaluar a los proveedores, cómo gestionar a los proveedores, el impacto del cumplimiento normativo y mucho más. Por lo tanto, no sorprende en absoluto que las partes interesadas de la mayoría de las organizaciones estén confundidas (y a la vez preocupadas) por el estado de las asociaciones de terceros. Los equipos de ciberseguridad y riesgos necesitan desarrollar e implementar planes cohesivos e informados que ayuden a todos a estar en la misma página frente a las nuevas y crecientes amenazas.

En este post, examino los principales riesgos cibernéticos de terceros a tener en cuenta en 2024 y sugiero una lista de 7 prioridades para hacer frente a esos riesgos.

Principales riesgos de ciberseguridad de terceros a tener en cuenta en 2024

Basándonos en las tendencias de incidentes cibernéticos de terceros en el último año, en 2024 veremos más de los siguientes tipos de riesgos:

  • Fallos de software y servicios e incumplimientos de la cadena de suministro
  • Ataques basados en privilegios y cuentas
  • Infecciones y propagación de malware
  • Uso/acceso no autorizado
  • Denegación de servicio
  • Infracciones e incidentes en socios y proveedores de tercer y cuarto nivel

Sin embargo, me gustaría centrarme específicamente en los riesgos de la cadena de suministro de software, ya que la tendencia está aumentando significativamente en este ámbito.

La cadena de suministro de software crea y entrega software desde su concepción hasta su eventual usuario final. Abarca todos los pasos que intervienen en la creación y entrega de software, desde la idea inicial hasta el producto final. La cadena de suministro puede dividirse en tres secciones principales:

  • Desarrollo: Los pasos que se dan para crear un programa informático, incluidos el diseño, la codificación, las pruebas y la corrección de errores.
  • Distribución: El proceso de hacer llegar el software a sus usuarios finales, incluyendo el embalaje, la comercialización y la entrega.
  • Consumo: Instalación y uso del software una vez entregado.

MOVEit es un ejemplo clásico de violación de la cadena de suministro de software. En mayo de 2023, una banda de ransomware llamada Cl0p comenzó a abusar de un exploit de día cero de la solución de transferencia de archivos empresariales MOVEit Transfer de Progress Software. Desde entonces, más de 2.000 organizaciones han informado de haber sido atacadas y Progress Software ha publicado numerosos parches.

Las 7 prioridades principales de la gestión de riesgos cibernéticos de terceros en 2024

En 2024, los equipos de seguridad deben dar prioridad a la gestión de riesgos cibernéticos de terceros para adelantarse a los posibles ataques a la cadena de suministro de software. He aquí siete lugares por los que empezar:

  1. Llevar a cabo una revisión exhaustiva de los procesos del equipo de adquisiciones para mejorar la gobernanza de terceros. Intenta responder a preguntas como
    • ¿Cómo se inicia la revisión de proveedores?
    • ¿Cómo se definen y revisan las cláusulas contractuales?
    • ¿Qué recursos tiene si un producto de un proveedor provoca una brecha o vulnerabilidad?
    • ¿Con qué frecuencia se realizan las revisiones de proveedores después del contrato?
    • ¿Cómo se documentan las revisiones de terceros?
  2. Priorizar las revisiones de riesgos. Las revisiones de riesgos de terceros deben empezar por definir los controles cuyo cumplimiento debe demostrar el tercero. A continuación, determine la frecuencia de las revisiones de seguridad. Por último, defina un proceso de reparación y arbitraje para gestionar los riesgos de terceros.
  3. Aproveche las clasificaciones de riesgo. Utilice soluciones de riesgo de terceros que ofrezcan clasificaciones de riesgo de los proveedores en comparación con otras organizaciones del sector. El seguimiento de las clasificaciones de riesgo global de terceros proporciona información sobre la percepción que tiene el sector de la postura de seguridad.
  4. Mejore las comunicaciones con terceros en caso de infracción. Póngase en contacto con el proveedor afectado y determine su exposición potencial y cualquier acuerdo contractual de nivel de servicio (SLA).
  5. Aislar el acceso y los sistemas si se produce una brecha. Aproveche las restricciones de host local, los controles de acceso a la red, las restricciones de privilegios y la eliminación/bloqueo de cuentas.
  6. Remediar los riesgos. Al tiempo que controla el "radio de explosión" de una filtración de terceros, debe identificar y clasificar los datos afectados e investigar las repercusiones sobre el cumplimiento.
  7. Supervise continuamente las infracciones de terceros. Supervise los comportamientos internos del software/plataformas afectados, el acceso a/desde proveedores y otras partes, y la reputación y los servicios de inteligencia sobre amenazas para determinar el impacto en su organización.

Gestión de riesgos de terceros: Por dónde empezar en 2024

Al hablar con los equipos de ciberseguridad y gestión de riesgos, está claro que necesitamos establecer algunas prioridades para poner en marcha la GTPR en 2024, pero muchos responsables de la toma de decisiones no tienen claro por dónde empezar ni a qué dar prioridad.

Para ayudar a comprender las prioridades más importantes de la GTPR de 2024, echa un vistazo al seminario web que grabé con Prevalent.

Este seminario web ofrece información y una hoja de ruta para ayudarle a priorizar la ciberseguridad en su programa de gestión de riesgos de terceros en 2024. Se trata de un panorama que cambia rápidamente, pero hay algunas lecciones fundamentales que hemos aprendido en los últimos años y algunos pasos importantes que puede dar ahora mismo para ayudar a que la gestión de riesgos de terceros vaya en la dirección correcta en 2024 y más allá.

Para obtener más información sobre cómo Prevalent puede ayudarle a diseñar e implementar un programa ágil y completo de gestión de riesgos de terceros en 2024, solicite una demostración hoy mismo.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.