Ponemon Institute ha publicado su tercer estudio anual sobre el riesgo de IoT de terceros en colaboración con Shared Assessments. El estudio está lleno de ideas sobre dónde se encuentran las organizaciones en términos de su madurez de gestión de riesgos de terceros, y específicamente cómo sus programas están teniendo en cuenta el crecimiento - y el riesgo acorde - en dispositivos IoT. Le recomiendo que descargue y lea el informe completo para obtener más información.
Hay algunas cosas que me llamaron la atención en el informe y quería enumerarlas aquí. A saber, que a pesar de ser conscientes de los riesgos de IoT, la mayoría de las organizaciones no están haciendo lo suficiente. Repasaré algunos pasos que se pueden dar para superar lo que no se sabe.
Resumen de las conclusiones pertinentes*.
No voy a detallar todas las conclusiones del informe; es mejor que lo revises por tu cuenta. En su lugar, quería destacar algunos de los datos y conclusiones relativos a los riesgos del IoT, y cómo puede empezar a abordarlos hoy mismo.
- Hay ejemplos demostrados de filtraciones de datos causadas por dispositivos IoT no seguros de terceros. De hecho, según el estudio, el 18% de las organizaciones sufrieron una filtración de este tipo.
- Además, el 82% de las organizaciones que respondieron al estudio indican que existe la probabilidad de que se produzca una filtración de datos causada por dispositivos IoT no seguros de terceros en los próximos 24 meses.
- Pero aunque el informe afirma que el 68% de los encuestados afirman que los riesgos de terceros están aumentando debido al auge del IoT, las prácticas de gestión de riesgos de muchas empresas no están maduras, o no lo suficiente para gestionar este crecimiento.
- De hecho, menos de un tercio de las organizaciones supervisan el uso que sus terceros hacen del IoT.
- ¿Por qué? Entre otras razones, la incapacidad para determinar si las salvaguardias de terceros y las políticas de seguridad de IoT son suficientes para evitar una violación de datos (55% de los encuestados) y la dificultad para gestionar las complejidades de las plataformas de IoT debido al número de terceros.
El estudio continúa diciendo que las revisiones de los programas y políticas de riesgo de terceros son principalmente reactivas o ad hoc, con un 39 por ciento de los encuestados diciendo que las revisiones se llevan a cabo cada dos años o no de forma regular o sólo si un tercero tiene un incidente de seguridad (18 por ciento de los encuestados).
En resumen: Hace falta que se produzca una infracción para que se revisen las políticas y programas de riesgo de terceros.
Como dejar la puerta abierta para que entre cualquiera.
Un enfoque reactivo e incoherente para supervisar y abordar los riesgos de terceros ha demostrado una y otra vez no ser lo suficientemente ágil para las organizaciones de hoy en día. En el caso de los dispositivos IoT, no supervisar cómo los utilizan los proveedores externos es como dar las llaves de la red a cualquiera que las pida.
Para cerrar y proteger el acceso a la puerta principal de su organización, considere la adopción de las cuatro (4) medidas siguientes:
1. Realice una evaluación exhaustiva basada en controles de sus terceros en relación con el uso que hacen de los dispositivos IoT. Varios marcos de control (por ejemplo, ISO, NIST, etc.) mantienen preguntas sobre controles y subcontroles que pueden aprovecharse junto con el SIG para ayudarle a evaluar qué personas, procesos y tecnología están en funcionamiento. Entre las preguntas específicas que se pueden plantear se incluyen las siguientes
- Educación y formación de los empleados en IoT
- Mantener la segmentación de la red
- Gestión de credenciales de dispositivos integrados
- Control de los privilegios administrativos
- Cifrado
- Detección de dispositivos
- Gestión de vulnerabilidades y parches
2. Mientras esperas los resultados de las evaluaciones, supervisa las redes externas de tus socios externos. Este escaneo ayudará a revelar riesgos potenciales de configuración (por ejemplo, SSL, DNS, seguridad de aplicaciones) y riesgos basados en eventos de amenazas (por ejemplo, violaciones de datos, amenazas de IP, eventos de phishing, etc.) entre sus evaluaciones profundas basadas en controles. Los resultados de este análisis, además de lo que resulte de las evaluaciones realizadas en el punto 1 anterior, informarán sobre su postura de riesgo general y le ayudarán a ser más proactivo a la hora de reducir los riesgos de IoT.
3. Informar a la junta directiva y a los altos cargos sobre los riesgos que plantean terceros para la empresa mediante informes y cuadros de mando. Como ya comentamos en el blog de la semana pasada sobre la madurez de la GPRT, todo depende del contexto.
4. Desarrollar clasificaciones y reglas de riesgo específicas basadas en IoT. Establecer nuevos programas TPRM o madurar los existentes basándose en las mejores prácticas del sector es un trabajo duro. Al establecer las bases de los componentes esenciales de un programa integral de TPRM, se garantiza una definición clara de los objetivos y de los hitos alcanzables, así como de los procesos documentados, por lo que se responde menos.
Próximos pasos
Tomando algunas medidas rápidas, como las señaladas anteriormente, puede obtener una mayor visibilidad y control sobre cómo los dispositivos IoT de sus socios y la estrategia afectan a su propia organización. Para obtener más información sobre las mejores prácticas de gestión de riesgos de terceros, póngase en contacto con nosotros hoy mismo para una sesión estratégica.
*Todas las cifras están tomadas directamente del informe de Ponemon/Santa Fe Group, sin modificaciones.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
