En el panorama actual de amenazas en rápida evolución, los enfoques basados en datos se han convertido en un requisito fundamental para las estrategias eficaces de gestión de riesgos de terceros. Al fin y al cabo, el mero volumen, la velocidad y la variedad de los datos generados como resultado de la realización de evaluaciones de riesgos de terceros, la recopilación de pruebas en forma de documentación y la supervisión de acontecimientos del mundo real pueden suponer un enorme reto de gestión. Un enfoque basado en datos permite la escalabilidad y da soporte al complejo entorno de amenazas actual.
Desde la perspectiva de la gestión de riesgos de terceros (TPRM), las metodologías basadas en datos permiten a las organizaciones no solo ir más allá de las evaluaciones puntuales para detectar y mitigar las amenazas en tiempo real, sino también dotar a los profesionales de TPRM de los conocimientos necesarios para anticiparse y responder de forma proactiva a los riesgos emergentes.
Para ilustrar el valor de un enfoque basado en datos para la gestión de riesgos de terceros, este artículo examina una empresa ficticia, FakeCo, que está preocupada por la posibilidad de un ataque de ransomware por parte de terceros. Comenzamos identificando las herramientas de gestión de riesgos que utiliza FakeCo y, a continuación, describimos cómo FakeCo puede utilizar la información combinada de las herramientas para mejorar su capacidad de predicción en torno al ransomware.
Herramientas y datos de gestión de riesgos de terceros
FakeCo ha implementado varias capacidades para evaluar la higiene de los controles de terceros en torno al ransomware.
Control continuo
La empresa ha habilitado la supervisión y puntuación cibernéticas para supervisar continuamente los activos digitales conectados a Internet y la web oscura en busca de actividades relevantes relacionadas con terceros.
- El análisis de vulnerabilidades externas identifica exposiciones críticas, pero también proporciona información sobre el nivel de seguridad que la empresa puede estar aplicando a su infraestructura interna.
- El escaneo de la web oscura busca cosas como contraseñas de empleados disponibles para la venta en sitios web oscuros y conversaciones de hackers sobre terceros. Muchos de estos datos son señales o indicadores de un compromiso.
- El análisis del tráfico se utiliza para determinar si una IP está alojando actividades de comando y control o si los activos se están comunicando con servidores de comando y control conocidos.
Evaluaciones de controles internos
Un análisis externo puede mostrar si los activos conectados a Internet están correctamente configurados y actualizados, pero a menudo pasa por alto el vector de ataque más común para el ransomware: la formación interna insuficiente y la falta de aplicación de las políticas de seguridad. Para obtener una visión más completa, FakeCo recopila más información sobre las personas y los procesos, planteando preguntas a terceros como:
- ¿Tienes antimalware en tus sistemas de correo electrónico?
- ¿Está formando a los usuarios sobre el ransomware para que no hagan clic en el botón de instalación? Si es así, ¿con qué frecuencia? ¿Puede dar un ejemplo?
- ¿Se ha formado a los empleados sobre el phishing y los vectores de ataque de suplantación de identidad asociados?
- ¿Tienen tus usuarios derechos administrativos en las estaciones de trabajo que facilitan la entrega de la carga útil del ransomware?
- ¿Dispone de segmentación de red o implementa herramientas de gestión de acceso privilegiado para eliminar o restringir el movimiento lateral una vez que un atacante ha conseguido introducirse en la organización?
FakeCo entiende que, para obtener una visión completa de la exposición al ransomware, la empresa también debe realizar evaluaciones de seguridad anuales en las que se puedan probar los controles específicos utilizados para minimizar o mitigar los ataques de ransomware.
Gestión de riesgos de terceros basada en datos en la práctica
Con todas las evaluaciones (y las pruebas que las respaldan) y los eventos de supervisión continua normalizados en un único perfil de riesgo de terceros, FakeCo ahora puede analizar los datos conjuntamente. Sin embargo, es fundamental automatizar el análisis. Para ello, FakeCo debe implementar una regla para supervisar constantemente los riesgos activos generados y contextualizados a partir de las evaluaciones y/o la actividad de supervisión.
Por ejemplo, la tabla siguiente resume un conjunto de reglas agregadas para un problema relacionado con el ransomware. Esta regla permite a una organización supervisar constantemente los riesgos activos que se generan automáticamente y se contextualizan como resultado de evaluaciones y/o actividades de supervisión.
| Controles de evaluación | Telemetría de monitorización correspondiente |
|---|---|
| * Formación y concienciación insuficientes de los empleados en materia de ciberseguridad * Falta de autenticación multifactorial (MFA) para acceder a sistemas y datos sensibles * Prácticas inadecuadas de gestión de parches, lo que deja los sistemas vulnerables a exploits conocidos * Software de seguridad y cortafuegos mal configurados u obsoletos * Ausencia de procedimientos sólidos de copia de seguridad y recuperación de datos * No actualizar y mantener regularmente las soluciones antivirus y antimalware * Dependencia de sistemas heredados o versiones de software sin soporte * Controles de acceso ineficaces, que permiten a usuarios no autorizados acceder a sistemas críticos * Políticas de contraseñas débiles y reutilización de contraseñas en varias cuentas * Falta de segmentación de la red para aislar los activos críticos de posibles amenazas * Planificación inadecuada de la respuesta a incidentes y medidas de preparación * No se realizan evaluaciones y auditorías de seguridad periódicas para identificar vulnerabilidades * Supervisión y registro insuficientes de la actividad del sistema y la red para detectar posibles ataques de ransomware |
* Violaciones cibernéticas validadas * Aumento de la exposición de registros de dominio público * Conversaciones en la web oscura/entre hackers * Credenciales expuestas * Typosquatting |
La regla se utiliza para identificar riesgos relacionados y/o orientados a la concentración que deben examinarse para minimizar, predecir o mitigar el éxito de las actividades de ransomware. Este nivel de análisis agregado puede ayudar a resumir grandes cantidades de datos en conjuntos más pequeños y manejables. En lugar de examinar cada riesgo y evento por separado, una organización puede analizar el conjunto holístico de riesgos y actividades relacionados con el ransomware y establecer umbrales de tolerancia al riesgo.
Al aprovechar el poder del análisis de datos, el aprendizaje automático y la inteligencia artificial, la regla de FakeCo puede identificar patrones, anomalías y posibles vulnerabilidades de manera más eficiente que los sistemas tradicionales basados en reglas. En este escenario, el motor de reglas descubre, contextualiza y supervisa estos riesgos de forma continua. A continuación, inicia actividades de respuesta inmediata si se alcanza el umbral de riesgo para la preparación ante el ransomware. Estas actividades incluyen el envío de notificaciones adecuadas, la iniciación de flujos de trabajo de respuesta o el ajuste de las puntuaciones de riesgo asociadas. También asocia automáticamente un indicador que destaca el estado y la susceptibilidad de cada proveedor.
Las buenas soluciones de gestión de riesgos de tercerosofrecerán una biblioteca de flujos de trabajo de respuesta comunes que se pueden iniciar en función de las necesidades específicas de una organización. Vea el ejemplo a continuación.
Ventajas de un enfoque unificado basado en datos para la gestión de riesgos de terceros
Mediante la supervisión, correlación y análisis centralizados de los datos de telemetría procedentes de múltiples fuentes, las organizaciones pueden detectar amenazas de seguridad, actividades anómalas o incumplimientos normativos de forma más eficaz, mejorando así su postura de seguridad general. A continuación se indican algunas de las ventajas que cabe esperar y las capacidades que hay que buscar en un enfoque de TPRM basado en datos.
Mejora en la toma de decisiones mediante el uso de una única plataforma
Al agregar y seleccionar todas las fuentes de datos de TPRM, los responsables de la toma de decisiones pueden acceder a datos en tiempo real o casi real de todas sus operaciones. Esto les permite tomar decisiones oportunas y fundamentadas basadas en una comprensión holística de la situación. Busque soluciones que ofrezcan unaúnica consolapara ver todos los puntos de datos, eventos y actividades relacionados con áreas de riesgo específicas pertinentes para el usuario empresarial del sistema. Estos eventos pueden correlacionarse y se inician las reglas y los flujos de trabajo correspondientes, lo que permite amplificar las señales cuando se producen eventos de forma simultánea.
Análisis predictivo con IA
Una arquitectura basada en datos proporciona la base para la habilitación de la IA en la gestión de riesgos de terceros, al garantizar la disponibilidad de datos de alta calidad, diversos y voluminosos necesarios para entrenar modelos de IA eficaces. Al aprovechar conjuntos de datos completos, los algoritmos de IA pueden evaluar los riesgos con mayor precisión, identificar patrones y tomar decisiones informadas, lo que conduce a estrategias de mitigación de riesgos más eficaces y a procesos de toma de decisiones mejorados.
Busque soluciones que ofrezcan telemetría agregada en evaluaciones, millones de eventos y miles de documentos. Estos datos se pueden utilizar para entrenar modelos predictivos en sistemas de IA. Al analizar datos históricos de múltiples fuentes, los algoritmos de IA pueden identificar patrones y hacer predicciones sobre eventos o tendencias futuros. Esta capacidad es muy valiosa para la toma de decisiones proactiva y la gestión de riesgos, y puede ayudar a transformar los programas de TPRM en TPRM impulsados por IA.
Eficacia de la gestión de la seguridad y los riesgos
Los datos de telemetría TPRM agregados desempeñan un papel crucial en la ciberseguridad y la gestión de riesgos. Al supervisar y analizar datos de múltiples fuentes, las organizaciones pueden detectar amenazas de seguridad, actividades anómalas o incumplimientos de normativas de forma más eficaz, mejorando así su postura de seguridad general. Por ejemplo, el sistema puede buscar lagunas en los dominios de control a partir de los datos de evaluación y predecir eventos e impactos posteriores.
Escalabilidad y flexibilidad
El análisis de telemetría agregada proporciona escalabilidad y flexibilidad en el manejo de grandes volúmenes de datos procedentes de diversas fuentes de TPRM. Al adoptar un enfoque unificado para la agregación y el análisis de datos, las organizaciones pueden ampliar su infraestructura analítica para adaptarse al creciente volumen de datos y a los diversos tipos de datos. Esta escalabilidad garantiza que las organizaciones puedan obtener información valiosa de una amplia gama de fuentes de telemetría, adaptarse a los requisitos empresariales cambiantes y apoyar la innovación en iniciativas de inteligencia artificial y análisis.
Adopte un enfoque unificado para la gestión de riesgos de terceros
El uso de un enfoque basado en datos facilita la supervisión continua y las defensas adaptativas, lo que permite a su organización adelantarse a adversarios sofisticados que innovan constantemente sus tácticas. En esencia, aprovechar la información basada en datos es fundamental para reforzar la resiliencia, mejorar la inteligencia sobre amenazas y proteger los activos digitales en el dinámico panorama actual de la ciberseguridad. Desde la perspectiva del ransomware, esto incluye abordar los riesgos y vulnerabilidades en múltiples niveles que requieren tanto evaluaciones como actividades de supervisión.
Para obtener más información sobre cómo Prevalent aprovecha el poder de la inteligencia artificial y el análisis para el análisis telemétrico agregado de riesgos de terceros,solicite una demostraciónhoy mismo.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
