GE anuncia una filtración de datos por parte de un proveedor de servicios externo

General Electric (GE) ha revelado una filtración de datos originada en uno de sus proveedores de servicios externos, Canon Business Process Services.

Imagen decorativa

Con los ciclos de noticias actualmente dedicados a la cobertura del COVID-19, tal vez se haya perdido que GE, la multinacional con sede en EE. UU., reveló recientemente que había sufrido una filtración de datos que se originó en uno de sus proveedores de servicios externos, Canon Business Process Services. Con ello, GE se une a una serie de marcas globales y nombres conocidos como Marriott, Quest Diagnostics, LabCorp, Sprint y Target, que han sufrido filtraciones de este tipo. De hecho, esta filtración es un caso paradigmático para garantizar un mayor control sobre los terceros.

A continuación, ofrecemos un breve resumen de lo que sabemos sobre la violación de seguridad y cómo pueden ayudar las soluciones de gestión de riesgos de terceros, como las de Prevalent.

Resumen de la violación de GE

Según GE, entre el 3 y el 14 de febrero de 2020, una parte no autorizada obtuvo acceso a una cuenta de correo electrónico de Canon que contenía información confidencial sobre empleados actuales y antiguos de GE y sus beneficiarios. GE se asoció con Canon para el procesamiento de documentos. Los documentos gestionados por el propietario de la cuenta de correo electrónico pirateada incluían información personal, como formularios de depósito directo, permisos de conducir, pasaportes, certificados de nacimiento y otros, y es probable que también incluyeran nombres, direcciones, números de la Seguridad Social, números de permiso de conducir, números de cuentas bancarias, números de pasaporte y/o fechas de nacimiento.

Aunque no conocemos con certeza el vector del ataque (por ejemplo, podría haberse producido mediante un ataque de spear phishing o de ingeniería social), sí sabemos que evaluar y supervisar continuamente los controles de terceros ayuda a reducir la probabilidad y el impacto de infracciones como esta.

Cómo puede ayudar la gestión de riesgos de terceros

En estos tiempos de incertidumbre, los piratas informáticos intentarán aprovecharse de los equipos distraídos y los recursos agotados. En un momento en el que la seguridad de la cadena de suministro es más importante que nunca, ya no podemos permitirnos tratarla como una simple casilla de cumplimiento normativo.

Un programa maduro de gestión de riesgos de terceros es ágil y está preparado para incidentes de violación de datos mediante:

  • Evaluación de proveedores según una serie de marcos de mejores prácticas de seguridad, con una puntuación clara de las debilidades que deben subsanarse.
  • Supervisar los foros de chat de hackers de la web oscura en busca de menciones a la empresa o credenciales robadas.
  • Utilizar notificaciones de infracciones en tiempo real e información procedente de múltiples fuentes para informar evaluaciones fuera de banda sobre prácticas críticas de ciberseguridad (por ejemplo, autenticación de dos factores, políticas de rotación de contraseñas y programas de formación y concienciación de los empleados).
  • Aprovechar las evaluaciones previas para obtener información sobre si los proveedores han tenido vulnerabilidades como esta en el pasado y cuáles fueron sus planes de corrección.
  • Emplear procesos programáticos para la detección de infracciones, la notificación y la escalada al tercero en cuestión.

GE ha afirmado que está tomando las medidas adecuadas para garantizar la seguridad, que el incidente no ha afectado directamente a los sistemas de GE y que está colaborando con Canon para determinar cómo se produjo el incidente. Sin embargo, esto supone un escaso consuelo para los miles de empleados de GE que podrían verse afectados por esta violación de la seguridad. Dos años de supervisión crediticia gratuita a través de Experian no son más que un parche.

¿Le preocupan sus propias prácticas de riesgo de terceros? Realice la evaluación de riesgos en línea de Prevalent y obtenga una puntuación rápida y recomendaciones sobre lo que debe abordar de inmediato.


Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.