En junio de 2024, el Gobierno de los Estados Unidos prohibió la venta y las actualizaciones del software desarrollado por la empresa de ciberseguridad Kaspersky en los Estados Unidos. El anuncio se produjo tras una ley de 2017 que prohibía el uso del software de Kaspersky en los organismos gubernamentales. Estados Unidos no es el único país que ha tomado esta decisión. Los gobiernos del Reino Unido, Alemania, Italia, los Países Bajos y otros países también han prohibido o están limitando significativamente el uso del software de Kaspersky.
Aunque no hay pruebas directas de que se estén llevando a cabo actividades ilegales, la prohibición se debe a la preocupación de que el Gobierno ruso pueda tener acceso a la red de Kaspersky y a los datos de sus clientes. A estos Gobiernos les preocupa que el acceso que Kaspersky utiliza para proteger los sistemas informáticos pueda ser explotado para robar información confidencial o instalar malware. La invasión rusa de Ucrania ha aumentado la preocupación por los ciberataques rusos que aprovechan el acceso a los sistemas de Kaspersky para llevar a cabo operaciones ofensivas contra las naciones que apoyan a Ucrania.
Los proveedores y distribuidores externos de estos países ya deberían haber cortado sus vínculos con el software de Kaspersky a la luz de estas prohibiciones. Sin embargo, no hay garantía de ello, por lo que es fundamental que las organizaciones investiguen a sus proveedores y cadenas de suministro para identificar los casos de Kaspersky y evitar posibles daños cibernéticos, legales o de reputación.
A la luz de esta nueva prohibición, este artículo examina las medidas que pueden adoptar las organizaciones para detectar y supervisar los casos de Kaspersky en sus proveedores externos y cadenas de suministro, y reducir así el riesgo.
Siete pasos para mitigar el riesgo de tecnología prohibida en su proveedor externo o cadena de suministro
Tenga en cuenta estos siete pasos para descubrir, clasificar y supervisar el uso de Kaspersky en su ecosistema de proveedores. Estos pasos también se aplican a cualquier otra tecnología prohibida, pero en este caso nos centramos en Kaspersky.
1. Desarrollar un inventario centralizado de todos los terceros.
Un inventario centralizado de todos los proveedores externos añade gobernanza y procesos a la gestión de proveedores, y reduce la probabilidad de que las relaciones con proveedores no supervisadas introduzcan riesgos en sus operaciones de TI. El inventario de sus proveedores debe realizarse en una plataforma centralizada, no en hojas de cálculo, de modo que varios equipos internos puedan participar en la gestión de proveedores y el proceso pueda automatizarse en beneficio de todos.
Puede crear un inventario centralizado de proveedores importándolos a su plataforma de gestión de riesgos de terceros mediante una plantilla de hoja de cálculo o a través de una conexión API a una solución de compras o cuentas por pagar ya existente. Los equipos de toda la empresa deben poder rellenar los datos clave de los proveedores con un formulario de admisión centralizado y personalizable y un flujo de trabajo asociado para su aprobación. Esta función debe estar disponible para todos mediante una invitación por correo electrónico, sin necesidad de formación ni conocimientos especializados sobre la solución.
Un inventario centralizado de proveedores y distribuidores externos tiene la ventaja añadida de crear un perfil único de cada proveedor que incluye atributos clave, como datos firmográficos, información financiera, datos operativos y otros datos importantes sobre la empresa.
2. Elaborar un mapa de terceros para determinar el riesgo de concentración tecnológica.
Recopile las tecnologías de terceros implementadas en su ecosistema de proveedores durante el proceso de inventario para ayudar a identificar las relaciones entre su organización y terceros en función del uso de determinadas tecnologías. Esto le ayudará a visualizar las vías de ataque a su empresa y a tomar medidas proactivas de mitigación. Puede lograrlo mediante una evaluación específica o un escaneo pasivo.
En el caso de Kaspersky, disponer de un mapa de proveedores que utilizan la herramienta ahora prohibida le ayudaría a centrarse en los proveedores que debe evaluar en busca de una posible exposición al malware. Céntrese primero en los proveedores de primer nivel o críticos para el negocio, ya que una interrupción en sus operaciones podría afectar a su organización de forma más grave.
3. Realizar una evaluación de los riesgos inherentes.
Después de centralizar los proveedores y evaluar la presencia de tecnología afectada, realice evaluaciones de puntuación de riesgo inherente para ayudarle a determinar cómo evaluar a sus terceros de forma continua en función de los riesgos que plantean. Los atributos utilizados para calcular una puntuación de riesgo inherente deben incluir, como mínimo, el acceso a información o sistemas sensibles, los requisitos normativos y legales, y la ubicación geográfica.
4. Evaluar la resiliencia empresarial y los planes de continuidad de terceros.
Interactúe de forma proactiva con los proveedores en riesgo mediante evaluaciones sencillas y específicas que se ajusten a los estándares conocidos del sector. Los resultados de estas evaluaciones le ayudarán a identificar las medidas correctivas necesarias para subsanar posibles brechas de seguridad. Las buenas soluciones proporcionarán automatización del flujo de trabajo, revisión y análisis, gestión de pruebas justificativas y recomendaciones integradas para acelerar la corrección y subsanar rápidamente esas brechas.
5. Supervisar continuamente a los proveedores y distribuidores en riesgo de sufrir ciberataques.
Estar continuamente alerta ante el próximo ataque significa buscar señales de un incidente de seguridad inminente. Es esencial supervisar los foros criminales, las páginas onion, los foros de acceso especial de la web oscura, las fuentes de amenazas, los sitios de pegado de credenciales filtradas, las comunidades de seguridad, los repositorios de código y las bases de datos de vulnerabilidades y hackeos/violaciones.
Puede supervisar estas fuentes de forma individual o buscar soluciones que unifiquen toda la información en una única fuente, de modo que todos los riesgos estén centralizados y sean visibles para la empresa. Correlacione todos los datos de supervisión con los resultados de la evaluación y centralícelos en un registro de riesgos unificado para cada proveedor, lo que agilizará la revisión de riesgos, la elaboración de informes y las iniciativas de respuesta.
6. Pruebe su plan de respuesta ante incidentes de terceros.
La automatización de la respuesta ante incidentes es clave para acortar el tiempo medio de detección (MTTD) y el tiempo medio de respuesta (MTTR) ante incidentes de terceros, lo que puede reducir el impacto del incidente en sus operaciones. A medida que mejora continuamente sus planes de respuesta ante incidentes:
- Aproveche un cuestionario centralizado de gestión de eventos e incidentes para reducir los tiempos de respuesta y simplificar y estandarizar las evaluaciones.
- Realice un seguimiento del progreso de la cumplimentación del cuestionario en tiempo real para reducir el impacto potencial.
- Permitir a los proveedores informar de forma proactiva sobre incidentes para añadir contexto y acelerar los tiempos de respuesta.
- Utilice reglas de flujo de trabajo para activar guías automatizadas que actúen sobre los riesgos según su impacto potencial en el negocio.
- Proporcione al proveedor directrices para la corrección de problemas con el fin de reducir el riesgo a un nivel aceptable para su organización.
Al centralizar la respuesta a incidentes de terceros en un único proceso de gestión de incidentes empresarial, sus equipos de TI, seguridad, legal, privacidad y cumplimiento normativo pueden trabajar juntos de manera eficaz para mitigar los riesgos.
7. Hacer cumplir las disposiciones del contrato con los proveedores.
Asegúrese de incluir disposiciones ejecutables en los contratos con los proveedores que prohíban el uso de tecnología prohibida y exijan a terceros que certifiquen su no utilización. Para simplificar el proceso e integrarlo con el programa de evaluación de riesgos de terceros, aproveche las capacidades del flujo de trabajo contractual para automatizar el ciclo de vida, desde la incorporación hasta la salida, y busque capacidades de inteligencia artificial que extraigan automáticamente los detalles contractuales clave para su seguimiento y aplicación centralizados.
Próximos pasos para el TPRM en la prohibición de Kaspersky
Adoptar un enfoque manual y reactivo para la gestión de riesgos de terceros solo aumentará la probabilidad de que se produzcan interrupciones en el negocio o sanciones legales o de cumplimiento normativo. En su lugar, siga los siete pasos que se indican en esta publicación para estar mejor preparado ante futuras prohibiciones de software.
La plataforma de gestión de riesgos de terceros más extendida puede ayudar de las siguientes maneras:
- Centralizar los contratos con los proveedores, automatizar la gestión de las disposiciones clave e integrarse de forma nativa con el proceso de evaluación de riesgos.
- Automatizar la gestión de proveedores y crear un mapa de todos los terceros, cuartos y enésimos.
- Proporcionar un perfil único y completo de cada proveedor a disposición de todas las partes interesadas.
- Perfilar y clasificar a los proveedores para categorizarlos con precisión y prescribir la debida diligencia adecuada.
- Evaluación de proveedores en función de docenas de marcos industriales utilizando más de 750 plantillas de evaluación de riesgos con recomendaciones de corrección integradas.
- Supervisar continuamente los riesgos cibernéticos, empresariales, reputacionales y financieros para validar las respuestas de la evaluación.
- Gestión del proceso de respuesta ante incidentes de terceros.
Para obtener más información sobre cómo Prevalent puede ayudarle a detectar, clasificar y mitigar el riesgo del software prohibido en su ecosistema de proveedores, solicite una demostración hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
