El anuncio del pasado fin de semana sobre la violación de la cadena de suministro de SolarWinds sin duda ha suscitado dudas sobre si su empresa se verá afectada. Para ayudar a la comunidad a comprender su exposición, Prevalent ha elaborado una lista de siete preguntas esenciales que se deben plantear a terceros con el fin de evaluar su respuesta a este incidente. A continuación, se incluyen las preguntas y algunas posibles opciones de respuesta para medir los niveles de riesgo y comprender las posibles interrupciones de terceros.
Cuestionario sobre el impacto de la violación de seguridad de SolarWinds por parte de terceros
| 1. ¿Se ha visto afectada la organización por el reciente ciberataque con el malware «Sunburst» de SolarWinds? | a. Sí
b. No |
| 2. ¿Cuál es la naturaleza del impacto que este ciberataque tiene en la organización? | a. Impacto significativo en nuestra red, operaciones de TI o productos de seguridad: el ciberataque ha provocado que los sistemas o la infraestructura dejen de funcionar o no estén disponibles. Se ha producido una pérdida de confidencialidad o integridad de los datos.
b. Alto nivel de impacto en nuestra red, operaciones de TI o productos de seguridad: la disponibilidad del servicio se ha perdido periódicamente y existe la posibilidad de que algunos sistemas se detengan periódicamente. Se ha producido cierta pérdida de confidencialidad o integridad de los datos. c. Bajo nivel de impacto en nuestra red, operaciones de TI o productos de seguridad: sin pérdida de confidencialidad o integridad de los datos; interrupción mínima o nula de la disponibilidad del servicio. d. El ciberataque ha tenido un impacto mínimo o nulo en nuestra red, operaciones de TI o productos de seguridad. |
| 3. ¿Afecta a los servicios críticos prestados a los clientes? | a. Sí
b. No |
| 4. ¿Cuenta la organización con un plan de investigación y respuesta ante incidentes? | a. La organización cuenta con una política documentada de gestión de incidentes.
b. La política de gestión de incidentes incluye normas para informar sobre eventos y vulnerabilidades relacionados con la seguridad de la información. c. Se desarrolla un plan de respuesta ante incidentes como parte de la investigación y recuperación de incidentes. d. La planificación de la respuesta ante incidentes incluye procedimientos de escalamiento a partes internas y procedimientos de comunicación con los clientes. |
| 5. ¿Quién es la persona de contacto que puede responder a preguntas adicionales? | Fila 3, columna 2 |
| 6. ¿Ha modificado la organización los controles existentes o ha implementado nuevos controles para resolver y mitigar el impacto que el ciberataque ha tenido en el negocio? | a. Se han identificado y aplicado controles para mitigar el impacto del ciberataque.
b. Se han identificado controles y se están implementando actualmente para mitigar el impacto del ciberataque. c. La organización ha identificado qué controles deben actualizarse o implementarse, pero aún no se ha llevado a cabo. d. Los controles no se han implementado o no se pueden implementar. |
| 7. Si no se pueden implementar los controles, ¿puede la organización implementar controles o métodos compensatorios para evitar futuros ciberataques? | a. Se han implementado controles compensatorios o métodos alternativos que han mitigado el impacto causado por el ciberataque.
b. La organización no ha identificado ni es capaz de implementar controles compensatorios para mitigar el impacto causado por el ciberataque. |
Clientes de Prevalent: Estamos actualizando su plataforma para incluir el cuestionario anterior. Además, Prevalent no utiliza SolarWinds y, por lo tanto, no corre el riesgo de sufrir el ciberataque Orion.
Esperamos que estas preguntas le faciliten un poco el trabajo ante esta posible interrupción. Una vez que se calme la situación, recuerde que Prevalent ofrece una plataforma de gestión de riesgos de terceros que incluye más de 60 plantillas de cuestionarios diseñadas para ayudarle a automatizar las tediosas tareas de evaluación de proveedores. Mientras tanto, todo el equipo de Prevalent le desea buena salud a usted, a su equipo y a sus familias en este nuevo año.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
