Respuesta ante infracciones de terceros: seis medidas inmediatas que se deben tomar

Utilice estos 6 consejos para mejorar sus procedimientos de respuesta ante violaciones de seguridad por parte de terceros.

Personal de Mitratech
Personal de Mitratech 17 de septiembre de 2024 7 min leer

En una época en la que las violaciones de datos no son una cuestión de si se producirán
, sino de cuándo, comprender cómo responder de manera eficaz a un incidente de seguridad de terceros es más importante que nunca. ¿Cómo respondería su empresa si uno de sus proveedores críticos sufriera una violación? Las primeras 24 horas tras descubrir un incidente de terceros son fundamentales para marcar la pauta de sus esfuerzos de respuesta.

Esta publicación analiza los retos que plantea la respuesta ante infracciones cometidas por terceros y ofrece seis pasos que se deben seguir inmediatamente después de un ciberataque exitoso.

Retos en la respuesta ante infracciones de terceros

Prepararse para situaciones hipotéticas y los peores incidentes posibles puede ser una tarea compleja para cualquier empresa que trabaje con numerosos terceros. Gestionar cientos o miles de relaciones con proveedores añade dificultades, lo que hace complicado mantener un proceso riguroso de respuesta ante incidentes. Los principales retos son:

  • Falta de visibilidad del ecosistema de proveedores: los diferentes departamentos que gestionan a los proveedores con herramientas dispares suelen dar lugar a la falta de una base de datos centralizada de proveedores. Esto dificulta la evaluación y la gestión eficaz de los riesgos relacionados con los proveedores.
  • Procesos manuales que requieren mucho tiempo: Depender de métodos manuales, como hojas de cálculo y encuestas, para realizar un seguimiento de los controles de seguridad en los ecosistemas de terceros es ineficaz, propenso a errores y difícil de ampliar.
  • Cuestionarios de evaluación de riesgos inadecuados: muchos cuestionarios no recogen los riesgos específicos de los proveedores y pasan por alto la evaluación de la capacidad de estos para responder rápidamente a los incidentes. Esto limita la capacidad de la organización para evaluar con precisión su postura en materia de ciberseguridad.
  • Dificultad para realizar un seguimiento, evaluar y gestionar los riesgos: sin un proceso estructurado para reevaluar los riesgos, las organizaciones suelen tener dificultades para comprender las implicaciones de los riesgos identificados y determinar cómo priorizarlos y abordarlos.
  • Falta de directrices normativas para la corrección: sin un asesoramiento claro y viable, las vulnerabilidades identificadas pueden quedar sin resolver, lo que deja a la organización expuesta a posibles amenazas.
  • Informes inadecuados sobre los avances y las medidas de mitigación: La falta de información sobre las iniciativas de mitigación de riesgos dificulta la rendición de cuentas y la transparencia, lo que complica la comunicación de los avances a los altos directivos o a los miembros del consejo de administración, especialmente en casos de gran repercusión mediática.

Estos retos aumentan el tiempo y el coste de detectar y mitigar las infracciones. De media, las infracciones de terceros cuestan un 11,8 % más y tardan un 12,8 % más en resolverse, con un ciclo de vida de la infracción que se prolonga hasta los 307 días. Una detección y una respuesta más rápidas son fundamentales para reducir los daños, ya que los retrasos más prolongados dan a los atacantes más tiempo para explotar los sistemas. Por lo tanto, los programas de gestión de riesgos de terceros, al igual que los programas de seguridad interna, deben optimizarse para responder rápidamente a las amenazas emergentes.

Seis pasos a seguir en las primeras 24 horas tras una violación de seguridad

Los siguientes pasos son una lista rápida de medidas que debe tomar si su organización se ve afectada por una violación de seguridad por parte de terceros. El tipo o la magnitud de la violación influirán en las medidas específicas que debe tomar en cada paso.

Nota: Estos pasos no deben considerarse una guía exhaustiva para la gestión de incidentes. Asegúrese de colaborar con el equipo de su centro de operaciones de seguridad (SOC), los auditores y otras partes internas.

1. Comunicar

Tan pronto como se detecte un incidente, establezca inmediatamente comunicación con la tercera parte implicada. Es fundamental contar con un plan de comunicación preestablecido como parte de su programa general de respuesta a incidentes. Comience por comprender el alcance y el impacto del ataque, especialmente si se trata de datos personales o confidenciales regulados por normas reglamentarias. Analice cualquier acuerdo de nivel de servicio (SLA) u obligación contractual, y concéntrese en mantener un diálogo tranquilo y constructivo.

Consideración clave: Incorpora un árbol de decisiones de comunicación en tu plan de respuesta ante incidentes, en el que se describa qué información debe comunicarse en función de tus conocimientos actuales y el momento en que se produzcan los descubrimientos, incluyendo plazos específicos para los resultados.

2. Recopilar información

Una vez establecido el contacto y comprendido el alcance de la violación, recopile información detallada sobre el incidente. Trate esta etapa como una mini evaluación posterior a la violación. Haga preguntas para aclarar qué sucedió, a qué datos se accedió, las posibles exposiciones y sus planes de recuperación. Es esencial comprender su cronograma de recuperación, especialmente si la violación causó una interrupción del servicio.

Cuando se produce una infracción por parte de terceros, formular las preguntas adecuadas le ayudará a comprender y mitigar el impacto en su organización de manera eficiente.

Preguntas recomendadas (que se adaptarán en función de las características específicas del incidente):

  • ¿Ha afectado la violación al proveedor, o ha utilizado el proveedor un producto o servicio afectado por la violación? (Sí/No)
  • ¿Cuál es la naturaleza del impacto en el proveedor? (Impacto alto/medio/bajo en los sistemas, las aplicaciones y/o los datos)
  • ¿Afecta el incidente a los servicios críticos que presta su organización? (Sí/No)
  • ¿Ha tomado el proveedor las siguientes medidas correctivas? (Enumere las medidas recomendadas, como aplicar parches o actualizar los sistemas afectados).
  • ¿Ha modificado el proveedor los controles existentes o ha implementado nuevos controles para resolver y mitigar el impacto de la infracción? (Identificados y ya implementados; identificados y en proceso de implementación; no identificados y/o no implementables).
  • Si no se pueden implementar controles, ¿qué controles compensatorios o métodos alternativos se están implementando?
  • ¿Quién es la persona de contacto para consultas adicionales?

3. Aislar

Las estrategias de contención variarán en función del tipo de infracción y del nivel de acceso del proveedor. Por ejemplo, si el proveedor tiene acceso a sus datos pero no a su infraestructura, es posible que pueda dejar de utilizar el servicio o la plataforma hasta que se sepa más. Sin embargo, si el proveedor tiene algún nivel de acceso a su entorno informático, ponga en cuarentena y aísle el acceso inmediatamente.

Siempre que sea posible, aísle los sistemas y puntos de acceso afectados para evitar nuevos accesos no autorizados. Implemente restricciones de host local, controles de acceso a la red, restricciones de privilegios y eliminaciones o bloqueos de cuentas según sea necesario. Un manual de aislamiento preestablecido para proveedores, prestadores de servicios y software agilizará este proceso. Sin un plan integral de respuesta a incidentes, su equipo puede tener dificultades para responder con rapidez, lo que aumenta el riesgo de daños adicionales.

4. Remediar

Las medidas correctivas deben ser rápidas y eficaces. El enfoque variará en función del lugar donde se haya producido la violación. Si los sistemas internos se ven comprometidos, debe corregir o mitigar las vulnerabilidades para controlar el «radio de acción» lo antes posible. Si la violación se limita a terceros, céntrese en comprender los datos afectados, iniciar las notificaciones de violación y garantizar el cumplimiento de las normativas pertinentes.

5. Supervisar el comportamiento

La supervisión es esencial para detectar y comprender el impacto de la infracción y evitar nuevos accesos no autorizados. Esté atento a los comportamientos internos de las plataformas o el software afectados. Las actividades inusuales, como las conexiones de red inesperadas, deben hacer saltar las alarmas. Supervise las actividades de acceso remoto entre su organización y el tercero para ayudar a detectar anomalías. Intente mantenerse informado sobre las posibles amenazas o vulnerabilidades que afectan a organizaciones o tecnologías similares.

6. Compruebe la información sobre amenazas

Aproveche la inteligencia sobre amenazas para comprender mejor y mitigar el impacto de la violación. Las organizaciones que utilizan inteligencia sobre amenazas pueden detectar violaciones aproximadamente 28 días más rápido que aquellas que no lo hacen. Identifique los indicadores internos de compromiso (IOC) y las tácticas, técnicas y procedimientos (TTP). Evalúe el tipo de datos que podrían estar expuestos para saber cómo formular una respuesta específica y notificar adecuadamente a las partes afectadas. Además, supervise el impacto en la reputación y realice un seguimiento de la información pública sobre los terceros implicados para obtener información sobre las implicaciones más amplias de la violación.

Un incidente causado por terceros puede afectar gravemente a su organización. Para mitigar estos impactos, es esencial actuar de forma inmediata, informada y decisiva. Estos seis pasos ayudan a mitigar los daños y sientan las bases para un proceso de recuperación completo.

Próximos pasos para prepararse ante violaciones de seguridad por parte de terceros

Es evidente que las infracciones e incidentes de terceros pueden tener importantes repercusiones en las operaciones de su organización. Prepárese teniendo en cuenta el riesgo de terceros en su manual de respuesta a incidentes. Sepa a quién contactará, qué acuerdos de nivel de servicio (SLA) están involucrados, qué preguntas hará y cómo procederá, dadas las respuestas. Dado que los programas de respuesta a incidentes son reactivos por naturaleza, la implementación de medidas proactivas como parte de su programa general de gestión de riesgos de terceros puede ayudar a evitar amenazas antes de que afecten a su organización.

Para obtener más información, vea mi seminario web bajo demanda sobre incidentes de ciberseguridad de terceros y póngase en contacto con Prevalent para solicitar una demostración de sus capacidades de respuesta a incidentes de terceros hoy mismo.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.