La respuesta a incidentes de terceros es el proceso utilizado para identificar, investigar y reaccionar ante violaciones de datos, desastres naturales u otros eventos adversos externos que afectan a una organización a través de sus proveedores u otros socios comerciales. El objetivo de la respuesta a incidentes de terceros es mantener las operaciones, o al menos recuperarlas rápidamente, cuando se producen interrupciones en el negocio en el ecosistema de proveedores o la cadena de suministro; en otras palabras, mantener la resiliencia operativa.
Respuesta ante incidentes frente a gestión de incidentes
Los términos «respuesta a incidentes» y «gestión de incidentes» suelen confundirse o utilizarse indistintamente. Muchas autoridades, como el Centro Nacional de Ciberseguridad del Reino Unido, definen la respuesta a incidentes como un subconjunto de la gestión de incidentes. Desde este punto de vista, la respuesta a incidentes se centra más en los aspectos técnicos de un evento, incluyendo la clasificación, el análisis, la mitigación, la reparación y la recuperación. La gestión de incidentes es un programa más holístico que engloba la respuesta a incidentes con preparativos, comunicaciones y procesos de notificación más amplios.
La gestión de incidentes como base de la respuesta ante incidentes
El proceso de gestión de incidentes (IM) se puede dividir en los siguientes pasos, según la Guía para la gestión de incidentes de seguridad informática del Instituto Nacional de Estándares y Tecnología (NIST), SP 800-61:
- Preparación del proceso de gestión de incidentes
- Procedimientos de detección, comunicación y notificación de incidentes
- Clasificación y análisis de incidentes
- Contención y recuperación de incidentes
- Seguimiento posterior al incidente, incluyendo lecciones aprendidas
Cuando se trata de infracciones de proveedores, exposiciones de datos protegidos, interrupciones en la cadena de suministro u otros eventos, la mayoría de las organizaciones se centran en actividades reactivas como la priorización de incidentes, el análisis de las causas fundamentales, la contención y la recuperación (es decir, la respuesta a incidentes). Sin embargo, he descubierto que las áreas de IM que se centran en la preparación, la comunicación y las lecciones aprendidas son aquellas en las que las organizaciones pueden mejorar más su preparación ante incidentes.
Por qué es importante la gestión de incidentes en la gestión de riesgos de terceros
La gestión eficaz de incidentes y la gestión de riesgos de terceros (TPRM) van de la mano. Identificar a sus terceros, cuartos y enésimos socios permite una gestión eficaz de incidentes, dado que hasta la mitad de todos los incidentes tienen su origen en los proveedores.
Los contratos con terceros y subcontratistas deben incluir requisitos de notificación de IM/incidencias dentro de un plazo fijo (normalmente 24 horas, pero tan pronto como sea posible) tras la identificación de una incidencia grave. La validación de los procesos y contactos de IM de terceros, junto con pruebas periódicas, incluyendo cadenas de llamadas telefónicas, garantiza la preparación operativa para responder y resolver incidencias.
Recursos para una gestión eficaz de incidentes
Los incidentes de terceros pueden afectar tu capacidad para ofrecer productos y servicios a tus clientes. Aunque tener un plan de respuesta ante incidentes es clave para mitigar las interrupciones en el momento, mejorar los sistemas y procesos generales de gestión de incidentes de tu organización te ayudará a estar mejor preparado para cuando ocurran incidentes.
Aquí hay algunos recursos adicionales que puede utilizar para comparar y mejorar su programa de gestión de incidentes:
- NIST 800-61R2: Guía para la gestión de incidentes de seguridad informática
- ISO/IEC 27035-1: Gestión de incidentes de seguridad de la información, parte 1: Principios de gestión de incidentes
- ISO/IEC 27035-2: Gestión de incidentes de seguridad de la información . Parte 2: Directrices para planificar y prepararse para la gestión de incidentes.
- OCC 2021-55: Norma definitiva sobre notificación de incidentes bancarios , publicada el 23 de noviembre de 2021.
- OCC2022-8: Puntos de contacto de tecnología de la información para notificaciones de incidentes de seguridad informática del banco, publicado el 29 de marzo de 2022.
Tres procesos de gestión de incidentes para mejorar
1. Preparación del proceso
Para implementar un proceso eficaz de gestión de incidentes, primero hay que identificar y asignar responsabilidades a las partes interesadas adecuadas, tanto dentro de la organización como en toda la cadena de suministro ampliada.
La realización de simulacros, en los que se simulan incidentes para familiarizar a todas las partes interesadas con el proceso de gestión de incidentes y sus funciones y responsabilidades, garantiza que se disponga de los recursos y capacidades necesarios cuando sea necesario. Esto, junto con la comprobación periódica de sus procedimientos y la validación de sus listas de contactos, le da confianza en su capacidad de respuesta cuando sea necesario, no si es necesario.
2. Procedimientos de detección, comunicación y notificación
La inteligencia cibernética ayuda a su organización a prevenir incidentes mediante la supervisión continua de eventos reales y señales de posibles eventos futuros. Los procesos de detección garantizan que se detecten y se actúe ante posibles incidentes de manera oportuna, lo que limita las posibles exposiciones y daños.
Como parte de este proceso, debe informar a las partes interesadas clave, incluyendo, en función de la gravedad del incidente, a la alta dirección y al consejo de administración, así como a los organismos reguladores. Hacerlo es fundamental para la resiliencia operativa y para evitar repercusiones negativas en la reputación, las finanzas y la normativa. Por lo tanto, la comunicación desempeña un papel fundamental en su proceso de gestión de incidentes, tanto para remediar los efectos de un incidente como para mantener informadas a las partes interesadas internas y externas clave, lo que se traduce en una resolución más rápida de los incidentes.
3. Seguimiento posterior al incidente, incluyendo lecciones aprendidas.
Aprender de lo que salió bien y lo que salió mal es otro aspecto importante del proceso de gestión de incidentes. Al examinar qué provocó un incidente en su organización o cadena de suministro, puede asegurarse de que no se repitan los errores y reforzar la gestión de riesgos para cualquier incidente posterior que pueda ocurrir. El seguimiento es clave para verificar que las medidas correctivas y las mejoras del programa se implementen correctamente.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
