Seguimos recabando información sobre la filtración sufrida por Larson Studios, que provocó la publicación de 10 episodios de Orange Is The New Black (OITNB), así como otros títulos de Netflix, ABC, CBS y Disney. Aunque el análisis del suceso publicado en Variety ofrece una visión de los devastadores efectos de un ataque de ransomware, no aclara cómo se podría haber evitado.
Hasta hace muy poco, solo los bancos se centraban realmente en las cuestiones relacionadas con los riesgos de terceros debido a los requisitos normativos. A ellos se sumaron posteriormente los proveedores de servicios sanitarios, ya que sus reguladores también comenzaron a exigirles prácticas sólidas en materia de terceros. Más recientemente, las compañías de seguros se han sumado a las filas de los conscientes del riesgo de terceros, junto con otras empresas cuyos consejos de administración y alta dirección reconocen los riesgos que los proveedores de servicios externos crean al acceder sin autorización a los datos de los clientes y a las redes de las empresas. Sin embargo, el incidente de Larson Studios refuerza el hecho de que evaluar la protección de datos y los controles de seguridad informática de los proveedores no es solo para las industrias cuyos reguladores exigen tales programas.
Aún no está claro cuántos títulos le han sido robados a Larson, pero los costes para los estudios sin duda ascenderán a millones de dólares. ¿Debería Larson haber contado con una mejor seguridad informática? Por supuesto. ¿Deberían los estudios que confiaron a Larson una propiedad intelectual tan valiosa haber evaluado la seguridad informática de Larson? Por supuesto.
Esto no quiere decir que los estudios sean culpables por confiar en Larson para proteger su propiedad. Sin embargo, como el sector bancario aprendió hace mucho tiempo, los proveedores, en particular los pequeños, no suelen mantener controles de seguridad informática sólidos. Por eso, los reguladores de los servicios financieros comenzaron a exigir a los bancos que realizaran evaluaciones de los proveedores que tenían acceso a datos y sistemas de alto riesgo, con el fin de garantizar que pudieran proteger adecuadamente esos datos y sistemas. Los requisitos contractuales no son suficientes, los bancos deben validar que los proveedores pueden cumplir con sus responsabilidades en materia de seguridad de los datos exigidas en los contratos. El hecho de que se pueda mantener una acción por incumplimiento de contrato es una pequeña compensación en comparación con las pérdidas que, en la mayoría de los casos, no pueden reemplazarse o con el daño a la reputación que no puede repararse fácilmente.
La conclusión es que toda empresa que decida externalizar servicios debe analizar detenidamente los riesgos que asume al recurrir a un tercero. La información que debe protegerse abarca desde los datos de los clientes hasta la información confidencial de la empresa y la propiedad intelectual. Si el tercero tiene acceso a los sistemas y redes de la empresa, es necesario realizar un análisis para determinar el daño que podría producirse como consecuencia del acceso no autorizado a dichos sistemas. Cuando el valor de los datos es elevado y es necesario proteger el acceso a los sistemas, las empresas deben evaluar a esos terceros para asegurarse de que cuentan con controles sustantivos de seguridad informática y protección de datos.
Los clientes de Larson los están auditando hoy para determinar el alcance de los daños y qué controles de seguridad deben implementarse. Cabe preguntarse si este incidente habría ocurrido si el trabajo que realizan hoy los estudios se hubiera llevado a cabo como una evaluación de los controles de seguridad de Larson antes de que se les diera acceso a los valiosos títulos de los estudios.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
