En estudio tras estudio
,
los equipos de gestión de riesgos de terceros afirman que su principal preocupación es el impacto de los incidentes de seguridad de terceros en las operaciones de su empresa. Por lo tanto, la supervisión continua de las señales cibernéticas, como la actividad en foros criminales y de acceso especial de la web oscura, páginas onion y sitios de pegado de credenciales filtradas, así como comunidades de seguridad pública, fuentes de amenazas, repositorios de código y bases de datos de vulnerabilidades, es una capacidad imprescindible para comprender los riesgos de terceros que se plantean a su organización.
Sin embargo, las empresas suelen pasar por alto cómo los posibles efectos secundarios de los riesgos comerciales, financieros o de reputación pueden afectar a la postura de cumplimiento normativo o la higiene de seguridad de un proveedor externo. En esta publicación, examinamos las 14 principales perspectivas empresariales que pueden predecir un posible problema de seguridad de terceros, y cómo un enfoque combinado de evaluaciones y supervisión continua funciona de manera eficaz para reducir el riesgo de terceros.
Las 14 ideas empresariales más comunes para la gestión de riesgos de ciberseguridad de terceros
Las noticias negativas sobre un proveedor, como problemas financieros, violaciones de datos o infracciones normativas, pueden servir como una alerta temprana de posibles riesgos de seguridad. Al supervisar este tipo de noticias, los profesionales de la ciberseguridad pueden tomar medidas proactivas para evaluar y mitigar el impacto en la postura de seguridad de su organización. A continuación, se presentan 14 temas de actualidad que debe supervisar como parte de su programa TPRM:
Inestabilidad financiera
Los cambios significativos en el rendimiento financiero de un proveedor, como pérdidas inesperadas, descensos en los ingresos, declaraciones de quiebra o irregularidades contables, pueden indicar limitaciones de recursos que podrían afectar a su capacidad para invertir en controles de ciberseguridad o dar lugar a medidas de reducción de costes que comprometan la seguridad o aumenten la probabilidad de amenazas internas.
Despidos y conflictos laborales
Los despidos y los conflictos laborales pueden generar distracciones e interrupciones dentro de una organización, desviando la atención y los recursos de las iniciativas de ciberseguridad. Esto puede dar lugar a lagunas en la supervisión de la seguridad, retrasos en la respuesta a incidentes y una disminución general de la resiliencia frente a los ciberataques.
Los despidos o los conflictos laborales también pueden provocar una reducción de la plantilla o la salida de profesionales cualificados en ciberseguridad, lo que deja a las organizaciones con falta de personal y sin los conocimientos especializados esenciales para gestionar la seguridad de forma eficaz. Esto puede aumentar el riesgo de que los incidentes de seguridad pasen desapercibidos o no se resuelvan, lo que hace que la organización sea más vulnerable a las amenazas cibernéticas.
Amenazas internas
Los empleados descontentos que se sienten tratados injustamente o que se enfrentan a la pérdida de su empleo pueden suponer un mayor riesgo de convertirse en amenazas internas. Pueden tomar represalias robando datos confidenciales, saboteando sistemas o participando en otras actividades maliciosas que podrían comprometer la ciberseguridad.
Ataques de ingeniería social
Los empleados son vulnerables a los ataques de ingeniería social, como el phishing o el pretexting. Los atacantes pueden aprovecharse de su estado emocional o sus preocupaciones financieras para engañarlos y que revelen información confidencial, hagan clic en enlaces maliciosos o realicen acciones no autorizadas que comprometan la seguridad.
Fusiones y adquisiciones
Es fundamental supervisar la actividad de fusiones y adquisiciones (M&A) de los proveedores. Los cambios en la propiedad o la estrategia corporativa pueden afectar a la ciberseguridad, por ejemplo, mediante cambios en las políticas de seguridad, retos de integración de infraestructuras o exposición a nuevos riesgos derivados de las entidades adquiridas.
Interrupciones del sistema y tiempo de inactividad
Las interrupciones inesperadas del sistema o el tiempo de inactividad pueden ser indicadores de compromisos, como ataques de denegación de servicio (DDoS), incidentes de ransomware o fallos de infraestructura. Supervisar la disponibilidad del sistema y las métricas de rendimiento, y mantenerse al tanto de las interrupciones críticas, ayuda a identificar y mitigar las posibles amenazas cibernéticas que afectan a los servicios y la infraestructura críticos.
Infracciones normativas
Las infracciones normativas, como el incumplimiento de las leyes de protección de datos o las normas del sector, pueden indicar una falta de compromiso con las mejores prácticas en materia de seguridad y privacidad. El incumplimiento puede dar lugar a multas, sanciones legales y la pérdida de confianza de los clientes que confían en el proveedor para que gestione sus datos confidenciales de forma segura.
Respuesta a incidentes
Las noticias negativas sobre incidentes de seguridad pueden poner de relieve la gestión de los incidentes de seguridad por parte del proveedor, como respuestas tardías o inadecuadas, y suscitar dudas sobre su capacidad para detectar, mitigar y recuperarse eficazmente de las amenazas cibernéticas. Una respuesta a los incidentes mal ejecutada puede agravar el impacto de los incidentes de seguridad y minar la confianza en la capacidad del proveedor para proteger los datos de los clientes.
Violaciones de datos
A veces, los medios de comunicación destacan incidentes antes de que una empresa haya revelado oficialmente que se ha producido una violación de datos. Esto puede permitir a un equipo ponerse en contacto de forma proactiva con los proveedores y/o distribuidores directamente afectados o susceptibles de sufrir un ataque a la cadena de suministro de software.
Participación en ciberespionaje o piratería informática patrocinada por el Estado
Si se descubre que un proveedor está asociado o sancionado por participar en actividades de ciberespionaje o piratería informática patrocinadas por el Estado, esto puede indicar riesgos de seguridad significativos. Dichas acciones pueden comprometer la confidencialidad, integridad y disponibilidad de los datos y sistemas, lo que supone una amenaza para los clientes y socios del proveedor.
Sanciones
Las noticias negativas relacionadas con infracciones de los controles de exportación o las normativas de transferencia de tecnología indican posibles deficiencias en las prácticas de cumplimiento y gestión de riesgos del proveedor. Estas infracciones pueden implicar la transferencia no autorizada de tecnologías sensibles o propiedad intelectual a empresas o personas sancionadas, lo que abre la puerta a violaciones de la seguridad y sanciones normativas. Las listas de sanciones más comunes son las que mantienen la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de los Estados Unidos y la Lista de Sanciones del Reino Unido.
El mejor empresario
Si el proveedor tiene relaciones comerciales o asociaciones con entidades conocidas por participar en actividades cibernéticas maliciosas o por apoyar a adversarios cibernéticos, esto puede levantar sospechas sobre los riesgos de seguridad asociados a esas conexiones. Dichos vínculos pueden exponer al proveedor y a sus clientes a espionaje, sabotaje u otras amenazas cibernéticas. La lista de ciudadanos especialmente designados (SDN) y personas bloqueadas, publicada por el Departamento del Tesoro de los Estados Unidos, contiene una lista de personas y empresas que son propiedad o están controladas por países específicos, o que actúan en su nombre o en su representación.
Objetivos de los ciberataques
Las personas políticamente expuestas (PEP) suelen ser objetivos muy visibles para los ciberataques debido a su acceso a información confidencial y a su potencial para influir en decisiones políticas o económicas. Los ciberdelincuentes pueden atacar a las PEP con ataques de phishing, campañas de malware u otras tácticas para obtener acceso no autorizado a sus sistemas, robar datos confidenciales o comprometer sus comunicaciones. Varias agencias gubernamentales, organismos reguladores y bibliotecas de información, como la FFIEC y LexisNexis, mantienen listas de PEP para contrarrestar este tipo de actividades.
Evolución geopolítica e inestabilidad política
El seguimiento de las tensiones geopolíticas, los conflictos internacionales, las disputas comerciales y la inestabilidad política ayuda a las organizaciones a evaluar los riesgos geopolíticos, la volatilidad del mercado y los cambios normativos que pueden afectar a las operaciones globales, las cadenas de suministro y las estrategias de inversión. Los acontecimientos geopolíticos también pueden aumentar los riesgos de ciberseguridad, como los ciberataques patrocinados por Estados o las actividades de espionaje.
Cómo incorporar conocimientos cibernéticos y empresariales para la gestión de riesgos de terceros
Puede supervisar estos temas de actualidad utilizando una gran variedad de herramientas y fuentes de noticias inconexas, pero los métodos manuales como estos no permitirán a su equipo correlacionar la información con exploits reales en el mundo real. Solo un enfoque automatizado que centralice, normalice, correlacione y analice la información a través de evaluaciones de riesgos internas y múltiples fuentes de supervisión externas proporcionará esta información.
La plataforma de gestión de riesgos de terceros Prevalent puede ayudar. Además de la inteligencia sobre amenazas cibernéticas, la plataforma Prevalent incorpora información que incluye:
- Cobertura mediática adversa y noticias negativas procedentes de 30 000 fuentes globales.
- Sanciones normativas y legales globales procedentes de más de 1000 listas de cumplimiento y expedientes judiciales.
- Empresas estatales y vinculadas al gobierno
- Base de datos global PEP con más de 1,8 millones de perfiles de personas políticamente expuestas, incluyendo a sus familiares y asociados.
- Información cualitativa procedente de más de 550 000 fuentes públicas y privadas de información operativa, incluyendo actividades de fusiones y adquisiciones, noticias empresariales, cambios en la dirección y el liderazgo, noticias sobre la competencia, nuevas ofertas, actualizaciones operativas y mucho más.
- Una red global de millones de empresas en más de 160 países que incluye datos sobre el rendimiento financiero de los últimos cinco años, como volumen de negocios, pérdidas y ganancias, fondos de los accionistas, calificaciones crediticias, historial de pagos, quiebras, inversiones y mucho más.
- Una base de datos que contiene más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo, incluyendo los tipos y cantidades de datos robados; cuestiones de cumplimiento y normativas; y notificaciones de violaciones de datos en tiempo real.
El seguimiento de las noticias negativas permite a los profesionales de la ciberseguridad mantenerse informados sobre los posibles riesgos de seguridad de los proveedores, activar medidas adicionales de diligencia debida con respecto a los proveedores, obtener visibilidad sobre posibles problemas de cumplimiento, gestionar los riesgos para la reputación y mejorar la planificación de la respuesta ante incidentes. Un enfoque proactivo y exhaustivo para supervisar los riesgos de terceros, incluidos los factores cibernéticos, empresariales, reputacionales y financieros, refuerza la postura de seguridad de las organizaciones y reduce el impacto de los incidentes provocados por proveedores externos.
Para obtener más información sobre cómo Prevalent puede ayudar a unificar la supervisión de la información cibernética, empresarial, financiera y reputacional, y correlacionarla con los resultados de las evaluaciones, solicite una demostración hoy mismo.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
