- Ciberseguridad para la gestión de riesgos de terceros.
Por: María Pilar Torres Bruna*
Uno de los desafíos de una organización o un CISO a la hora de definir una estrategia de ciberseguridad es determinar el perímetro a proteger. Migrar parte de la organización a la nube desdibujó un perímetro que estaba bien definido, y el teletrabajo incrementó esa percepción. Hay un tercer factor clave en la ciberseguridad de nuestras organizaciones, y son nuestros terceros. Algunos de ellos son críticos para poder realizar nuestro negocio y para ello, sus sistemas se integran en mayor o menor medida con los nuestros. ¿Cómo aseguramos que no suponen un nuevo vector de ataque para nosotros?
La «Seguridad en terceros» se refiere a la gestión de los riesgos asociados con los proveedores, socios y cualquier entidad externa que tenga acceso a los sistemas, datos o recursos críticos de una organización. Para conseguir una correcta gestión de estos riesgos, hay varios roles, además del CISO, que deben ser conscientes de su importancia y que tienen que definir controles o conocerlos para que estos se implanten. Los departamentos de compras, de negocio, u otros departamentos específicos, como jurídico, deben incorporar controles de seguridad en sus servicios y entenderlos como no negociables.
Los acuerdos contractuales permiten establecer las bases de seguridad que la compañía compradora de servicios necesita para proteger su información y su negocio, y ayudan a definir claramente las responsabilidades y expectativas de ambas partes en cuanto a la protección de datos y la gestión de riesgos. Además, los acuerdos contractuales facilitan la gestión de la relación con los proveedores, asegurando que se mantenga un nivel adecuado de seguridad de la información a lo largo del tiempo. Esto debe comprobarse mediante auditorías periódicas al tercero.
Finalmente, es importante establecer una revisión y actualización periódica de los contratos para adaptarse a nuevos riesgos y cambios en la normativa. Igualmente, que los proveedores entiendan los mínimos de seguridad que les van a exigir les permite dimensionar los servicios de una forma mucho más precisa.
¿Y por qué esto es importante en este momento? Se considera que los ataques a la cadena de suministro se convertirán en una de las principales amenazas este año.
Escalará el número de ataques identificados, sobre todo en infraestructura crítica y sectores industriales, así como a entornos en la nube mediante la implementación de gusanos nativos específicamente desarrollados para entornos de este tipo. Actualmente, ya existe un gran número de ataques a organizaciones que se dan a través de los terceros. Las grandes compañías hacen una inversión grande en ciberseguridad, y ya es más difícil explotar un vector de ataque. Sin embargo, sus proveedores o partners pueden ser empresas más pequeñas y que quizá disponen de una menor inversión en ciberseguridad. En ese caso, un camino para los atacantes puede ser entrar a una de estas empresas y una vez dentro, escalar para llegar al objetivo.
