El consenso entre los Directores de Seguridad de la Información (CISO, por sus siglas en inglés) es claro: las prácticas tradicionales de gestión de riesgos de terceros en el ámbito de la seguridad de la información resultan ineficaces.
Los métodos convencionales, que se basan en cuestionarios de autoevaluación y calificaciones de ciberseguridad, no ofrecen una visión precisa del riesgo asociado a terceros ni logran reducir dicho riesgo.
La necesidad de un cambio se ha vuelto apremiante debido al aumento en los ataques dirigidos cada vez más hacia terceros.
De acuerdo con una encuesta reciente realizada por la RSA Conference, el 87% de las empresas Fortune 1000 se vieron afectadas por incidentes cibernéticos significativos relacionados con terceros en el último año.
Estos incidentes relacionados con terceros pueden tener un impacto considerable en la rentabilidad de las empresas.
Si un proveedor o socio comercial sufre un ataque cibernético, esto puede interrumpir las operaciones de la empresa y exponer los datos de sus clientes o propiedad intelectual. Además, los atacantes pueden utilizar el acceso a terceros como una vía para infiltrarse en la red de la empresa.
A pesar de la necesidad de revisar la gestión del riesgo de terceros, abordar este problema puede parecer un desafío insuperable. Los enfoques tradicionales se han arraigado como prácticas estándar, y las empresas a menudo se sienten presionadas para seguir utilizándolos a pesar de su falta de eficacia.
Ante el aumento de los riesgos, los CISOs están adoptando enfoques audaces y novedosos.
Estas estrategias incluyen el establecimiento de requisitos de seguridad prioritarios, la fijación de plazos para la implementación de controles, la inclusión de medidas de cumplimiento en los contratos, la asistencia a terceros para adquirir tecnologías y servicios de seguridad, el aumento del papel de los líderes empresariales y la construcción de resiliencia ante incidentes relacionados con terceros.
Este informe presenta iniciativas innovadoras llevadas a cabo por seis empresas Fortune 1000 en diversos sectores, como defensa, atención médica, seguros, manufactura y tecnología.
Compartimos sus experiencias con la esperanza de que otros puedan inspirarse en estas ideas para acelerar sus propios esfuerzos. Reconociendo la necesidad de cambios sistémicos, también exploramos los roles de los proveedores de tecnología y seguridad, las colaboraciones industriales y las intervenciones gubernamentales en este ámbito.
El Creciente Riesgo de Terceros
En diversos sectores, los Directores de Seguridad de la Información (CISO, por sus siglas en inglés) dentro de la comunidad ESAF están observando un aumento significativo en los ciberataques dirigidos a terceros. Esta tendencia alarmante puede atribuirse a varios factores clave:
Ruta más Sencilla para los Atacantes: Cuando el objetivo último de un atacante es obtener acceso a los datos o sistemas de una empresa Fortune 1000, a menudo encuentran más fácil dirigirse a los socios comerciales de la empresa. Las grandes empresas globales han establecido defensas cibernéticas sólidas, mientras que sus asociados de terceros suelen contar con programas de seguridad menos maduros.
Ciberataques Generalizados: Incluso si el objetivo principal del atacante no es explícitamente una empresa Fortune 1000 o sus socios de terceros, la prevalencia de los ciberataques, en particular los ataques de ransomware, ha alcanzado proporciones tales que un número creciente de terceros se convierten en víctimas de estos ataques.
Dirigiéndose a Proveedores de Software y Hardware: Los atacantes están reconociendo cada vez más el atractivo de los proveedores de software o hardware como objetivos atractivos. Al infiltrarse en los sistemas de estos proveedores y manipular sus productos o servicios, los atacantes pueden comprometer potencialmente a todas las organizaciones que dependen de estos productos o servicios.
Este creciente riesgo de terceros subraya la necesidad de que las organizaciones reevalúen y refuercen sus medidas de seguridad, tanto internamente como en su red extendida de relaciones con terceros. La falta de hacerlo puede dejarlos vulnerables ante un panorama de amenazas en constante evolución.
Cuando un tercero sufre una brecha de seguridad, una empresa puede experimentar interrupciones en su negocio debido a la inactividad de terceros, pérdida de datos compartidos con el tercero, sufrir un ataque en su red corporativa y/o enfrentar un escrutinio adicional por parte de reguladores y auditores.
Los ataques a terceros están aumentando drásticamente los riesgos para las empresas.
Una de las empresas en nuestra investigación observó un aumento del 550% en incidentes relacionados con terceros en tres años.
En muchas empresas, el riesgo de ciberseguridad de terceros es ahora uno de los principales riesgos que enfrenta la empresa y una preocupación importante para el liderazgo ejecutivo y el consejo de administración.
Los enfoques tradicionales se han convertido en una expectativa en términos de diligencia debida, especialmente en caso de responsabilidad y/o como parte de una evaluación de seguro cibernético. Sin embargo, estos enfoques:
No reducen el riesgo
- Están inherentemente centrados en la evaluación en lugar de la reducción del riesgo.
No proporcionan una medida precisa de la postura de seguridad
- Se basan en datos imprecisos de autoevaluaciones y análisis externos.
Derrochan grandes cantidades de tiempo y dinero
- Involucran un proceso intensivo en mano de obra para recopilar, revisar y dar seguimiento a cuestionarios de miles de terceros.
- Son difíciles de automatizar debido a la falta de estandarización.
Carecen de contexto de riesgo cibernético
- No consideran el tipo específico de riesgos cibernéticos involucrados, como la violación de datos de clientes o la interrupción de la cadena de suministro.
Carecen de estrategias de resiliencia
- No preparan a las empresas para las inevitables fallas de seguridad de terceros.
Generan una gran cantidad de trabajo para terceros
- Esperan que realicen evaluaciones y auditorías continuas y prolongadas que pueden ser disruptivas para sus operaciones.
Crean una enorme duplicación de esfuerzo para terceros
- Les exigen completar un cuestionario diferente para cada cliente o socio comercial (cada uno tiene su propia versión).
No ayudan a terceros a lograr una seguridad efectiva, como se discute en la siguiente sección
Desafíos de Seguridad en Terceros
En los estudios de caso realizados, las empresas han interactuado con una amplia gama de terceros a través de análisis de causas raíz de incidentes, grupos de enfoque y encuestas. En este contexto, se han identificado una serie de desafíos que enfrentan estos terceros en relación con la seguridad:
CISO Limitaciones Financieras para la Seguridad: Para garantizar la protección de los entornos digitales actuales, se requiere la implementación de un conjunto mínimo de controles preventivos y detectores, lo que a su vez demanda un conocimiento especializado en ciberseguridad y la adopción de las últimas tecnologías de seguridad. Según estimaciones de los Directores de Seguridad de la Información (CISOs), esta inversión puede ascender a al menos entre 2 y 5 millones de dólares estadounidenses al año. Sin embargo, muchas organizaciones, especialmente las pequeñas y medianas empresas (PYMES), se enfrentan a limitaciones financieras que les impiden alcanzar este nivel de inversión.
- Obstáculos para la Implementación Efectiva de Seguridad: Aun cuando los terceros pueden incrementar su presupuesto de seguridad, se topan con una serie de obstáculos que dificultan la consecución de una seguridad efectiva. Entre estos obstáculos se incluyen:
- La necesidad de cumplir con estándares de la industria y regulaciones gubernamentales complejas, que a menudo resultan tan intrincados que resulta difícil discernir un conjunto de requisitos significativos.
- La inadecuación de las soluciones comerciales de seguridad para los casos de uso específicos de estos terceros.
- La complejidad del mercado de seguridad, que complica la selección e integración de los controles necesarios.
- La presencia de sistemas o equipos especializados y/o heredados que resultan difíciles de asegurar.
- La dificultad para encontrar y retener talento especializado en ciberseguridad.
- La percepción de que la seguridad es una tarea ardua, incluso cuando existen medidas relativamente simples que podrían implementarse, como la autenticación multifactor (MFA) para el acceso remoto.
- Distracciones y Cargas Adicionales: Los terceros a menudo se ven abrumados por la cantidad significativa de tiempo que deben invertir en la respuesta a cuestionarios de evaluación y en procesos de auditoría. Esto, lamentablemente, suele dejar poco margen para que el personal de estas organizaciones pueda dedicarse verdaderamente a labores relacionadas con la seguridad.
- Evaluación de Costos y Beneficios: En algunas ocasiones, las empresas pueden llegar a la conclusión de que el costo de perder algunos clientes o socios comerciales es inferior al costo que implicaría la implementación de medidas de seguridad adicionales. Esta evaluación de costos y beneficios puede llevar a decisiones que no favorecen la mejora de la seguridad.
¿Cómo será finalmente la gestión avanzada de riesgos de terceros en la seguridad de la información?
Aunque aún es temprano, algunas tendencias comienzan a tomar forma. Al analizar las iniciativas de seis empresas en diversos sectores, hemos identificado siete tipos de nuevos enfoques.
Estos se detallan en esta sección, comenzando con los más comunes.
Los CISO encontraron que era esencial obtener el respaldo de la alta dirección y partes interesadas clave, como las unidades de negocio, la Gestión de la Cadena de Suministro, Compras y Legal.
Los CISO y sus equipos trabajaron estrechamente con ellos en el desarrollo e implementación de los nuevos enfoques. También enfatizaron que impulsar el cambio en una gran empresa y en un ecosistema de terceros lleva tiempo. Estas son iniciativas a largo plazo que abarcan varios años, no soluciones rápidas. En todos los casos, los nuevos enfoques forman parte de un programa integral de gestión de riesgos de terceros que está cambiando de manera incremental.
Tipos de Nuevos Enfoques
Proporcionar a terceros un conjunto de requisitos de seguridad de alta prioridad.
a) Determinar los requisitos de prioridad.
Muchas empresas han desarrollado una lista de requisitos o controles de alta prioridad. Mientras que los cuestionarios pueden incluir cientos de preguntas, las listas basadas en la prioridad suelen ser mucho más cortas (por ejemplo, 10 requisitos). El objetivo es facilitar que los terceros con programas de seguridad menos maduros sepan por dónde empezar y ayudarles a centrarse en los controles más efectivos.
Las prioridades se basan en:
Análisis de causa raíz de incidentes anteriores, examinando tanto los incidentes de terceros (cuando esta información está disponible) como los propios incidentes de la empresa, e identificando contramedidas críticas.
Qué controles han proporcionado la mayor reducción de riesgos para el programa de seguridad de la propia empresa.
Informes de la industria de seguridad sobre los principales controles.
Algunas empresas desarrollan requisitos prescriptivos personalizados para tipos específicos de terceros.
Por ejemplo, se podría requerir que un proveedor de logística utilice controles para prevenir el robo de mercancías, mientras que un proveedor de centros de llamadas podría estar obligado a utilizar controles para evitar grabaciones no autorizadas.
Otras empresas desarrollan requisitos modulares, añadiendo controles si el terceros está manejando información altamente sensible o realizando funciones críticas para la empresa.
Datos Sensibles
En ocasiones, la elaboración de esta lista es un esfuerzo colaborativo. Por ejemplo, importantes empresas en la industria de la defensa han acordado una lista de 10 requisitos prioritarios para todos sus proveedores.
b) Al trabajar con terceros, centrar los esfuerzos en torno a los requisitos prioritarios
Si bien se espera que los terceros tengan un conjunto completo de controles de seguridad en su lugar, las empresas utilizan su lista de requisitos prioritarios, en lugar de cuestionarios, para orientar la conversación sobre el cumplimiento de requisitos y la mejora de la seguridad. A menudo, la empresa establece puntos de control regulares para responsabilizar a los terceros.
Cualquier oferta de orientación, formación y ayuda para obtener tecnologías y servicios está diseñada en función de los requisitos prioritarios.
El estudio de caso sobre el Proveedor de Atención Médica muestra cómo una empresa está reemplazando su cuestionario, que contenía más de 200 controles autoevaluados, con 19 requisitos validados.
Otro estudio de caso, Empresa de Tecnología B, describe una iniciativa que establece un plazo para la implementación de un control de alta prioridad.
2.- Verificar los controles de seguridad para los requisitos prioritarios.
En lugar de depender de las autoevaluaciones de terceros, las empresas solicitan evidencia de los controles de seguridad, especialmente para terceros críticos. Esto puede implicar:
Realizar preguntas detalladas
Por ejemplo, en lugar de preguntar “¿Tiene mecanismos de autenticación para gestionar el acceso de los usuarios?”, pueden preguntar, “¿Puede demostrar que todos los usuarios utilizan la autenticación multifactor (MFA) para acceder a su correo electrónico?”.
• Obtener resultados de pruebas de phishing, análisis de vulnerabilidades y pruebas de penetración.
• Obtener documentación, como planes de respuesta a incidentes y procesos de desarrollo de software.
• Solicitar verificaciones de un evaluador externo calificado o un auditor certificado que realice una auditoría en el lugar.
Algunos equipos de seguridad pueden considerar las puntuaciones de los servicios de calificación de ciberseguridad para propósitos específicos y limitados. Por ejemplo, si la puntuación ha disminuido significativamente, la empresa investigará la causa. Algunas empresas están avanzando hacia el uso de métodos automatizados para verificar los controles.
Además de verificar los controles, las empresas también están interesadas en indicadores de capacidad y madurez:
¿Tiene el terceros un líder de seguridad?
¿El programa está adecuadamente financiado?
¿El programa está mejorando con el tiempo?
Reducir el Impacto de Incidentes en Terceros Incluso terceros que son relativamente sólidos en cuanto a seguridad pueden experimentar una violación de datos.
Para protegerse de los inevitables incidentes relacionados con terceros, las empresas están tomando las siguientes medidas:
• Diversificar proveedores y aumentar el inventario para reducir la interrupción comercial si un proveedor resulta inoperable debido a un ataque.
• Crear guías de respuesta a incidentes para cambiar a proveedores de respaldo después de un incidente.
• Desarrollar planes para manejar demandas de rescate. Los atacantes a veces apuntan a terceros con el objetivo de exigir un rescate a su cliente o socio comercial más grande.
• Realizar una planificación conjunta de respuesta a incidentes y pruebas con terceros clave.
• Garantizar que la empresa tenga información de contacto actualizada de los líderes de seguridad de todos los terceros.
• Fortalecer los mecanismos de supervisión para limitar al mínimo necesario el intercambio de datos con terceros.
• Asegurarse de que el acceso de terceros a los sistemas corporativos sea mínimo y pueda ser terminado rápidamente.
Ayudar a Terceros a Obtener Capacitación, Tecnología y Servicios de Seguridad Para ayudar a sus terceros a mejorar su seguridad, las empresas están tomando las siguientes medidas:
• Colaborar con proveedores de servicios de capacitación para ofrecer formación a terceros, en algunos casos ayudando a diseñar los materiales de capacitación y/o brindando cursos de formación.
• Utilizar el poder de compra de la empresa o de la industria para ofrecer tecnologías o servicios a un costo más bajo.
• Sugerir ofertas tecnológicas o de servicios que sean adecuadas para ayudar a sus terceros a cumplir con requisitos de seguridad específicos (por ejemplo, ofertas adaptadas a una industria o estándar gubernamental particular).
• Proporcionar instrucciones amigables para el usuario sobre cómo implementar controles de seguridad prioritarios.
• Desarrollar sistemas de comunicación para entregar rápidamente alertas de seguridad a todos los terceros.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso,
ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, iso, iso, iso, iso, iso, iso, iso, iso, iso, iso, iso, so, iso,
Lea más sobre Ciberseguridad en:
Proactive DEM para SASE, la próxima evolución en gestión de experiencia digital 2023
Grupo Cuba: Desentrañando sus Tácticas de Ciberdelito 2023
Cripto Dusting 2023: ¿Qué tipo de ataque es?
Seguridad en el login en un contexto de IA siglo 21
W3LL DONE: Máquina aceitada Group-IB descubre phishing BEC dirigido a Microsoft 365.
NO TE PIERDAS EL IT CONNECT SECURE STREAM