Estos incidentes relacionados con terceros pueden tener un impacto considerable en la rentabilidad de las empresas.<\/p>\n
Si un proveedor o socio comercial sufre un ataque cibern\u00e9tico, esto puede interrumpir las operaciones de la empresa y exponer los datos de sus clientes o propiedad intelectual. Adem\u00e1s, los atacantes pueden utilizar el acceso a terceros como una v\u00eda para infiltrarse en la red de la empresa.<\/p>\n
A pesar de la necesidad de revisar la gesti\u00f3n del riesgo de terceros, abordar este problema puede parecer un desaf\u00edo insuperable. Los enfoques tradicionales se han arraigado como pr\u00e1cticas est\u00e1ndar, y las empresas a menudo se sienten presionadas para seguir utiliz\u00e1ndolos a pesar de su falta de eficacia.<\/p>\n
Ante el aumento de los riesgos, los CISOs est\u00e1n adoptando enfoques audaces y novedosos.<\/p>\n
Estas estrategias incluyen el establecimiento de requisitos de seguridad prioritarios, la fijaci\u00f3n de plazos para la implementaci\u00f3n de controles, la inclusi\u00f3n de medidas de cumplimiento en los contratos, la asistencia a terceros para adquirir tecnolog\u00edas y servicios de seguridad, el aumento del papel de los l\u00edderes empresariales y la construcci\u00f3n de resiliencia ante incidentes relacionados con terceros.<\/p>\n
Este informe presenta iniciativas innovadoras llevadas a cabo por seis empresas Fortune 1000 en diversos sectores, como defensa, atenci\u00f3n m\u00e9dica, seguros, manufactura y tecnolog\u00eda.<\/p>\n
Compartimos sus experiencias con la esperanza de que otros puedan inspirarse en estas ideas para acelerar sus propios esfuerzos. Reconociendo la necesidad de cambios sist\u00e9micos, tambi\u00e9n exploramos los roles de los proveedores de tecnolog\u00eda y seguridad, las colaboraciones industriales y las intervenciones gubernamentales en este \u00e1mbito.<\/p>\n
El Creciente Riesgo de Terceros<\/h3>\n![\"CISO\"](\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/09\/tinywow_RPG_v5_CISO_4_34332019-e1694627935204.webp\" "\\"\\"")
<\/a>CISO<\/figcaption><\/figure>\nEn diversos sectores, los Directores de Seguridad de la Informaci\u00f3n (CISO, por sus siglas en ingl\u00e9s) dentro de la comunidad ESAF est\u00e1n observando un aumento significativo en los ciberataques dirigidos a terceros. Esta tendencia alarmante puede atribuirse a varios factores clave:<\/p>\n
Ruta m\u00e1s Sencilla para los Atacantes:<\/strong> Cuando el objetivo \u00faltimo de un atacante es obtener acceso a los datos o sistemas de una empresa Fortune 1000, a menudo encuentran m\u00e1s f\u00e1cil dirigirse a los socios comerciales de la empresa. Las grandes empresas globales han establecido defensas cibern\u00e9ticas s\u00f3lidas, mientras que sus asociados de terceros suelen contar con programas de seguridad menos maduros.<\/p>\nCiberataques Generalizados:<\/strong> Incluso si el objetivo principal del atacante no es expl\u00edcitamente una empresa Fortune 1000 o sus socios de terceros, la prevalencia de los ciberataques, en particular los ataques de ransomware, ha alcanzado proporciones tales que un n\u00famero creciente de terceros se convierten en v\u00edctimas de estos ataques.<\/p>\nDirigi\u00e9ndose a Proveedores de Software y Hardware:<\/strong> Los atacantes est\u00e1n reconociendo cada vez m\u00e1s el atractivo de los proveedores de software o hardware como objetivos atractivos. Al infiltrarse en los sistemas de estos proveedores y manipular sus productos o servicios, los atacantes pueden comprometer potencialmente a todas las organizaciones que dependen de estos productos o servicios.<\/p>\nEste creciente riesgo de terceros subraya la necesidad de que las organizaciones reeval\u00faen y refuercen sus medidas de seguridad, tanto internamente como en su red extendida de relaciones con terceros. La falta de hacerlo puede dejarlos vulnerables ante un panorama de amenazas en constante evoluci\u00f3n.<\/p>\n
Cuando un tercero sufre una brecha de seguridad, una empresa puede experimentar interrupciones en su negocio debido a la inactividad de terceros, p\u00e9rdida de datos compartidos con el tercero, sufrir un ataque en su red corporativa y\/o enfrentar un escrutinio adicional por parte de reguladores y auditores.<\/p>\n
Los ataques a terceros est\u00e1n aumentando dr\u00e1sticamente los riesgos para las empresas.<\/p>\n
Una de las empresas en nuestra investigaci\u00f3n observ\u00f3 un aumento del 550% en incidentes relacionados con terceros en tres a\u00f1os.<\/p>\n
En muchas empresas, el riesgo de ciberseguridad de terceros es ahora uno de los principales riesgos que enfrenta la empresa y una preocupaci\u00f3n importante para el liderazgo ejecutivo y el consejo de administraci\u00f3n.<\/p>\n
Los enfoques tradicionales se han convertido en una expectativa en t\u00e9rminos de diligencia debida, especialmente en caso de responsabilidad y\/o como parte de una evaluaci\u00f3n de seguro cibern\u00e9tico. Sin embargo, estos enfoques:<\/p>\n
No reducen el riesgo<\/h4>\n\n- Est\u00e1n inherentemente centrados en la evaluaci\u00f3n en lugar de la reducci\u00f3n del riesgo.<\/li>\n<\/ul>\n
No proporcionan una medida precisa de la postura de seguridad<\/h4>\n\n- Se basan en datos imprecisos de autoevaluaciones y an\u00e1lisis externos.<\/li>\n<\/ul>\n
Derrochan grandes cantidades de tiempo y dinero<\/h4>\n\n- Involucran un proceso intensivo en mano de obra para recopilar, revisar y dar seguimiento a cuestionarios de miles de terceros.<\/li>\n
- Son dif\u00edciles de automatizar debido a la falta de estandarizaci\u00f3n.<\/li>\n<\/ul>\n
Carecen de contexto de riesgo cibern\u00e9tico<\/h4>\n\n- No consideran el tipo espec\u00edfico de riesgos cibern\u00e9ticos involucrados, como la violaci\u00f3n de datos de clientes o la interrupci\u00f3n de la cadena de suministro.<\/li>\n<\/ul>\n
Carecen de estrategias de resiliencia<\/h4>\n\n- No preparan a las empresas para las inevitables fallas de seguridad de terceros.<\/li>\n<\/ul>\n
Generan una gran cantidad de trabajo para terceros<\/h4>\n\n- Esperan que realicen evaluaciones y auditor\u00edas continuas y prolongadas que pueden ser disruptivas para sus operaciones.<\/li>\n<\/ul>\n
Crean una enorme duplicaci\u00f3n de esfuerzo para terceros<\/h4>\n\n- Les exigen completar un cuestionario diferente para cada cliente o socio comercial (cada uno tiene su propia versi\u00f3n).<\/li>\n<\/ul>\n
No ayudan a terceros a lograr una seguridad efectiva, como se discute en la siguiente secci\u00f3n<\/h5>\nDesaf\u00edos de Seguridad en Terceros<\/h3>\n
En los estudios de caso realizados, las empresas han interactuado con una amplia gama de terceros a trav\u00e9s de an\u00e1lisis de causas ra\u00edz de incidentes, grupos de enfoque y encuestas. En este contexto, se han identificado una serie de desaf\u00edos que enfrentan estos terceros en relaci\u00f3n con la seguridad:<\/p>\n
\n- \n
![\"CISO\"](\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/09\/RPG_v5_CISO_5-e1694628145551.jpg\" "\\"\\"")
<\/a>CISO<\/figcaption><\/figure>\nLimitaciones Financieras para la Seguridad<\/strong>: Para garantizar la protecci\u00f3n de los entornos digitales actuales, se requiere la implementaci\u00f3n de un conjunto m\u00ednimo de controles preventivos y detectores, lo que a su vez demanda un conocimiento especializado en ciberseguridad y la adopci\u00f3n de las \u00faltimas tecnolog\u00edas de seguridad. Seg\u00fan estimaciones de los Directores de Seguridad de la Informaci\u00f3n (CISOs), esta inversi\u00f3n puede ascender a al menos entre 2 y 5 millones de d\u00f3lares estadounidenses al a\u00f1o. Sin embargo, muchas organizaciones, especialmente las peque\u00f1as y medianas empresas (PYMES), se enfrentan a limitaciones financieras que les impiden alcanzar este nivel de inversi\u00f3n.<\/li>\n- Obst\u00e1culos para la Implementaci\u00f3n Efectiva de Seguridad<\/strong>: Aun cuando los terceros pueden incrementar su presupuesto de seguridad, se topan con una serie de obst\u00e1culos que dificultan la consecuci\u00f3n de una seguridad efectiva. Entre estos obst\u00e1culos se incluyen:\n
\n- La necesidad de cumplir con est\u00e1ndares de la industria y regulaciones gubernamentales complejas, que a menudo resultan tan intrincados que resulta dif\u00edcil discernir un conjunto de requisitos significativos.<\/li>\n
- La inadecuaci\u00f3n de las soluciones comerciales de seguridad para los casos de uso espec\u00edficos de estos terceros.<\/li>\n
- La complejidad del mercado de seguridad, que complica la selecci\u00f3n e integraci\u00f3n de los controles necesarios.<\/li>\n
- La presencia de sistemas o equipos especializados y\/o heredados que resultan dif\u00edciles de asegurar.<\/li>\n
- La dificultad para encontrar y retener talento especializado en ciberseguridad.<\/li>\n
- La percepci\u00f3n de que la seguridad es una tarea ardua, incluso cuando existen medidas relativamente simples que podr\u00edan implementarse, como la autenticaci\u00f3n multifactor (MFA) para el acceso remoto.<\/li>\n<\/ul>\n<\/li>\n
- Distracciones y Cargas Adicionales<\/strong>: Los terceros a menudo se ven abrumados por la cantidad significativa de tiempo que deben invertir en la respuesta a cuestionarios de evaluaci\u00f3n y en procesos de auditor\u00eda. Esto, lamentablemente, suele dejar poco margen para que el personal de estas organizaciones pueda dedicarse verdaderamente a labores relacionadas con la seguridad.<\/li>\n
- Evaluaci\u00f3n de Costos y Beneficios<\/strong>: En algunas ocasiones, las empresas pueden llegar a la conclusi\u00f3n de que el costo de perder algunos clientes o socios comerciales es inferior al costo que implicar\u00eda la implementaci\u00f3n de medidas de seguridad adicionales. Esta evaluaci\u00f3n de costos y beneficios puede llevar a decisiones que no favorecen la mejora de la seguridad.<\/li>\n<\/ol>\n
\u00bfC\u00f3mo ser\u00e1 finalmente la gesti\u00f3n avanzada de riesgos de terceros en la seguridad de la informaci\u00f3n?<\/h3>\n
Aunque a\u00fan es temprano, algunas tendencias comienzan a tomar forma. Al analizar las iniciativas de seis empresas en diversos sectores, hemos identificado siete tipos de nuevos enfoques.<\/p>\n
Estos se detallan en esta secci\u00f3n, comenzando con los m\u00e1s comunes.<\/p>\n
Los CISO encontraron que era esencial obtener el respaldo de la alta direcci\u00f3n y partes interesadas clave, como las unidades de negocio, la Gesti\u00f3n de la Cadena de Suministro, Compras y Legal.<\/p>\n
Los CISO y sus equipos trabajaron estrechamente con ellos en el desarrollo e implementaci\u00f3n de los nuevos enfoques. Tambi\u00e9n enfatizaron que impulsar el cambio en una gran empresa y en un ecosistema de terceros lleva tiempo. Estas son iniciativas a largo plazo que abarcan varios a\u00f1os, no soluciones r\u00e1pidas. En todos los casos, los nuevos enfoques forman parte de un programa integral de gesti\u00f3n de riesgos de terceros que est\u00e1 cambiando de manera incremental.<\/p>\n
Tipos de Nuevos Enfoques<\/h2>\nProporcionar a terceros un conjunto de requisitos de seguridad de alta prioridad.<\/h3>\na) Determinar los requisitos de prioridad.<\/h5>\n
Muchas empresas han desarrollado una lista de requisitos o controles de alta prioridad. Mientras que los cuestionarios pueden incluir cientos de preguntas, las listas basadas en la prioridad suelen ser mucho m\u00e1s cortas (por ejemplo, 10 requisitos). El objetivo es facilitar que los terceros con programas de seguridad menos maduros sepan por d\u00f3nde empezar y ayudarles a centrarse en los controles m\u00e1s efectivos.<\/p>\n
Las prioridades se basan en:<\/h6>\n
An\u00e1lisis de causa ra\u00edz de incidentes anteriores, examinando tanto los incidentes de terceros (cuando esta informaci\u00f3n est\u00e1 disponible) como los propios incidentes de la empresa, e identificando contramedidas cr\u00edticas.<\/p>\n![\"CISO\"](\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/09\/Modelo-de-Datos-1-e1694628267259.webp\" "\\"\\"")
<\/a>CISO<\/figcaption><\/figure>\nQu\u00e9 controles han proporcionado la mayor reducci\u00f3n de riesgos para el programa de seguridad de la propia empresa.<\/p>\n
Informes de la industria de seguridad sobre los principales controles.<\/p>\n
Algunas empresas desarrollan requisitos prescriptivos personalizados para tipos espec\u00edficos de terceros.<\/p>\n
Por ejemplo, se podr\u00eda requerir que un proveedor de log\u00edstica utilice controles para prevenir el robo de mercanc\u00edas, mientras que un proveedor de centros de llamadas podr\u00eda estar obligado a utilizar controles para evitar grabaciones no autorizadas.<\/p>\n
Otras empresas desarrollan requisitos modulares, a\u00f1adiendo controles si el terceros est\u00e1 manejando informaci\u00f3n altamente sensible o realizando funciones cr\u00edticas para la empresa.<\/p>\n
Datos Sensibles<\/strong><\/h6>\nEn ocasiones, la elaboraci\u00f3n de esta lista es un esfuerzo colaborativo. Por ejemplo, importantes empresas en la industria de la defensa han acordado una lista de 10 requisitos prioritarios para todos sus proveedores.<\/p>\n
b) Al trabajar con terceros, centrar los esfuerzos en torno a los requisitos prioritarios<\/h5>\n
Si bien se espera que los terceros tengan un conjunto completo de controles de seguridad en su lugar, las empresas utilizan su lista de requisitos prioritarios, en lugar de cuestionarios, para orientar la conversaci\u00f3n sobre el cumplimiento de requisitos y la mejora de la seguridad. A menudo, la empresa establece puntos de control regulares para responsabilizar a los terceros.<\/p>\n
Cualquier oferta de orientaci\u00f3n, formaci\u00f3n y ayuda para obtener tecnolog\u00edas y servicios est\u00e1 dise\u00f1ada en funci\u00f3n de los requisitos prioritarios.<\/p>\n
El estudio<\/a> de caso sobre el Proveedor de Atenci\u00f3n M\u00e9dica muestra c\u00f3mo una empresa est\u00e1 reemplazando su cuestionario, que conten\u00eda m\u00e1s de 200 controles autoevaluados, con 19 requisitos validados.<\/p>\nOtro estudio de caso, Empresa de Tecnolog\u00eda B, describe una iniciativa que establece un plazo para la implementaci\u00f3n de un control de alta prioridad.<\/p>\n
2.- Verificar los controles de seguridad para los requisitos prioritarios.<\/h3>\n
En lugar de depender de las autoevaluaciones de terceros, las empresas solicitan evidencia de los controles de seguridad, especialmente para terceros cr\u00edticos. Esto puede implicar:<\/p>\n
Realizar preguntas detalladas<\/h4>\n
Por ejemplo, en lugar de preguntar “\u00bfTiene mecanismos de autenticaci\u00f3n para gestionar el acceso de los usuarios?”, pueden preguntar, “\u00bfPuede demostrar que todos los usuarios utilizan la autenticaci\u00f3n multifactor (MFA) para acceder a su correo electr\u00f3nico?”.<\/p>\n
\u2022 Obtener resultados de pruebas de phishing, an\u00e1lisis de vulnerabilidades y pruebas de penetraci\u00f3n.<\/p>\n
\u2022 Obtener documentaci\u00f3n, como planes de respuesta a incidentes y procesos de desarrollo de software.<\/p>\n
\u2022 Solicitar verificaciones de un evaluador externo calificado o un auditor certificado que realice una auditor\u00eda en el lugar.<\/p>\n
Algunos equipos de seguridad pueden considerar las puntuaciones de los servicios de calificaci\u00f3n de ciberseguridad para prop\u00f3sitos espec\u00edficos y limitados. Por ejemplo, si la puntuaci\u00f3n ha disminuido significativamente, la empresa investigar\u00e1 la causa. Algunas empresas est\u00e1n avanzando hacia el uso de m\u00e9todos automatizados para verificar los controles.<\/p>\n
Adem\u00e1s de verificar los controles, las empresas tambi\u00e9n est\u00e1n interesadas en indicadores de capacidad y madurez:<\/p>\n
\u00bfTiene el terceros un l\u00edder de seguridad?<\/p>\n
\u00bfEl programa est\u00e1 adecuadamente financiado?<\/p>\n
\u00bfEl programa est\u00e1 mejorando con el tiempo?<\/p>\n
\n- \n
Reducir el Impacto de Incidentes en Terceros Incluso terceros que son relativamente s\u00f3lidos en cuanto a seguridad pueden experimentar una violaci\u00f3n de datos.<\/h3>\n<\/li>\n<\/ol>\n
Para protegerse de los inevitables incidentes relacionados con terceros, las empresas est\u00e1n tomando las siguientes medidas:<\/p>\n
\u2022 Diversificar proveedores y aumentar el inventario para reducir la interrupci\u00f3n comercial si un proveedor resulta inoperable debido a un ataque.<\/p>\n
\u2022 Crear gu\u00edas de respuesta a incidentes para cambiar a proveedores de respaldo despu\u00e9s de un incidente.<\/p>\n
\u2022 Desarrollar planes para manejar demandas de rescate. Los atacantes a veces apuntan a terceros con el objetivo de exigir un rescate a su cliente o socio comercial m\u00e1s grande.<\/p>\n
\u2022 Realizar una planificaci\u00f3n conjunta de respuesta a incidentes y pruebas con terceros clave.<\/p>\n
\u2022 Garantizar que la empresa tenga informaci\u00f3n de contacto actualizada de los l\u00edderes de seguridad de todos los terceros.<\/p>\n
\u2022 Fortalecer los mecanismos de supervisi\u00f3n para limitar al m\u00ednimo necesario el intercambio de datos con terceros.<\/p>\n
\u2022 Asegurarse de que el acceso de terceros a los sistemas corporativos sea m\u00ednimo y pueda ser terminado r\u00e1pidamente.<\/p>\n
\n- \n
Ayudar a Terceros a Obtener Capacitaci\u00f3n, Tecnolog\u00eda y Servicios de Seguridad Para ayudar a sus terceros a mejorar su seguridad, las empresas est\u00e1n tomando las siguientes medidas:<\/h3>\n<\/li>\n<\/ol>\n
\u2022 Colaborar con proveedores de servicios de capacitaci\u00f3n para ofrecer formaci\u00f3n a terceros, en algunos casos ayudando a dise\u00f1ar los materiales de capacitaci\u00f3n y\/o brindando cursos de formaci\u00f3n.<\/p>\n
\u2022 Utilizar el poder de compra de la empresa o de la industria para ofrecer tecnolog\u00edas o servicios a un costo m\u00e1s bajo.<\/p>\n
\u2022 Sugerir ofertas tecnol\u00f3gicas o de servicios que sean adecuadas para ayudar a sus terceros a cumplir con requisitos de seguridad espec\u00edficos (por ejemplo, ofertas adaptadas a una industria o est\u00e1ndar gubernamental particular).<\/p>\n
\u2022 Proporcionar instrucciones amigables para el usuario sobre c\u00f3mo implementar controles de seguridad prioritarios.<\/p>\n
\u2022 Desarrollar sistemas de comunicaci\u00f3n para entregar r\u00e1pidamente alertas de seguridad a todos los terceros.<\/p>\n
<\/p>\n
Por Marcelo Lozano – General Publisher IT CONNECT LATAM<\/h5>\n
ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso,\u00a0<\/span>ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso,\u00a0<\/span><\/span><\/p>\nciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, iso, iso, iso, iso, iso, iso, iso, iso, iso, iso, iso, so, iso,<\/span><\/span><\/span><\/p>\nLea m\u00e1s sobre Ciberseguridad en:<\/h6>\n
Proactive DEM para SASE, la pr\u00f3xima evoluci\u00f3n en gesti\u00f3n de experiencia digital 2023<\/a><\/span><\/p>\nGrupo Cuba: Desentra\u00f1ando sus T\u00e1cticas de Ciberdelito 2023<\/a><\/span><\/p>\nCripto Dusting 2023: \u00bfQu\u00e9 tipo de ataque es?<\/a><\/span><\/p>\nSeguridad en el login en un contexto de IA siglo 21<\/a><\/span><\/p>\n
<\/a>En diversos sectores, los Directores de Seguridad de la Informaci\u00f3n (CISO, por sus siglas en ingl\u00e9s) dentro de la comunidad ESAF est\u00e1n observando un aumento significativo en los ciberataques dirigidos a terceros. Esta tendencia alarmante puede atribuirse a varios factores clave:<\/p>\n
Ruta m\u00e1s Sencilla para los Atacantes:<\/strong> Cuando el objetivo \u00faltimo de un atacante es obtener acceso a los datos o sistemas de una empresa Fortune 1000, a menudo encuentran m\u00e1s f\u00e1cil dirigirse a los socios comerciales de la empresa. Las grandes empresas globales han establecido defensas cibern\u00e9ticas s\u00f3lidas, mientras que sus asociados de terceros suelen contar con programas de seguridad menos maduros.<\/p>\n Ciberataques Generalizados:<\/strong> Incluso si el objetivo principal del atacante no es expl\u00edcitamente una empresa Fortune 1000 o sus socios de terceros, la prevalencia de los ciberataques, en particular los ataques de ransomware, ha alcanzado proporciones tales que un n\u00famero creciente de terceros se convierten en v\u00edctimas de estos ataques.<\/p>\n Dirigi\u00e9ndose a Proveedores de Software y Hardware:<\/strong> Los atacantes est\u00e1n reconociendo cada vez m\u00e1s el atractivo de los proveedores de software o hardware como objetivos atractivos. Al infiltrarse en los sistemas de estos proveedores y manipular sus productos o servicios, los atacantes pueden comprometer potencialmente a todas las organizaciones que dependen de estos productos o servicios.<\/p>\n Este creciente riesgo de terceros subraya la necesidad de que las organizaciones reeval\u00faen y refuercen sus medidas de seguridad, tanto internamente como en su red extendida de relaciones con terceros. La falta de hacerlo puede dejarlos vulnerables ante un panorama de amenazas en constante evoluci\u00f3n.<\/p>\n Cuando un tercero sufre una brecha de seguridad, una empresa puede experimentar interrupciones en su negocio debido a la inactividad de terceros, p\u00e9rdida de datos compartidos con el tercero, sufrir un ataque en su red corporativa y\/o enfrentar un escrutinio adicional por parte de reguladores y auditores.<\/p>\n Los ataques a terceros est\u00e1n aumentando dr\u00e1sticamente los riesgos para las empresas.<\/p>\n Una de las empresas en nuestra investigaci\u00f3n observ\u00f3 un aumento del 550% en incidentes relacionados con terceros en tres a\u00f1os.<\/p>\n En muchas empresas, el riesgo de ciberseguridad de terceros es ahora uno de los principales riesgos que enfrenta la empresa y una preocupaci\u00f3n importante para el liderazgo ejecutivo y el consejo de administraci\u00f3n.<\/p>\n Los enfoques tradicionales se han convertido en una expectativa en t\u00e9rminos de diligencia debida, especialmente en caso de responsabilidad y\/o como parte de una evaluaci\u00f3n de seguro cibern\u00e9tico. Sin embargo, estos enfoques:<\/p>\n En los estudios de caso realizados, las empresas han interactuado con una amplia gama de terceros a trav\u00e9s de an\u00e1lisis de causas ra\u00edz de incidentes, grupos de enfoque y encuestas. En este contexto, se han identificado una serie de desaf\u00edos que enfrentan estos terceros en relaci\u00f3n con la seguridad:<\/p>\n Limitaciones Financieras para la Seguridad<\/strong>: Para garantizar la protecci\u00f3n de los entornos digitales actuales, se requiere la implementaci\u00f3n de un conjunto m\u00ednimo de controles preventivos y detectores, lo que a su vez demanda un conocimiento especializado en ciberseguridad y la adopci\u00f3n de las \u00faltimas tecnolog\u00edas de seguridad. Seg\u00fan estimaciones de los Directores de Seguridad de la Informaci\u00f3n (CISOs), esta inversi\u00f3n puede ascender a al menos entre 2 y 5 millones de d\u00f3lares estadounidenses al a\u00f1o. Sin embargo, muchas organizaciones, especialmente las peque\u00f1as y medianas empresas (PYMES), se enfrentan a limitaciones financieras que les impiden alcanzar este nivel de inversi\u00f3n.<\/li>\n Aunque a\u00fan es temprano, algunas tendencias comienzan a tomar forma. Al analizar las iniciativas de seis empresas en diversos sectores, hemos identificado siete tipos de nuevos enfoques.<\/p>\n Estos se detallan en esta secci\u00f3n, comenzando con los m\u00e1s comunes.<\/p>\n Los CISO encontraron que era esencial obtener el respaldo de la alta direcci\u00f3n y partes interesadas clave, como las unidades de negocio, la Gesti\u00f3n de la Cadena de Suministro, Compras y Legal.<\/p>\n Los CISO y sus equipos trabajaron estrechamente con ellos en el desarrollo e implementaci\u00f3n de los nuevos enfoques. Tambi\u00e9n enfatizaron que impulsar el cambio en una gran empresa y en un ecosistema de terceros lleva tiempo. Estas son iniciativas a largo plazo que abarcan varios a\u00f1os, no soluciones r\u00e1pidas. En todos los casos, los nuevos enfoques forman parte de un programa integral de gesti\u00f3n de riesgos de terceros que est\u00e1 cambiando de manera incremental.<\/p>\n Muchas empresas han desarrollado una lista de requisitos o controles de alta prioridad. Mientras que los cuestionarios pueden incluir cientos de preguntas, las listas basadas en la prioridad suelen ser mucho m\u00e1s cortas (por ejemplo, 10 requisitos). El objetivo es facilitar que los terceros con programas de seguridad menos maduros sepan por d\u00f3nde empezar y ayudarles a centrarse en los controles m\u00e1s efectivos.<\/p>\n An\u00e1lisis de causa ra\u00edz de incidentes anteriores, examinando tanto los incidentes de terceros (cuando esta informaci\u00f3n est\u00e1 disponible) como los propios incidentes de la empresa, e identificando contramedidas cr\u00edticas.<\/p>\n Qu\u00e9 controles han proporcionado la mayor reducci\u00f3n de riesgos para el programa de seguridad de la propia empresa.<\/p>\n Informes de la industria de seguridad sobre los principales controles.<\/p>\n Algunas empresas desarrollan requisitos prescriptivos personalizados para tipos espec\u00edficos de terceros.<\/p>\n Por ejemplo, se podr\u00eda requerir que un proveedor de log\u00edstica utilice controles para prevenir el robo de mercanc\u00edas, mientras que un proveedor de centros de llamadas podr\u00eda estar obligado a utilizar controles para evitar grabaciones no autorizadas.<\/p>\n Otras empresas desarrollan requisitos modulares, a\u00f1adiendo controles si el terceros est\u00e1 manejando informaci\u00f3n altamente sensible o realizando funciones cr\u00edticas para la empresa.<\/p>\n En ocasiones, la elaboraci\u00f3n de esta lista es un esfuerzo colaborativo. Por ejemplo, importantes empresas en la industria de la defensa han acordado una lista de 10 requisitos prioritarios para todos sus proveedores.<\/p>\n Si bien se espera que los terceros tengan un conjunto completo de controles de seguridad en su lugar, las empresas utilizan su lista de requisitos prioritarios, en lugar de cuestionarios, para orientar la conversaci\u00f3n sobre el cumplimiento de requisitos y la mejora de la seguridad. A menudo, la empresa establece puntos de control regulares para responsabilizar a los terceros.<\/p>\n Cualquier oferta de orientaci\u00f3n, formaci\u00f3n y ayuda para obtener tecnolog\u00edas y servicios est\u00e1 dise\u00f1ada en funci\u00f3n de los requisitos prioritarios.<\/p>\n El estudio<\/a> de caso sobre el Proveedor de Atenci\u00f3n M\u00e9dica muestra c\u00f3mo una empresa est\u00e1 reemplazando su cuestionario, que conten\u00eda m\u00e1s de 200 controles autoevaluados, con 19 requisitos validados.<\/p>\n Otro estudio de caso, Empresa de Tecnolog\u00eda B, describe una iniciativa que establece un plazo para la implementaci\u00f3n de un control de alta prioridad.<\/p>\n En lugar de depender de las autoevaluaciones de terceros, las empresas solicitan evidencia de los controles de seguridad, especialmente para terceros cr\u00edticos. Esto puede implicar:<\/p>\n Por ejemplo, en lugar de preguntar “\u00bfTiene mecanismos de autenticaci\u00f3n para gestionar el acceso de los usuarios?”, pueden preguntar, “\u00bfPuede demostrar que todos los usuarios utilizan la autenticaci\u00f3n multifactor (MFA) para acceder a su correo electr\u00f3nico?”.<\/p>\n \u2022 Obtener resultados de pruebas de phishing, an\u00e1lisis de vulnerabilidades y pruebas de penetraci\u00f3n.<\/p>\n \u2022 Obtener documentaci\u00f3n, como planes de respuesta a incidentes y procesos de desarrollo de software.<\/p>\n \u2022 Solicitar verificaciones de un evaluador externo calificado o un auditor certificado que realice una auditor\u00eda en el lugar.<\/p>\n Algunos equipos de seguridad pueden considerar las puntuaciones de los servicios de calificaci\u00f3n de ciberseguridad para prop\u00f3sitos espec\u00edficos y limitados. Por ejemplo, si la puntuaci\u00f3n ha disminuido significativamente, la empresa investigar\u00e1 la causa. Algunas empresas est\u00e1n avanzando hacia el uso de m\u00e9todos automatizados para verificar los controles.<\/p>\n Adem\u00e1s de verificar los controles, las empresas tambi\u00e9n est\u00e1n interesadas en indicadores de capacidad y madurez:<\/p>\n \u00bfTiene el terceros un l\u00edder de seguridad?<\/p>\n \u00bfEl programa est\u00e1 adecuadamente financiado?<\/p>\n \u00bfEl programa est\u00e1 mejorando con el tiempo?<\/p>\n Para protegerse de los inevitables incidentes relacionados con terceros, las empresas est\u00e1n tomando las siguientes medidas:<\/p>\n \u2022 Diversificar proveedores y aumentar el inventario para reducir la interrupci\u00f3n comercial si un proveedor resulta inoperable debido a un ataque.<\/p>\n \u2022 Crear gu\u00edas de respuesta a incidentes para cambiar a proveedores de respaldo despu\u00e9s de un incidente.<\/p>\n \u2022 Desarrollar planes para manejar demandas de rescate. Los atacantes a veces apuntan a terceros con el objetivo de exigir un rescate a su cliente o socio comercial m\u00e1s grande.<\/p>\n \u2022 Realizar una planificaci\u00f3n conjunta de respuesta a incidentes y pruebas con terceros clave.<\/p>\n \u2022 Garantizar que la empresa tenga informaci\u00f3n de contacto actualizada de los l\u00edderes de seguridad de todos los terceros.<\/p>\n \u2022 Fortalecer los mecanismos de supervisi\u00f3n para limitar al m\u00ednimo necesario el intercambio de datos con terceros.<\/p>\n \u2022 Asegurarse de que el acceso de terceros a los sistemas corporativos sea m\u00ednimo y pueda ser terminado r\u00e1pidamente.<\/p>\n \u2022 Colaborar con proveedores de servicios de capacitaci\u00f3n para ofrecer formaci\u00f3n a terceros, en algunos casos ayudando a dise\u00f1ar los materiales de capacitaci\u00f3n y\/o brindando cursos de formaci\u00f3n.<\/p>\n \u2022 Utilizar el poder de compra de la empresa o de la industria para ofrecer tecnolog\u00edas o servicios a un costo m\u00e1s bajo.<\/p>\n \u2022 Sugerir ofertas tecnol\u00f3gicas o de servicios que sean adecuadas para ayudar a sus terceros a cumplir con requisitos de seguridad espec\u00edficos (por ejemplo, ofertas adaptadas a una industria o est\u00e1ndar gubernamental particular).<\/p>\n \u2022 Proporcionar instrucciones amigables para el usuario sobre c\u00f3mo implementar controles de seguridad prioritarios.<\/p>\n \u2022 Desarrollar sistemas de comunicaci\u00f3n para entregar r\u00e1pidamente alertas de seguridad a todos los terceros.<\/p>\n <\/p>\n ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso,\u00a0<\/span>ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso,\u00a0<\/span><\/span><\/p>\n ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, ciso, iso, iso, iso, iso, iso, iso, iso, iso, iso, iso, iso, so, iso,<\/span><\/span><\/span><\/p>\n Proactive DEM para SASE, la pr\u00f3xima evoluci\u00f3n en gesti\u00f3n de experiencia digital 2023<\/a><\/span><\/p>\n Grupo Cuba: Desentra\u00f1ando sus T\u00e1cticas de Ciberdelito 2023<\/a><\/span><\/p>\n Cripto Dusting 2023: \u00bfQu\u00e9 tipo de ataque es?<\/a><\/span><\/p>\n Seguridad en el login en un contexto de IA siglo 21<\/a><\/span><\/p>\nNo reducen el riesgo<\/h4>\n
\n
No proporcionan una medida precisa de la postura de seguridad<\/h4>\n
\n
Derrochan grandes cantidades de tiempo y dinero<\/h4>\n
\n
Carecen de contexto de riesgo cibern\u00e9tico<\/h4>\n
\n
Carecen de estrategias de resiliencia<\/h4>\n
\n
Generan una gran cantidad de trabajo para terceros<\/h4>\n
\n
Crean una enorme duplicaci\u00f3n de esfuerzo para terceros<\/h4>\n
\n
No ayudan a terceros a lograr una seguridad efectiva, como se discute en la siguiente secci\u00f3n<\/h5>\n
Desaf\u00edos de Seguridad en Terceros<\/h3>\n
\n
<\/a>\n
\u00bfC\u00f3mo ser\u00e1 finalmente la gesti\u00f3n avanzada de riesgos de terceros en la seguridad de la informaci\u00f3n?<\/h3>\n
Tipos de Nuevos Enfoques<\/h2>\n
Proporcionar a terceros un conjunto de requisitos de seguridad de alta prioridad.<\/h3>\n
a) Determinar los requisitos de prioridad.<\/h5>\n
Las prioridades se basan en:<\/h6>\n
<\/a>Datos Sensibles<\/strong><\/h6>\n
b) Al trabajar con terceros, centrar los esfuerzos en torno a los requisitos prioritarios<\/h5>\n
2.- Verificar los controles de seguridad para los requisitos prioritarios.<\/h3>\n
Realizar preguntas detalladas<\/h4>\n
\n
Reducir el Impacto de Incidentes en Terceros Incluso terceros que son relativamente s\u00f3lidos en cuanto a seguridad pueden experimentar una violaci\u00f3n de datos.<\/h3>\n<\/li>\n<\/ol>\n
\n
Ayudar a Terceros a Obtener Capacitaci\u00f3n, Tecnolog\u00eda y Servicios de Seguridad Para ayudar a sus terceros a mejorar su seguridad, las empresas est\u00e1n tomando las siguientes medidas:<\/h3>\n<\/li>\n<\/ol>\n
Por Marcelo Lozano – General Publisher IT CONNECT LATAM<\/h5>\n
Lea m\u00e1s sobre Ciberseguridad en:<\/h6>\n