Fortaleciendo la cadena de suministro: Ciberseguridad para la gestión de riesgos de terceros

Uno de los desafíos de una organización a la hora de definir una estrategia de ciberseguridad es determinar el perímetro a proteger.

María Pilar Torres Bruna, Head de Ciberseguridad de Iberia y Latinoamérica para NTT DATA. Foto: NTT Data. Portal ERP LATAM

Migrar parte de la organización a la nube desdibujó un perímetro que estaba bien definido, y el teletrabajo incrementó esa percepción. Hay un tercer factor clave en la ciberseguridad de nuestras organizaciones, y son nuestros terceros. Algunos de ellos son críticos para poder realizar nuestro negocio y para ello, sus sistemas se integran en mayor o menor medida con los nuestros. ¿Cómo aseguramos que no suponen un nuevo vector de ataque para nosotros?

La "Seguridad en terceros" se refiere a la gestión de los riesgos asociados con los proveedores, socios y cualquier entidad externa que tenga acceso a los sistemas, datos o recursos críticos de una organización. Para conseguir una correcta gestión de estos riesgos, hay varios roles, además del CISO, que deben ser conscientes de su importancia y que tienen que definir controles o conocerlos para que estos se implanten. Los departamentos de compras, de negocio, u otros departamentos específicos, como jurídico, deben incorporar controles de seguridad en sus servicios y entenderlos como no negociables.

Te puede interesar: NTT DATA cierra la adquisición de Niveus Solutions

Los acuerdos contractuales permiten establecer las bases de seguridad que la compañía compradora de servicios necesita para proteger su información y su negocio, y ayudan a definir claramente las responsabilidades y expectativas de ambas partes en cuanto a la protección de datos y la gestión de riesgos. Además, los acuerdos contractuales facilitan la gestión de la relación con los proveedores, asegurando que se mantenga un nivel adecuado de seguridad de la información a lo largo del tiempo. Esto debe comprobarse mediante auditorías periódicas al tercero.

Finalmente, es importante establecer una revisión y actualización periódica de los contratos para adaptarse a nuevos riesgos y cambios en la normativa. Igualmente, que los proveedores entiendan los mínimos de seguridad que les van a exigir les permite dimensionar los servicios de una forma mucho más precisa.

¿Y por qué esto es importante en este momento? Se considera que los ataques a la cadena de suministro se convertirán en una de las principales amenazas este año.

Escalará el número de ataques identificados, sobre todo en infraestructura crítica y sectores industriales, así como a entornos en la nube mediante la implementación de gusanos nativos específicamente desarrollados para entornos de este tipo.

Actualmente, ya existe un gran número de ataques a organizaciones que se dan a través de los terceros. Las grandes compañías hacen una inversión grande en ciberseguridad, y ya es más difícil explotar un vector de ataque. Sin embargo, sus proveedores o partners pueden ser empresas más pequeñas y que quizá disponen de una menor inversión en ciberseguridad. En ese caso, un camino para los atacantes puede ser entrar a una de estas empresas y una vez dentro, escalar para llegar al objetivo.