[21/02/2023] A medida que los procesos empresariales se vuelven más complejos, las empresas recurren a terceros para aumentar su capacidad de prestar servicios críticos, desde el almacenamiento en la nube hasta la gestión de datos y la seguridad. A menudo resulta más eficaz y menos costoso contratar a quienes pueden hacerlo por usted para realizar tareas que, de otro modo, requerirían un esfuerzo considerable y podrían agotar los recursos internos.
El uso de servicios de terceros también puede conllevar riesgos importantes, a menudo imprevistos. Los terceros pueden ser una puerta de entrada para intrusiones, dañar la reputación de una empresa si un servicio funciona mal, exponerla a problemas financieros y normativos, y atraer la atención de malos actores de todo el mundo. Una ruptura mal gestionada con un proveedor también puede ser peligrosa, ya que puede provocar la pérdida de acceso a los sistemas implantados por el tercero, la pérdida de la custodia de los datos o la pérdida de los propios datos.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Las empresas están prestando más atención a los riesgos de ciberseguridad, según Luke Ellery, analista de Gartner. La encuesta de Gartner 2022 Risk Assessments in a Volatile World reveló que el 73% de los encuestados involucrados en programas de riesgo empresarial dijeron que ahora evalúan la ciberseguridad de manera más rigurosa en comparación con el 2019.
Aumenta la confianza en los servicios de terceros
"El enfoque en terceros se acentúa en este contexto, ya que las organizaciones dependen cada vez más de terceros, como proveedores de tecnología y de la nube, que almacenan datos confidenciales o acceden a sistemas críticos", afirma Ellery. "Este riesgo es mayor si los controles de ciberseguridad del tercero son deficientes. También existe el riesgo de que los propios proveedores del tercero se vean comprometidos. Si los datos o sistemas se ven comprometidos, el impacto podría incluir daños a la marca y a la reputación, multas o sanciones legales y reglamentarias, y costos de reparación".
El uso de terceros es una necesidad ampliamente aceptada por muchas empresas, afirma Hanne McBlain, directora senior de la empresa de investigación y asesoramiento tecnológico ISG, pero es necesario gestionarlos de forma continua. Las asociaciones con terceros conllevan riesgos empresariales inherentes al trasladar aspectos del control más allá de las paredes de la empresa. Esto adquiere una urgencia especial si se tiene en cuenta que el 98% de las organizaciones mundiales estaban conectadas con al menos un proveedor externo que ha sufrido una violación en los últimos dos años, afirma Caleb Merriman, CISO de Deltek, proveedor de software para empresas basadas en proyectos.
Estos son los cinco principales riesgos de ciberseguridad a los que le exponen los servicios de terceros:
Datos de clientes y empresas comprometidos por ciberataques
Los ciberataques indirectos -infracciones exitosas que llegan a las empresas a través de terceros- aumentaron del 44% al 61% en los últimos años, según el Global Cybersecurity Outlook 2022 del Foro Económico Mundial. Una de las razones por las que esto ocurre es que muchas empresas no disponen de los controles adecuados para dar de baja de forma efectiva a proveedores externos, afirma Peter Tran, director de seguridad de la información (CISO) de la consultora de seguridad y TI InferSight. "No disponen de procesos para controlar los derechos de gestión de acceso y el aprovisionamiento que tienen estas cuentas, lo que deja la puerta abierta a los ciberatacantes que buscan cuentas antiguas que aún estén activas", afirma.
Según Ariel Weintraub, CISO de MassMutual, las amenazas pueden abusar de los datos obtenidos de filtraciones de terceros para llevar a cabo diversas actividades maliciosas, como el robo de identidades, el fraude, el abuso de cuentas y los ataques de apropiación de cuentas externas. Las amenazas suelen utilizar credenciales comprometidas y datos procedentes de filtraciones de terceros o incluso de cuartos para acceder a los entornos de otras víctimas.
"Un tercero puede ser atacado mientras aloja los datos de una empresa o un atacante ataca primero al tercero, y luego lo utiliza para llegar a sus sistemas informáticos", afirma Michael Orozco, analista de ciberseguridad de MorganFranklin. Afirma que la diligencia debida y la supervisión continua de las vulnerabilidades a lo largo del ciclo de vida del proveedor ayudarán a reducir ese riesgo.
Aplicar un enfoque de defensa en profundidad para limitar el acceso de terceros a la red de una organización es fundamental para evitar que los adversarios obtengan una escalada de privilegios, afirma Weintraub. Por ello, las empresas deben investigar a fondo a todos los proveedores externos antes de permitirles el acceso a sus sistemas, para asegurarse de que han implantado los protocolos de seguridad adecuados. "Los terceros son siempre una preocupación cuando se trata de quién tiene nuestros datos; por eso evaluamos continuamente a los terceros nuevos y existentes de forma proporcional al riesgo cibernético para la empresa".
Riesgo financiero por costos de incidentes y pérdida de negocio
El costo de las intrusiones puede ser increíblemente caro y los seguros de ciberseguridad no siempre cubren las infracciones si las empresas no están protegiendo sus sistemas de la forma adecuada, afirma Jay Pasteris, CISO y CIO de la empresa de servicios gestionados GreenPages. "El impacto financiero es lo que va a perder, pero también va a tener daños en la reputación de la organización", anota. "Va a perder clientes. Va a perder la confianza de los nuevos clientes, ha perdido la confianza de los clientes existentes, por lo tanto, estás perdiendo una fuente de ingresos.... Y reemplazar a un cliente existente cuesta mucho dinero. Así que el impacto financiero se acumula muy rápido".
Daños a la reputación y pérdida de confianza de los clientes
Aunque una violación puede no haberse producido dentro de las cuatro paredes de una empresa, una violación en un servicio de terceros que afecte a los datos de la empresa cliente o a sus clientes, esa empresa puede tener que hacer una declaración o notificar a las personas como resultado. "Debido a este impacto posterior, las repercusiones en la reputación pueden superar con creces los daños financieros", afirma Weintraub.
La publicidad negativa derivada de la infracción de un proveedor de servicios puede dañar el buen nombre o la reputación de una empresa, y la percepción pública desfavorable de una empresa puede comenzar con problemas originados por un tercero de su lista de proveedores. Las quejas de los clientes sobre un servicio prestado por un tercero son un buen indicio de que existe un problema potencial, afirma Orozco. "Los clientes no ven que su montaje, su producto, sus servicios, su capacidad de interactuar con ellos están respaldados por terceros", indica. "Solo ven su nombre, su marca y su incapacidad para satisfacer el compromiso [que ha adquirido con ellos]".
Muchas organizaciones toman medidas proactivas para garantizar que sus terceros sean custodios eficaces de los datos. Sin embargo, cuando un tercero viene con su propia cadena de suministro de proveedores, las cosas se complican mucho más, sostiene Weintraub. "A medida que se avanza en la cadena de proveedores y de los proveedores de los proveedores, puede resultar difícil conocer todas estas entidades y la madurez de los programas de riesgo de terceros que protegen los datos confidenciales con el nivel de rigor que se espera", afirma.
Riesgo geopolítico
Según McBlain, la guerra de Ucrania ha puesto de relieve la necesidad de que las organizaciones sigan muy de cerca los acontecimientos políticos y estén preparadas para actuar en situaciones volátiles. Las organizaciones necesitan asegurarse de que han cesado todas las actividades de proveedores, socios y empresas conjuntas en jurisdicciones sujetas a sanciones.
"Sin embargo, la guerra de Ucrania y las sanciones asociadas de Rusia y Bielorrusia no son los únicos riesgos geopolíticos a tener en cuenta", afirma. "Los proveedores con operaciones en países propensos a la volatilidad del régimen, como golpes militares, levantamientos violentos y opresión de las minorías de forma sistémica, requieren una supervisión cuidadosa y continua."
La volatilidad política a menudo viene acompañada de una proliferación del ciberespionaje de los estados-nación. Las organizaciones deben asegurarse de que sus proveedores externos investigan a fondo a sus contratistas para detectar conexiones con gobiernos conocidos por participar en tales actos, anota Weintraub. "Los terceros pueden contratar sin saberlo a teletrabajadores informáticos autónomos que han sido enviados por naciones-estado para generar ingresos para el régimen autoritario del país u obtener acceso a las redes corporativas", afirma. "Aunque es posible que no realicen ninguna actividad cibernética maliciosa mientras desempeñan su trabajo, pueden utilizar su acceso privilegiado para permitir intrusiones cibernéticas maliciosas desde el interior. Esto dificulta la detección de actividades maliciosas".
Riesgo de cumplimiento normativo
Los proveedores externos también exponen a las organizaciones al riesgo de cumplimiento cuando infringen las leyes gubernamentales, las normativas del sector o los procesos internos de las empresas. El incumplimiento por parte de los proveedores podría someter a las empresas que los contratan a cuantiosas sanciones monetarias.
Por ejemplo, las organizaciones deben comprobar que sus proveedores externos cumplen la norma de auditoría SOC2. SOC2 pretende garantizar que los terceros protejan los datos confidenciales de sus clientes de accesos no autorizados. Las organizaciones también deben asegurarse de que los terceros cumplan con las leyes de privacidad y seguridad, como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea y la Ley de Derechos de Privacidad de California (CPRA), requisitos, dice.
"El cumplimiento es un riesgo enorme", señala Pasteris. "Usted puede estar en cumplimiento y tener los controles necesarios en su lugar, pero de repente agrega estos terceros a la mezcla, y si no está evaluando [si tienen controles en su lugar], podría estar violando su postura de cumplimiento".
Basado en el artículo de Linda Rosencrance (CSO) y editado por CIO Perú
Puede ver también: