¿Cómo evaluar el ciberriesgo al que nos exponen nuestros proveedores?

Conocer qué tan seguras son las terceras partes que conforman nuestra cadena de valor no es algo menor, pues cada vez se conocen más noticias de grandes empresas que han sido vulneradas a pesar de contar con robustas estrategias de seguridad.

¿Por qué? Los ciberdelincuentes siempre están buscando aprovechar brechas de seguridad, y han descubierto que, usando ingeniería social y otras técnicas pueden conocer qué organizaciones se interconectan con la nuestra y atacarlas para acceder a nuestra red e información. 

Algunos de los ciberriesgos asociados a terceras partes son:

  • Proveedores y servicios prestados por terceros (desde limpieza de oficinas hasta ingeniería de software) con acceso físico o virtual a sistemas de información, código de software o IP.
  • Malas prácticas de seguridad o la falta de una política de ciberseguridad de la información por parte de proveedores.
  • Software o hardware comprometido, comprado a proveedores.
  • Hardware manipulado o con malware incorporado.
  • Almacenamiento de datos en terceros.

Inicialmente, es natural planificar la prevención desde nuestro propio negocio, descuidando en ocasiones cuáles son los mecanismos de ciberseguridad utilizados por los proveedores o aliados estratégicos, por esto, un puntaje de ciberseguridad se ha convertido en algo tan importante como un puntaje de crédito en el momento de establecer alianzas comerciales o de prestación de servicios.

Para empezar, necesitás tener en claro estos tres principios que te guiarán en la adecuada gestión de riesgos existentes para tu empresa en lo que refiere a las prestaciones o servicios de terceros: 

  • Desarrollar la defensa sabiendo que tus sistemas serán vulnerados: Y no exclusivamente a través de los canales de la empresa. Lo primero que tenés que pensar es que la materialización de un riesgo es imposible de evitar, y basados en este supuesto es que debemos tomar las decisiones presentes y futuras. Ya no se trata solo de ¿Cómo evitar que me vulneren? Sino ¿Cómo reducir la capacidad que tiene un atacante para explotar la información a la que ya ha accedido y cómo recuperarme del ciberataque?
  • Las personas y la ciberseguridad: Ya no se trata de evitar vulnerabilidades meramente tecnológicas, pues muchas veces el riesgo se materializa como consecuencia de un error humano. Por lo mismo, es indispensable que tanto nuestros colaboradores como aquellos de los aliados estratégicos y proveedores protejan nuestra información crítica, siguiendo las recomendaciones, buenas prácticas y los estándares definidos para cada proceso.  
  • Seguridad es seguridad: No tendría que existir una brecha entre la seguridad física y la virtual, sin embargo, en ocasiones se explotan fallas en la seguridad física para lanzar ataques cibernéticos, del mismo modo que un atacante busca vulnerabilidades informáticas para llegar a una ubicación física restringida.

En NextVision, conscientes de la importancia de establecer acciones que permitan medir y evaluar las brechas de seguridad que pueden existir en las terceras partes que están interconectadas a tu organización, desarrollamos NV Vendor Risk Management, una herramienta que permite medir la reputación de una empresa con relación a la ciberseguridad, para detectar y mitigar riesgos:

  • Evaluamos los factores de riesgo (deep, dark y clear web): Nos colocamos en el lado de los ciberdelincuentes teniendo acceso a la información pública de tu empresa a fin de descubrir potenciales riesgos.        
  • A partir de diferentes categorías, otorgamos un puntaje a la organización: Esto a partir de una evaluación a la Seguridad de Aplicaciones, Seguridad de Red, Seguridad de Endpoints, Ingeniería Social, Hacker Chatter, Seguridad DNS, Credenciales Filtradas, Parcheo de Vulnerabilidades, Reputación de IP, implementación de buenas prácticas, entre otros.
  • Realizamos un plan de acción y gestionamos incidentes: Cooperamos con los CISOs facilitándoles un reporte ejecutivo para presentar a alto nivel. Además, generamos informes cada mes para analizar y mejorar el puntaje de ciberseguridad de la compañía.
  • Generamos valor a través de un equipo de expertos: Ofrecemos este servicio con un equipo de profesionales en ciberseguridad, utilizando una solución tecnológica SaaS líder en Vendor Risk Management, Scoring y reconocida por Gartner. 

Como vemos, para lograr una gestión integral de la ciberseguridad no solo debemos controlar las variables propias de nuestro negocio, sino también considerar a aquellos que te aprovisionan de bienes y servicios, que al final terminan siendo parte de tu compañía.

El 97% de los ataques pueden ser controlados con una buena administración de las herramientas tecnológicas y la adecuada educación de los usuarios ¡Queremos ayudarte a gestionar los ciberriesgos de manera inteligente! Contactanos.