La seguridad de los datos que gestionan las empresas a las que se subcontratan servicios se ha convertido en un tema crítico para las organizaciones de hoy en día. Los ataques que sufren las cadenas de suministro hacen que los riesgos, económicos, normativos y reputacionales, hayan aumentado y, por lo tanto, que se tengan que tomar más medidas para garantizar su protección.

A medida que los procesos de negocio se vuelven más complejos, las empresas recurren a terceros para aumentar su capacidad de servicios críticos, desde almacenamiento en la nube hasta gestión de datos y su seguridad. Esto resulta más eficiente y menos costoso para muchas compañías, si bien también puede conllevar riesgos significativos.

Trabajar con terceros pueden ser una puerta de entrada a vulnerabilidades, accesos no deseados, daños a la reputación si un servicio no funciona correctamente, o incluso conllevar problemas económicos y regulatorios. Una ruptura mal gestionada con un proveedor también puede ser peligrosa, ya que puede provocar la pérdida de acceso a los sistemas ya instalados, de la custodia de los datos o de los propios datos.

Ante los riesgos de seguridad que pueden conllevar estos terceros, como se ha visto con el aumento de los ciberataques a las cadenas de suministro, las empresas están prestando cada vez más atención a esta problemática.

Una encuesta realizada por Gartner apunta que el 73% de los encuestados involucrados en programas de riesgo empresarial señalaron que ahora evalúan la ciberseguridad de manera más rigurosa que en 2019.

Por eso es clave tener en cuenta estos cinco riesgos de seguridad a la hora de trabajar con terceros para evitar incurrir en problemas de ciberseguridad.

Riesgos para la seguridad de los datos de clientes

Los ciberataques indirectos (infracciones a través de terceros) han crecido un 61% en el último año, según e l informe ‘Global Cybersecurity Outlook 2022’ del Foro Económico Mundial. Una de las razones por las que esto ocurre es que muchas empresas no tienen los controles adecuados de gestión de accesos y aprovisionamiento para eliminar de manera efectiva a los proveedores externos.

Esto deja la puerta abierta para los ciberdelincuentes que buscan cuentas antiguas que aún están activas para llevar a cabo sus amenazas. De esta forma, pueden abusar de los datos obtenidos de infracciones de terceros para realizar diversas actividades maliciosas, incluido el robo de identidad, el fraude, el abuso de cuentas y los ataques de apropiación de cuentas externas.

La implementación de un enfoque de defensa en profundidad para limitar el acceso de un tercero a la red es fundamental. Las empresas deben examinar completamente a todos los proveedores externos antes de permitirles el acceso a sus sistemas, y así garantizar que hayan implementado los protocolos de seguridad adecuados.

Riesgos financieros

El coste de las intrusiones puede muy alto y los seguros no siempre cubren las infracciones si las empresas no protegen sus sistemas de forma adecuada.

El impacto financiero es crítico para muchas organizaciones, pero también los daños en la reputación, que puede llevar a la pérdida de clientes y de su confianza, lo que deriva en una pérdida económica.

Además, reemplazar clientes tampoco es una tarea fácil, con lo que el impacto económico es de gran magnitud y puede prolongarse más de lo deseado.

indice confianza digital privacidad estudio encuesta 2021 okta ciberseguridad reportaje noticia usuarios pandemia marketing brecha de datos filtración bit life bitlife media

Riegos de daños reputacionales

Si bien es posible que no se haya producido una infracción dentro de una organización, que lo sufra un servicio de terceros que involucre sus datos o de los clientes requiere tener que notificar los daños sufridos.

La publicidad negativa del incumplimiento de un proveedor de servicios puede dañar el buen nombre o la reputación de una empresa, y esta percepción pública desfavorable acarrea importantes consecuencias.

Hay que tener en cuenta que, por lo general, los clientes no ven quién presta el servicio, sino cómo funciona, si se ajusta a sus necesidades y a quién lo han contratado. Por lo tanto, si un tercero al que se ha subcontratado un servicio sufre un incidente, el cliente solo percibirá el problema por parte del proveedor contratado inicialmente, no del que realmente lo ha sufrido.

Muchas organizaciones toman medidas proactivas para garantizar que sus terceros sean custodios de datos efectivos. Sin embargo, cuando un tercero viene con su propia cadena de suministro de proveedores, las cosas se complican mucho más.

A medida que avanza en la línea de proveedores, y los proveedores de los proveedores, puede ser difícil tener una idea de todas estas entidades y la madurez de los programas de riesgo de terceros que protegen los datos confidenciales con el nivel de rigor se requiere.

Riesgos geopolíticos

La guerra en Ucrania ha puesto de relieve la necesidad de que las organizaciones supervisen muy de cerca los acontecimientos políticos y estén preparadas para actuar en situaciones volátiles. Las organizaciones necesitan asegurarse de que han cesado todas las actividades de proveedores, socios y empresas conjuntas en jurisdicciones sujetas a sanciones.

Sin embargo, este conflicto, y las sanciones asociadas de Rusia y Bielorrusia no son los únicos riesgos geopolíticos a tener en cuenta. Los proveedores con operaciones en países propensos a la volatilidad del régimen, como golpes militares, levantamientos violentos y opresión de minorías de manera sistémica, requieren una cuidadosa y continua monitorización.

La volatilidad política suele ir acompañada de una proliferación del ciberespionaje de los estados-nación. Las organizaciones deben asegurarse de que sus proveedores externos examinen minuciosamente a sus contratistas en busca de conexiones con gobiernos.

Y es que, las empresas, sin saberlo, pueden contratar empleados que trabajan para algunos estados aprovechando su acceso privilegiado para llevar a cabo intrusiones maliciosas desde adentro de las propias compañías.

Riesgos de cumplimiento normativo

Los proveedores externos también exponen a las organizaciones a riesgos de cumplimiento cuando violan las leyes gubernamentales, las regulaciones de la industria o los procesos internos de las empresas. El incumplimiento de los proveedores podría someter a las empresas que los contratan a grandes sanciones económicas.

Por ejemplo, las organizaciones deben verificar que sus proveedores externos cumplen con el estándar de auditoría SOC2. Éste tiene como objetivo garantizar que los terceros protegen los datos confidenciales de sus clientes del acceso no autorizado.

Asimismo, las organizaciones también deben asegurarse de que los terceros cumplen con las leyes de privacidad y seguridad, como los requisitos del Reglamento General de Protección de Datos (RGPD) de la Unión Europea.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre