La conveniencia de la era digital es una espada de dos filos. Por un lado, una mayor conectividad es una clara ventaja. Por otro lado, los activos generalizados le brindan menos visibilidad sobre la postura de seguridad de cada uno. Es un escenario del tipo “no puedo vivir con él, no puedo vivir sin él” con el que las empresas tendrán que lidiar. El riesgo de los proveedores externos representa una amenaza crítica, y aquellos que evolucionan para superarlo son los que lo entienden por dentro y por fuera.
El riesgo de los proveedores externos
Para entender la tendencia, volvamos a empezar unos años atrás. Los ataques a la cadena de suministro experimentaron un aumento del 300 % en 2021, y Forrester predijo que en 2022 se verían 6 de cada 10 incidentes de seguridad provenientes de terceros.
Un estudio internacional de KPMG reveló que casi tres de cada cuatro encuestados habían experimentado al menos una interrupción significativa causada por un tercero en los últimos tres años. No es sorprendente que, según el mismo estudio, la cantidad de empresas que examinarán a todos los terceros por riesgo aumentará a una de cada tres para 2025. Y un informe de inteligencia sobre amenazas de Intel471 sitúa en más de la mitad (51%) el número de organizaciones que han sufrido una violación de datos provocada por terceros.
Otro problema es que la definición de ‘tercero’ es más extensa de lo que la mayoría de las empresas pueden pensar. Como comentó Alla Valente , analista sénior de Forrester, a raíz de Log4j, se recordó nuevamente a las empresas que «el software de código abierto es software de terceros». El código del sistema operativo es ampliamente utilizado por las empresas nativas de la nube más nuevas, y estas nuevas empresas inteligentes encuentran su camino en la cadena de suministro de software o actúan como centros. Los errores latentes del sistema operativo podrían implementarse dentro del nuevo software, como resultado de la brecha en la cadena.
“Los terceros son fundamentales para que su negocio logre sus objetivos, y cada tercero es un conducto para la infracción y un vector de ataque. Por lo tanto, si sus terceros no pueden funcionar debido a un ciberataque, incidente o interrupción operativa, esto afectará su negocio”, explicó Valente. “Es una gran preocupación ya que las empresas no pueden simplemente dejar de trabajar con terceros”, señaló que muchas empresas pasaron de la eficiencia ‘justo a tiempo’ a la resiliencia ‘por si acaso’ después de la pandemia. Con este fin, las empresas contrataron una gran cantidad de proveedores externos para lograr esos objetivos. Ahora, esas decisiones de modo de emergencia están fracasando.
Los terceros siempre presentan un riesgo de seguridad, ya que sus hábitos de seguridad individuales son un misterio. ¿Encajan con los tuyos? ¿Cumplen con los mismos estándares? Y si no lo son, ¿cómo podemos saberlo?
Mejores prácticas de seguridad
Hay formas de mantenerse fuera de la zona de peligro de terceros. Esta marca de mejores prácticas de seguridad puede requerir más diligencia de la que están acostumbradas algunas empresas, pero la alternativa es equivalente a llevar una bomba de relojería.
Anidadas en la Gestión de riesgos cibernéticos de terceros (TPRM), existen varias mejores prácticas clave para mitigar el riesgo de terceros.
- Revisar con frecuencia las políticas de gestión de terceros | Según el mismo informe, menos de la mitad (43%) realizó este paso con regularidad. La automatización de las políticas de administración de terceros es una forma útil de mantenerse al tanto de esto.
- Aprenda de las infracciones de terceros | ¿Qué los causó? ¿Qué se aprendió de eso? ¿Cómo evitará la empresa este tipo de ataques en el futuro? Estas son las preguntas cruciales que redimin el desastre de un ataque y lo convierten en algo que vale la pena.
- Mejore la visibilidad a través de los informes SOC | En una Encuesta de Confianza Digital Global 2022 de PwC, el 75% de los ejecutivos dijeron que sus organizaciones son demasiado complejas, lo que lleva a riesgos de ciberseguridad asociados. Solo uno de cada tres dijo que su comprensión de la parte enésima provenía de una evaluación de toda la empresa; el resto fueron limitados, ad-hoc o inexistentes. Solicitar un informe de Controles de sistemas y organizaciones (SOC) puede proporcionar transparencia en el entorno de control de terceros, incluso cuando se utilizan terceros.
- Aproveche la automatización | Independientemente de cómo lo enfoque, hacer un seguimiento de los socios de enésimo grado será más sostenible con los procesos automatizados en juego. Además de evitar la configuración incorrecta, una política de seguridad automatizada puede “consolidar toda la información relevante para facilitar la comprensión e incluso alertar a las empresas sobre los riesgos emergentes.
- Siga el principio de privilegios mínimos | Siempre que sea posible, mantenga controles de acceso granulares sobre qué información termina en qué manos. Según un estudio de la industria, del 44 % que experimentó un ataque durante el último año, casi tres de cada cuatro dijeron que se debió a que proporcionaron demasiada información a terceros.
El enfoque ZeroFox
Saber que terceros desconocidos conllevan un riesgo inherente es suficiente para que muchas empresas simplemente no salgan a jugar. Sin embargo, Gartner señala que las organizaciones que juegan a lo seguro y se niegan a expandir su ecosistema «probablemente serán superadas por organizaciones que decidan audazmente aprovechar el valor de las relaciones con terceros». Es hacer o morir , pero requiere un vasto conocimiento, supervisión crítica y diligencia.
Ahí es donde entra ZeroFox. Alla Valente de Forrester afirma : «La inversión en tecnología TPRM es alta». En ZeroFox, TPRM significa incorporar inteligencia de terceros en su estrategia y supervisar todos los riesgos de los socios con una plataforma centralizada. La inteligencia de terceros consiste en lo siguiente:
- Evaluación periódica de riesgos
- Revisión de planes de ataque emergentes en la clandestinidad criminal contra su organización o sus afiliados
- Detección y seguimiento en toda la cadena de suministro digital
- Evidencia de una exposición de datos
- La interrupción de la infraestructura del atacante, en última instancia, la prevención de ataques
ZeroFox aprovecha ‘el único lago de datos de amenazas históricamente completo del mundo con campañas de atacantes e historial de infraestructura’ para producir requisitos de seguridad personalizados para su organización. Al combinar el procesamiento de IA, los agentes de operaciones oscuras y las herramientas de aprendizaje profundo, ZeroFox puede analizar conjuntos de datos en la web superficial, profunda y oscura.
Esta visibilidad en profundidad se extiende más allá de su propia red y en las redes responsables de sus terceros y enésimos terceros, proporcionando una imagen más completa de su carga de riesgo total a medida que se enfrenta a socios y proveedores en todo el mundo. Y presenta esta imagen en una solución de ciberseguridad externa completa que no solo proporciona información sobre amenazas, sino también protección, interrupción y respuesta.
La plataforma ZeroFox unifica el descubrimiento de activos, la protección de riesgos digitales, la inteligencia de amenazas de espectro completo , la política y el análisis de seguridad, la notificación/flujo de trabajo de alerta, la interrupción del adversario y los informes, consolidando todos los elementos de su programa TPRM en un sistema integral.
Mantenerse al día con los objetivos comerciales en expansión no debería significar quedarse atrás en seguridad. Con ZeroFox, nunca lo hará.
Para más información, haga click aquí.