Muchas empresas dependen en gran medida de compañías externas. Sin embargo, estos proveedores también pueden introducir riesgos de ciberseguridad si sus sistemas y políticas no se investigan adecuadamente.
Las recientes violaciones de datos de gran repercusión han demostrado que los atacantes a menudo obtienen acceso a través de vulnerabilidades en la cadena de suministro o la red de socios de una empresa. Por eso, evaluar y supervisar a fondo a los proveedores externos es fundamental para gestionar los riesgos cibernéticos de terceros. Este artículo proporciona las mejores prácticas para evaluar a los posibles proveedores con el fin de minimizar la exposición al riesgo.
Verificación de antecedentes
Realizar comprobaciones exhaustivas de los antecedentes de los proveedores proporciona información inicial vital sobre el historial de seguridad y la fiabilidad de un proveedor. Realiza búsquedas exhaustivas sobre el nombre de la empresa para descubrir cualquier incidente de seguridad, problema legal o comportamiento poco ético que pueda hacer sonar las alarmas.
También es importante realizar comprobaciones exhaustivas sobre los ejecutivos clave y el personal de ciberseguridad, incluidos los antecedentes penales, el historial laboral y la verificación de cualificaciones. Averigüa si la empresa selecciona adecuadamente a sus empleados mediante comprobaciones de antecedentes y verificación de empleo. Examina de cerca los estados financieros y los recursos del proveedor para determinar si es capaz de mantener una seguridad eficaz y cumplir las obligaciones contractuales a largo plazo.
Las comprobaciones detalladas de los antecedentes pueden revelar información crítica como la rotación del personal cibernético, infracciones de la normativa, demandas judiciales y problemas financieros que pueden indicar que el proveedor plantea riesgos cibernéticos significativos.
Cuestionarios y evaluaciones
Cuando se evalúa a un proveedor potencial, es esencial hacerle completar un cuestionario o una evaluación de ciberseguridad detallados. Esto proporciona visibilidad sobre sus prácticas y postura de seguridad. Es esencial salvaguardar las comunicaciones tanto internas como externas. Esto es especialmente cierto cuando una empresa se encarga de gestionar y verificar las identidades digitales, así como de automatizar, autenticar y cifrar los datos intercambiados a través de múltiples plataformas. Estos pasos son cruciales para generar confianza entre una empresa, sus clientes y cualquier parte interesada.
Algunas de las preguntas clave que hay que hacerse son:
- ¿Disponen de una política de seguridad formal que se revise y actualice periódicamente?
- ¿Qué controles técnicos utilizan (firewalls, detección de intrusos, cifrado, autenticación multifactor, etc.)?
- ¿Existen procedimientos definidos de respuesta a incidentes, recuperación en caso de catástrofe y continuidad de la actividad?
- ¿Han obtenido alguna certificación de seguridad reconocida, como la ISO 27001, o un informe de auditoría SOC 2?
- ¿Cómo seleccionan a sus propios empleados y limitan el acceso a datos sensibles?
- ¿Proporcionan formación sobre seguridad?
Conocer de antemano las normas de seguridad, el cumplimiento y las capacidades del proveedor es crucial para determinar los riesgos potenciales. El seguimiento es clave si las respuestas son vagas o insatisfactorias.
Utilizar asistentes virtuales
Los equipos de seguridad suelen estar sobrecargados, por lo que recurrir a asistentes virtuales puede ayudar a agilizar el proceso de investigación de proveedores. Los asistentes virtuales pueden llevar a cabo una investigación inicial sobre los proveedores, recopilando información sobre sus capacidades, reputación y riesgos potenciales mediante búsquedas exhaustivas en Internet.
Pueden ayudar a organizar y enviar cuestionarios de seguridad, haciendo un seguimiento de las respuestas poco claras o incompletas. A la hora de revisar contratos y acuerdos, las VA (Asistentes virtuales) pueden señalar áreas preocupantes para llamar la atención del equipo de seguridad, como las cláusulas de protección de datos. Las VA también pueden contribuir a la supervisión continua creando alertas de incidentes de seguridad o cambios que requieran atención.
Los equipos de seguridad aportan la estrategia y el criterio, mientras que las VA se encargan de las tareas de investigación, seguimiento y supervisión, que consumen mucho tiempo. Esto permite a los profesionales de la seguridad centrar su limitado tiempo en los proveedores de mayor riesgo, al tiempo que se benefician del incansable apoyo de asistentes virtuales capaces.
Auditorías y visitas in situ
No te fíes sólo de la palabra de un proveedor cuando se trate de tu postura de seguridad. Valida sus afirmaciones realizando auditorías e inspecciones in situ. Programa visitas para ver de primera mano cómo aplica el proveedor controles de seguridad como restricciones de acceso físico, configuraciones de firewalls, procedimientos de selección de empleados y cifrado de datos.
Si un proveedor tiene una oficina remota, asegúrate de que cumple las normas de privacidad y seguridad recomendadas. Si la responsabilidad de la gestión de los datos de la empresa recae en tu negocio, da prioridad a cuestiones como:
- Autenticación fuerte de los usuarios
- Sistemas de correo electrónico seguros para evitar ataques de malware/ransomware
- Mantenerse alerta ante las estafas de phishing.
Solicita informes de auditoría internos y externos que puedan verificar el cumplimiento de las políticas, la obtención de certificaciones de seguridad y si se identificaron problemas. Si el proveedor maneja datos confidenciales, exígele que obtenga un informe de auditoría SOC 2 independiente sobre sus prácticas de seguridad.
Las auditorías bien documentadas realizadas por profesionales cualificados garantizan la existencia de controles adecuados. Además, realiza escaneos de vulnerabilidad y pruebas de penetración para revelar cualquier debilidad explotable. Descubre las deficiencias a tiempo y no después de una brecha. Las auditorías y las visitas in situ son muy valiosas para conocer la seguridad real del proveedor.
Supervisión continua
El proceso de investigación de proveedores no termina una vez que se incorporan. Para gestionar los riesgos cibernéticos de terceros, es esencial la supervisión continua de la seguridad de los proveedores. Establece procedimientos de comprobación y revisión periódicas para verificar que los proveedores cumplen las políticas y los requisitos de seguridad contractuales.
Exige a los proveedores que presenten auditorías y certificaciones de seguridad actualizadas anualmente. Envía periódicamente nuevos cuestionarios de ciberseguridad y realiza evaluaciones in situ para comprobar que los controles de seguridad siguen cumpliendo las normas exigidas. Supervisa las violaciones de datos o de cumplimiento que impliquen al proveedor. Establece alertas utilizando el nombre y dominio de la empresa para recibir notificaciones sobre posibles incidentes o prensa negativa.
Considera la posibilidad de exigir evaluaciones de riesgos antes de que los proveedores introduzcan cambios tecnológicos importantes. Los procedimientos de control de cambios deben exigir la aprobación del equipo de seguridad. Supervisa la salud financiera para detectar condiciones que impidan el cumplimiento de las obligaciones de seguridad. La supervisión proactiva de los proveedores permite abordar los problemas antes de que se produzca una infracción. No dé por sentado que la seguridad de los proveedores evaluada en el momento de la incorporación se mantendrá indefinidamente sin supervisión. Una supervisión diligente es vital para gestionar los riesgos cibernéticos de terceros en constante evolución.
En conclusión
Dado que las empresas están cada vez más interconectadas a través de asociaciones digitales y relaciones con proveedores, la gestión de los riesgos cibernéticos de terceros se ha convertido en un imperativo. Las empresas ya no pueden centrar sus esfuerzos en la seguridad únicamente a nivel interno; las vulnerabilidades introducidas por proveedores y socios proporcionan vectores de ataque atractivos para los actores de amenazas. Por eso es fundamental adoptar un enfoque proactivo para investigar y supervisar a las entidades externas.
La realización de evaluaciones detalladas mediante cuestionarios, comprobaciones de antecedentes y auditorías in situ proporciona visibilidad sobre las políticas de seguridad, los controles y el cumplimiento de los proveedores. La revisión de los contratos garantiza la codificación de los requisitos de seguridad. La supervisión continua ayuda a detectar los problemas que surgen después de la incorporación. Aunque es esencial, la gestión de la seguridad de los proveedores pone a prueba a unos equipos de ciberseguridad ya sobrecargados.
Los asistentes virtuales pueden proporcionar una ayuda inestimable encargándose de tareas tediosas pero necesarias, como la investigación, las evaluaciones y la supervisión. Con una investigación rigurosa de los proveedores y las mejores prácticas de supervisión, las empresas pueden contratar servicios y tecnologías externas minimizando su exposición. Hay demasiado en juego como para descuidar la evaluación de terceros. Un proveedor comprometido es un trampolín para comprometer catastróficamente tu negocio.
Nota: Este artículo del blog ha sido escrito por un colaborador invitado con el fin de ofrecer una mayor variedad de contenidos a nuestros lectores. Las opiniones expresadas en este artículo de autor invitado son exclusivamente las del colaborador y no reflejan necesariamente las de GlobalSign.