Si busca en Google «violaciones de datos de terceros», encontrará muchos informes recientes de filtraciones de datos que fueron causadas por un ataque a un tercero o que se expuso información confidencial almacenada en una ubicación de terceros. Las violaciones de datos de terceros no discriminan por industria porque casi todas las empresas operan con algún tipo de relación con el proveedor, ya sea un socio comercial, un contratista o un revendedor, o el uso de software o plataforma de TI, u otro proveedor de servicios. Las organizaciones ahora comparten datos con un promedio de 730 proveedores externos, según un informe de osanoy con la aceleración de la transformación digital, ese número solo crecerá.
La importancia de la gestión de riesgos de terceros
Con más organizaciones compartiendo datos con más proveedores externos, no debería sorprender que más del 50 % de los incidentes de seguridad en los últimos dos años se hayan originado en un tercero con privilegios de acceso, según un Informe de la Alianza de Riesgo Cibernético.
Desafortunadamente, aunque la mayoría de los equipos de seguridad están de acuerdo en que la visibilidad de la cadena de suministro es una prioridad, el mismo informe señala que solo el 41 % de las organizaciones tiene visibilidad de sus proveedores más críticos y solo el 23 % tiene visibilidad de todo su ecosistema de terceros.
Los motivos de la falta de inversión en la gestión de riesgos de terceros (TPRM) son los mismos que escuchamos constantemente: falta de tiempo, falta de dinero y recursos, y es una necesidad empresarial trabajar con el proveedor. Entonces, ¿cómo podemos hacer que sea más fácil superar las barreras para administrar el riesgo cibernético de terceros? Automatización.
Los beneficios de la automatización
La automatización permite a las organizaciones hacer más con menos. Desde una perspectiva de seguridad, estos son solo algunos de los beneficios que brinda la automatización, como destacado por Graphus:
- 76 % de los ejecutivos de TI en una encuesta de ciberseguridad dijo que la automatización maximiza la eficiencia del personal de seguridad.
- La automatización de la seguridad puede ahorra más del 80% sobre el costo de la seguridad manual.
- 42% de las empresas citó la automatización de la seguridad como un factor importante en su éxito al mejorar su postura de ciberseguridad.
Con respecto a TPRM, la automatización puede transformar su programa al:
Paso 1: evalúe a sus proveedores con la gestión continua de exposición a amenazas (CTEM)
Las evaluaciones continuas de exposición a amenazas incluyen evaluaciones integrales que incorporan lo siguiente:
- Descubrimiento automatizado de activos
- Evaluaciones de red/infraestructura externa
- Evaluación de seguridad de aplicaciones web
- Análisis informado de inteligencia de amenazas
- Hallazgos de la web oscura
- Clasificación de seguridad más precisa
Este es un análisis más completo de terceros en comparación con solo enviar cuestionarios. Un proceso de cuestionario manual puede demorar entre 8 y 40 horas por proveedor, siempre que el proveedor responda de manera rápida y precisa. Pero este enfoque no permite la capacidad de ver vulnerabilidades o validar la efectividad de los controles requeridos en un cuestionario.
Incorporar una capacidad de evaluación de exposición a amenazas automatizada e integrarla con cuestionarios puede reducir el tiempo de revisión de proveedores, y hemos descubierto que la combinación puede reducir el tiempo para evaluar e incorporar nuevos proveedores en un 33 %.
Paso 2: use un intercambio de cuestionarios
Las organizaciones que administran muchos cuestionarios o los proveedores que responden a muchos cuestionarios deberían considerar el uso de un intercambio de cuestionarios. En pocas palabras, es un depósito alojado de cuestionarios estándar o personalizados completados que se pueden compartir con otras partes interesadas una vez aprobados.
Si selecciona una plataforma que realiza la automatización descrita anteriormente, ambas partes obtienen un enfoque verificado y automatizado de los cuestionarios más recientes que se autovalidan mediante evaluaciones continuas. Nuevamente, esto puede ahorrarle tiempo a su equipo al solicitar acceso a cuestionarios existentes o escalar su tiempo en la respuesta de un nuevo cuestionario que puede reutilizarse a pedido.
Paso 3: combine continuamente los hallazgos de exposición a amenazas con el intercambio de cuestionarios
Las clasificaciones de seguridad por sí solas no funcionan. Usar cuestionarios solo para evaluar a terceros no funciona. La gestión de exposición a amenazas, que incorpora clasificaciones de seguridad precisas de las evaluaciones directas, combinadas con cuestionarios validados, donde el cuestionario consulta la evaluación y actualiza la clasificación de seguridad, le brinda una solución poderosa para la gestión continua de riesgos de terceros. Las plataformas que usan evaluaciones activas y pasivas, y no se basan únicamente en datos OSINT históricos, brindan la visibilidad de superficie de ataque más precisa, ya que es de un tercero en ese momento.
Esta información se puede aprovechar para validar automáticamente los controles aplicables en el cuestionario para los requisitos del marco de seguridad y cumplimiento y marcar cualquier discrepancia entre la respuesta del cliente y el resultado de la evaluación de la tecnología. Esto brinda a las organizaciones un enfoque real de «confiar pero verificar» hacia las revisiones de terceros. Dado que esto se puede hacer rápidamente, puede recibir una notificación cuando terceros no cumplan con controles técnicos específicos.
Las organizaciones que buscan maximizar la eficiencia de su programa de gestión de riesgos cibernéticos de terceros deben buscar agregar automatización a sus procesos. En entornos macroeconómicos más difíciles, las empresas pueden recurrir a la automatización para reducir el trabajo duro que realiza su equipo, sin dejar de lograr avances y resultados, a cambio de que los miembros del equipo puedan concentrarse en otras iniciativas.
Nota: Victor Gamra, CISSP, ex CISO, ha escrito y proporcionado este artículo. También es el fundador y director ejecutivo de FortifyData, una empresa de gestión de exposición continua a amenazas (CTEM) líder en la industria. FortifyData permite a las empresas administrar el riesgo cibernético a nivel organizacional mediante la incorporación de evaluaciones de superficie de ataque automatizadas, clasificación de activos, administración de vulnerabilidades basada en riesgos, calificaciones de seguridad y gestión de riesgos de terceros en una plataforma de gestión de riesgos cibernéticos todo en uno. Para obtener más información, visite www.fortifydata.com.
