Ver Blog
Riesgo de terceros

El riesgo de terceros para las organizaciones

 

La Directiva europea NIS 2, el marco legal en ciberseguridad para los Estados miembros, introduce en la estrategia de ciberseguridad exigida a organizaciones de sectores de alta criticidad y críticos la obligación de monitorizar y evaluar el riesgo de terceros.

Uno de los principales objetivos de la Directiva NIS 2 ha sido lograr un efecto cascada en cuanto a la protección frente a las ciberamenazas, a través de esta obligación de monitorizar y valorar el riesgo de terceros para las entidades importantes y las esenciales. De esta forma, la Unión Europea reconoce la importancia de implantar estrategias de ciberseguridad extendida que impidan que la cadena de valor de una organización se convierta en una amenaza mayor imposible de controlar.

Cuando la vulnerabilidad es externa

Para mantenerse seguras y estar protegidas, las organizaciones deben considerar todos los riesgos posibles.

Los proveedores, socios y otros terceros que tienen acceso a los sistemas y datos confidenciales de una organización pueden representar un riesgo significativo para la ciberseguridad de esta. Los ciberdelincuentes pueden aprovechar las debilidades de los terceros para burlar la estrategia de ciberseguridad de una organización y acceder a información sensible, robar datos, interrumpir las operaciones comerciales, entre otros. Por esta razón, es crucial que las organizaciones evalúen y gestionen el ciberriesgo de sus terceros de manera efectiva, durante todo el tiempo que dure su relación comercial, para garantizar la seguridad y la continuidad de las operaciones en un entorno cada vez más interconectado.

Este punto de riesgo puede provenir de servicios de externalización como el hosting, así como de terceros que utilizan la tecnología y pueden poner en riesgo nuestros datos, como call centers, consultorías, etc. También, muchas empresas utilizan softwares como los CRM en los que se introduce información muy importante. ¿Qué pasa si este CRM sufre un ciberataque? Para una organización, es crucial evaluar la ciberseguridad de aquellos con los que trabaja.

¿Por qué es importante controlar el riesgo de terceros?

A menudo, las organizaciones se enfocan en la seguridad de su sistema y sus datos, es decir, de su perímetro interno, pero descuidan la seguridad de los sistemas y datos de terceros con los que trabajan y que pertenecen a la superficie de ataque externa de la organización.

Como demuestran los informes de estos últimos años del Centro Criptológico Nacional (CCN) de España, los ciberataques a terceros dentro de la cadena de suministro son una amenaza emergente. Además, se espera que el número de ataques de este tipo aumente en un futuro próximo.

Estos ataques tienen como objetivo eludir los controles de prevención y detección de la empresa objetivo y, por lo tanto, atacar a terceros para obtener acceso a sus sistemas. La mayoría de las empresas no controlan ni validan a sus propios proveedores o partners, desde el punto de vista de la ciberseguridad. Y, las que lo hacen, solo evalúan este riesgo en el momento de comenzar la relación comercial, sin controlarlo más allá.

Las enésimas partes: más allá de los terceros de una organización

Derivado del riesgo de terceros, está el riesgo asociado a las conocidas como enésimas partes, sobre las que una organización tiene, todavía, menor control.

Las enésimas partes son la propia cadena de valor de los terceros de una organización. Aquellos que tienen acceso a los sistemas y datos de los proveedores y contratistas de la organización original y, por lo tanto y de forma indirecta, también a los suyos. Este infinito sistema de dependencia añade una gran complejidad a la identificación y gestión de los riesgos de terceros. Además, las enésimas partes pueden tener sus propios terceros y proveedores, lo que amplía aún más la cadena de suministro y complica la evaluación de los riesgos.

Ese efecto cascada en implementación de estrategias de ciberseguridad efectivas que busca conseguir la Directiva NIS 2 a través del control de la cadena de valor no es sino la forma de luchar contra el efecto cascada que supone esa misma cadena de valor de cualquier organización respecto a los riesgos.

¿Cómo se puede reducir el riesgo de terceros?

Una de las recomendaciones más importantes para reducir este riesgo es evaluar el riesgo de los proveedores. Este proceso implica identificar las debilidades de los proveedores que podrían suponer un alto riesgo para nuestra empresa.

Según diversos estudios, los mecanismos de las empresas para conocer el riesgo al que están expuestas de esta manera no arrojan resultados muy alentadores:

El 83 % de los ejecutivos aseguran el riesgo de terceros se identificó después de producirse la incorporación inicial y la debida diligencia.

Hay un 67% de probabilidad de ataque a través de la cadena de suministro.

El 92% de las empresas no implementa ningún tipo de gestión de riesgos de proveedores.

El 70% contrata a proveedores sin ningún control de seguridad previo (el 60% también les da acceso a sus sistemas).

El 63% de las brechas de seguridad se originan en los proveedores

Tanto los proveedores como sus servicios o productos que puedan suponer una amenaza deben ser evaluados antes de comenzar la relación comercial para identificar los riesgos. Pero, también, han de ser monitorizados y evaluados durante el tiempo que dure dicha relación para que la estrategia de ciberseguridad sea efectiva. Analizar los riesgos de los proveedores no significa que no puedan sufrir cualquier incidente de seguridad porque todas las entidades pueden sufrirlo, pero sí permite identificar aquellas entidades que no toman un mínimo de medidas de seguridad y están más expuestas a un ciberataque.

Últimas tecnologías para el control del riesgo de terceros

La irrupción de últimas tecnologías como la Inteligencia Artificial y la automatización ha provocado la aparición de soluciones de Ciberinteligencia XTI capaces de emitir la valoración del estado de ciberseguridad de cualquier proveedor o socio, así como su evaluación continua en tiempo real mientras dure la colaboración entre la organización y el tercero.

Las ventajas de incorporar una solución de Ciberinteligencia XTI para la organización son:

  • Permite una valoración objetiva del riesgo que no precisa intervención humana.
  • Funciona de forma no intrusiva, por lo que no requiere autorización del tercero, facilitando de esta forma la valoración de terceros y enésimos.
  • Proporciona datos objetivos de la vulnerabilidad del tercero, así como de las brechas de seguridad causantes de esta.
  • Permite monitorizar y analizar de forma continua y en tiempo real del riesgo de terceros mientras dura la relación comercial.
  • Capacita a la organización para el control de la información oculta por parte de su cadena de valor.
  • Capacita a la organización para evaluar los riesgos de aquellas enésimas partes sobre las que tenga alguna sospecha.

Este tipo de soluciones puede utilizarse para la valoración de riesgos de terceros y enésimas partes tanto en una operación puntual como en una relación comercial duradera en el tiempo, aportando la precisión y fiabilidad que le falta a los métodos de valoración más comunes, como pueden ser los pentestings o las Due Diligences.

 

Si necesitas saber más sobre el control del riesgo de terceros y cómo valorarlo gracias a las últimas soluciones de Ciberseguridad y Ciberinteligencia de monitorización continua, puedes descargarte nuestro Whitepaper Riesgo de terceros: cómo ganar precisión a la hora de valorarlos.