Con GDPR en camino, es más importante que nunca que las empresas se protejan de los ataques en línea a través de un tercero en su cadena de suministro.

¿Cuál es el riesgo?

Muchas empresas tienen relaciones profesionales con terceros en su cadena de suministro/cadena de valor que implican otorgarles acceso a sistemas y datos confidenciales. Esto, combinado con mayores niveles de sofisticación en las herramientas y estrategias de piratería, además de una mayor supervisión de los reguladores y las empresas potencialmente "eslabón débil" en términos de seguridad cibernética, ahora hacen que el riesgo de un ataque a la cadena de suministro sea muy real.

Ejemplos

Entre los ejemplos de ataques de alta visibilidad a la cadena de suministro en los que se implicó o culpó a un tercero se incluye el hackeo en septiembre de la empresa estadounidense de calificación crediticia Equifax, cuando se pensó que se habían robado 3 millones de datos de clientes, incluidos unos posibles 143 millones de clientes del Reino Unido. Se informó que Equifax culpó de la violación a una falla en el software externo que estaba usando y a un enlace de descarga malicioso en su sitio web a otro proveedor.

Además, la muy publicitada filtración de los llamados 'Papeles del Paraíso' de 13 millones de archivos que supuestamente brindan detalles de los paraísos fiscales extraterritoriales y los esquemas de evasión fiscal utilizados por los ricos y famosos, y por los gobiernos y las corporaciones, fue atribuida a la firma legal extraterritorial Appleby.

Figuras

Una encuesta del Instituto Ponemon ha revelado que el 56 % de las organizaciones han tenido una brecha que en realidad fue causada por uno de sus proveedores, y aunque el número promedio de terceros con acceso a información confidencial en cada organización ha aumentado de 3 a 378, solo 471 El % de las empresas tiene una lista de todos los terceros con los que comparten información confidencial. Sin siquiera saber y poder monitorear o verificar los detalles de la relación con la que una organización tiene un acuerdo de intercambio de datos, obviamente es una situación riesgosa que podría dificultar mucho la detección de una violación.

Ahora un ecosistema

En lugar de ser entidades únicas, incluso las pequeñas empresas/organizaciones ahora son ecosistemas digitales donde muchas cosas se compran o subcontratan, por ejemplo, hardware, software y servicios como los servicios de proveedores de nube (instalados en los centros de datos). Esto significa que hay muchos más eslabones potencialmente débiles en la cadena de valor/suministro de una empresa de los que podrían provenir las infracciones.

LGPD

Con la llegada del RGPD en mayo de 2018, por ejemplo, la obligación y la responsabilidad se extenderán a todas las organizaciones que toquen los datos personales del sujeto o sujetos. Esto significa que las empresas/organizaciones deberán interesarse mucho en todas las partes de la cadena de almacenamiento y procesamiento de datos para garantizar el cumplimiento en todo el proceso, dentro de la organización y en la elección y gestión de las relaciones con terceros.

Además, será necesario que haya privacidad por diseño, y el software, los sistemas y los procesos de las empresas deben diseñarse en torno al cumplimiento de los principios de protección de datos. Las empresas y organizaciones deberán asegurarse de que las empresas de terceros, por ejemplo, los proveedores de la nube, cumplan con las normas e incorporen el cifrado.

Empresas de servicios profesionales un riesgo

Muchas empresas de servicios profesionales del lado de la oferta han demostrado ser vulnerables y, a menudo, son una forma que utilizan los atacantes para alcanzar su objetivo final, por ejemplo, la violación de Verizon causada por Nice Systems (análisis de servicio al cliente) y el ataque de Deloitte en septiembre donde los piratas informáticos fueron capaz de acceder a correos electrónicos y planes confidenciales de algunos de sus clientes de primer orden.

¿Qué significa esto para tu negocio?

Muchos comentaristas de seguridad ahora creen que se necesita un nuevo enfoque para administrar el riesgo de terceros de manera efectiva en todo el ecosistema digital de una empresa. Esto significa comprender realmente dónde se encuentran los riesgos dentro de ese sistema, adaptar los controles de acuerdo con esos riesgos y colaborar con terceros para remediar y mitigar esos riesgos.

Las empresas y organizaciones deben mejorar en la gestión del riesgo de terceros para reducir la probabilidad de una infracción. Esto podría implicar medidas como:

  • Identificación de cada proveedor, y cuáles de ellos tienen acceso a datos sensibles.
  • Evaluación de las políticas de seguridad y privacidad de todos los proveedores.
  • Introducir acuerdos de nivel de servicio con proveedores que demuestren su compromiso con la seguridad.
  • Solicitar a los proveedores que realicen autoevaluaciones, permitan visitas y auditorías de clientes o compren un seguro cibernético (lo más probable es que funcione para clientes más grandes).
  • Comprobación de las calificaciones de puntuación de seguridad de los proveedores, por ejemplo, a través de BitSight Technologies o SecurityScorecard.
  • Observar las políticas y los procesos internos de los proveedores.