A medida que las empresas se interconectan cada vez más y dependen cada vez más de proveedores externos, proveedores de servicios y socios comerciales, amplían enormemente sus vectores de vulnerabilidad. Una mayor dependencia de estas entidades externas, conocidas legalmente como "terceros", genera una intrincada red de riesgos potenciales, un panorama que denominamos riesgo de terceros. Existen ejemplos evidentes de estos riesgos en el panorama de la ciberseguridad, donde las amenazas abarcan desde filtraciones de datos hasta ataques a la cadena de suministro. Estas vulnerabilidades subrayan la importancia crucial de implementar estrategias sólidas de gestión de riesgos de terceros.
¿Qué es el riesgo de terceros en ciberseguridad?
El riesgo de terceros, o riesgo de proveedor, es la amenaza potencial que supone la interacción de una organización con entidades externas. Estas amenazas incluyen brechas de seguridad derivadas del uso indebido por parte de la empresa, errores de los empleados o protocolos de ciberseguridad deficientes del tercero. Estos terceros pueden crear una ruta directa a los datos confidenciales de una empresa. Por lo tanto, la gestión de riesgos de terceros (TPRM) es un componente crucial de la estrategia de gestión de riesgos de cualquier organización.
Ejemplos impactantes de riesgos de terceros en ciberseguridad
Ahora, analicemos en profundidad ejemplos de riesgos de terceros para comprender mejor su potencial peligroso.
1. La filtración de datos objetivo
Uno de los casos más notorios de ciberseguridad de terceros fue el de Target en 2013. Target, uno de los minoristas más grandes de EE. UU., se vio implicado cuando ciberdelincuentes explotaron una vulnerabilidad en la seguridad de su proveedor externo de sistemas de climatización (HVAC). Más de 40 millones de datos de tarjetas de crédito y débito se vieron comprometidos, lo que pone de relieve el importante riesgo asociado a la negligencia con los protocolos de ciberseguridad de terceros.
2. El ataque a la cadena de suministro de SolarWinds Orion
En 2020, otro ejemplo alarmante de riesgo de terceros se desató con el ataque a SolarWinds Orion. En este caso, los ciberdelincuentes manipularon el mecanismo de actualización de SolarWinds Orion, un software de monitorización de redes muy utilizado. Gracias a esta brecha, los autores obtuvieron acceso a numerosas redes de clientes, lo que desencadenó filtraciones de datos generalizadas y críticas. Este caso subraya la importancia de proteger no solo a los contratistas externos inmediatos, sino también a toda la cadena de suministro.
3. La violación de Quest Diagnostics
En 2019, Quest Diagnostics, una empresa de análisis médicos, sufrió una filtración de datos de terceros. Su proveedor de cobro de deudas, American Medical Collection Agency (AMCA), se vio comprometido, afectando los datos de más de 12 millones de pacientes. Este caso ilustra que incluso proveedores externos menos atractivos (como las agencias de cobro) pueden conllevar numerosos riesgos si no se protegen adecuadamente.
Protegiendo su organización de riesgos de terceros
Identificar y comprender el riesgo asociado a la participación de terceros es el primer paso para mejorar la ciberseguridad de su organización. A continuación, se presentan algunas estrategias para fortalecer la gestión de riesgos de terceros:
1. Desarrollar una estrategia de Gestión de Riesgos de Terceros (TPRM).
Una estrategia eficaz de gestión de riesgos de terceros integra la identificación, evaluación, seguimiento y mitigación de los riesgos asociados a las relaciones con terceros.
2. Realizar auditorías periódicas de terceros.
Las auditorías ofrecen una revisión en profundidad de las prácticas, controles, políticas y procedimientos de un proveedor: un examen crítico que ayuda a cuantificar el riesgo que pueden representar para su organización.
3. Implementar cláusulas contractuales sólidas.
Los contratos con terceros deben describir claramente las expectativas, responsabilidades y limitaciones que tiene cada parte con respecto a la ciberseguridad y la gestión de datos.
4. Educar y concienciar.
Ser proactivo en la creación de conciencia sobre la ciberseguridad es crucial: eduque a su organización y a sus terceros sobre las mejores prácticas de ciberseguridad y la importancia de mantenerlas.
En conclusión, ejemplos de riesgos de terceros en ciberseguridad, como las brechas de seguridad de Target, SolarWinds y Quest Diagnostics, subrayan el inmenso potencial de vulnerabilidad en las redes conectadas. Ponen de relieve la necesidad de una estrategia integral de gestión de riesgos de terceros. Protegerse contra estas amenazas no es una tarea aislada; requiere un compromiso continuo para realizar revisiones, construir defensas y mantenerse al tanto de las amenazas actuales de ciberseguridad. Utilice estas lecciones como guía para construir marcos de seguridad robustos que se adapten a su contexto empresarial específico y garantizar que todas las partes involucradas cumplan con estrictos estándares de ciberseguridad. Reconozca que la ciberseguridad de su organización suele ser tan sólida como su punto más débil, o en este caso, su tercero más riesgoso.