Comprender el concepto y la importancia de la gestión de riesgos de terceros en ciberseguridad es crucial para cualquier empresa que trabaje en la era digital actual. Sin embargo, la abstracción a veces puede impedir una comprensión integral de la disciplina. Por lo tanto, explorar ejemplos de gestión de riesgos de terceros puede ofrecer información valiosa sobre las amenazas y las medidas de protección en el panorama de la ciberseguridad.
Las empresas colaboran a diario con proveedores externos, como proveedores de servicios en la nube, procesadores de pagos, empresas de análisis de datos, etc. Toda interacción con un tercero puede exponer a una organización a riesgos. Si un proveedor externo sufre una brecha de seguridad, las consecuencias pueden extenderse a las organizaciones con las que trabaja. Este efecto dominó es precisamente la razón por la que la gestión de riesgos de terceros es esencial.
Ejemplo 1: La violación de datos objetivo
Uno de los ejemplos más infames de gestión de riesgos de terceros se relaciona con la filtración de datos de Target de 2013. Un contratista de sistemas de climatización (HVAC), proveedor externo de Target, sufrió un ataque de phishing. Los ciberdelincuentes obtuvieron las credenciales de red del contratista para Target, lo que facilitó la intrusión. Finalmente, los ciberdelincuentes lograron instalar malware en el sistema de punto de venta de Target y robaron la información de las tarjetas de crédito y débito de casi 40 millones de clientes.
Esta brecha demostró que, independientemente de la seguridad de los sistemas de una organización, las vulnerabilidades en los sistemas de terceros pueden servir como punto de entrada para un ataque. Esto subraya la necesidad de una supervisión sólida y continua de las prácticas de ciberseguridad de los proveedores externos.
Ejemplo 2: El hackeo de Capital One
En 2019, Capital One sufrió una filtración masiva de datos que afectó a más de 100 millones de personas. El ciberatacante aprovechó un firewall mal configurado en una aplicación web, alojada por un proveedor externo de servicios en la nube, para acceder a los datos de los clientes. La información expuesta incluía 140.000 números de la Seguridad Social, un millón de números de la Seguridad Social canadiense y 80.000 números de cuentas bancarias.
Podemos extraer dos lecciones clave. En primer lugar, incluso al utilizar proveedores de servicios en la nube de confianza, es crucial contar con medidas de seguridad adecuadas por parte del cliente. En segundo lugar, los errores humanos internos, como una configuración incorrecta, pueden poner en peligro la ciberseguridad.
Ejemplo 3: El ataque a la plataforma Orion de Solar Winds
El ataque a la plataforma Orion de Solar Winds en 2020 es uno de los ejemplos más notorios de gestión de riesgos de terceros. Este ataque no fue una simple filtración de datos, sino un ataque orquestado a la cadena de suministro. Los ciberdelincuentes insertaron código malicioso en las actualizaciones de software de la plataforma Orion. Cuando las empresas, incluidas varias de la lista Fortune 500 y agencias gubernamentales, actualizaron sus sistemas, el malware se distribuyó en sus redes y los ciberdelincuentes pudieron explotarlas a voluntad.
La lección aquí es doble. Los ataques a la cadena de suministro exponen a varias organizaciones a la vez, lo que demuestra la necesidad de una gestión rigurosa de riesgos de terceros. Además, garantizar procedimientos de actualización seguros es crucial para mitigar estas amenazas de amplio alcance.
Implicaciones y estrategias para la gestión de riesgos de terceros
Los ejemplos de gestión de riesgos de terceros mencionados anteriormente sirven de lección para las empresas. Ilustran que el riesgo de terceros adopta múltiples formas y que una mitigación eficaz exige una estrategia multifacética. Las siguientes estrategias podrían resultar útiles:
- Investigación de todos los terceros: es esencial realizar una investigación exhaustiva inicial y continua de todos los proveedores externos para evaluar sus medidas de ciberseguridad y su compromiso con las mejores prácticas.
- Empleo de tecnologías de seguridad: la implementación de tecnologías de seguridad de última generación para la detección y respuesta ante amenazas en tiempo real puede ayudar a detectar y mitigar riesgos de forma proactiva.
- Planificación de respuesta a incidentes: Tener un plan de respuesta a incidentes puede garantizar una acción rápida en caso de una infracción, minimizando así el daño potencial.
- Auditoría periódica: Las auditorías periódicas pueden detectar cualquier brecha de seguridad o vulnerabilidad dentro de los sistemas o procesos de terceros.
- Acuerdos contractuales: Incluir cláusulas de riesgo cibernético en los contratos con terceros podría proporcionar una capa adicional de seguridad.
En conclusión, la importancia de una gestión eficaz de riesgos de terceros en ciberseguridad es fundamental. Como ilustran los ejemplos de gestión de riesgos de terceros analizados, no abordar este problema puede provocar importantes filtraciones y pérdidas de datos. Con una estrategia eficaz de gestión de riesgos de terceros, las empresas pueden reducir significativamente sus riesgos cibernéticos y proteger sus activos frente al panorama de amenazas en constante expansión.