El aumento de los ciberataques en las cadenas de suministro
El número de ciberataques en las cadenas de suministro crece exponencialmente, convirtiéndose en un vector cada vez más atractivo para impactar infraestructuras críticas y sectores industriales.
Aunque las grandes organizaciones cuentan con estrategias sólidas de ciberseguridad, a menudo interactúan con pequeñas empresas proveedoras de servicios, productos o tecnología. Estas conexiones, que incluyen sistemas interconectados, intercambio de datos e incluso espacios físicos compartidos, amplían las brechas que los ciberdelincuentes pueden explotar a través de terceros, alcanzando su objetivo principal.
Seguridad en terceros: ¿qué es y por qué es importante?
En este contexto, la seguridad en terceros se vuelve crucial. Se refiere a la gestión de riesgos asociados a proveedores, socios y cualquier organización externa que tenga acceso a los sistemas, datos o recursos críticos de una empresa.
Estableciendo estándares de seguridad mediante contratos
Las empresas deben dejar claro, a través de contratos, lo que exigen en términos de seguridad en terceros, dependiendo del tipo de datos que se comparten. Por ejemplo, si el proveedor accede a información personal de clientes o empleados, es imprescindible que cumpla con las normativas locales de protección de datos.
La formalización contractual:
- Define las responsabilidades y expectativas de ambas partes.
- Garantiza un nivel continuo de ciberseguridad mediante auditorías regulares.
- Debe revisarse periódicamente para adaptarse a nuevos riesgos y cambios regulatorios.
Contratación de servicios en la nube: un punto crítico
Al optar por servicios en la nube, es esencial determinar qué información será migrada y qué controles de seguridad son necesarios para protegerla.
Modelo SaaS (Software as a Service)
El proveedor asume la mayor parte de la seguridad, incluyendo infraestructura y aplicaciones. Sin embargo, es fundamental verificar si los controles estándar ofrecidos son adecuados.
Modelo PaaS (Platform as a Service)
El proveedor gestiona la infraestructura y la plataforma, mientras que la seguridad de las aplicaciones desarrolladas recae en la organización.
Modelo IaaS (Infrastructure as a Service)
La responsabilidad se comparte. El proveedor protege los centros de datos y la infraestructura, mientras que la empresa se encarga de las cargas de trabajo, aplicaciones y datos.
El rol del CISO en la seguridad en terceros
El Chief Information Security Officer (CISO) juega un papel clave al definir los controles necesarios para proteger información crítica a la que acceden proveedores y socios. Estos controles deben abarcar todo el ciclo de vida de los terceros, desde la evaluación inicial, pasando por la ejecución de los servicios, hasta la finalización de la relación y la eliminación de datos. Otras áreas también son esenciales:
Compras
Garantizan la conformidad al aceptar propuestas de proveedores.
Negocios
Incluyen requisitos de seguridad en las solicitudes de servicios.
Jurídico
Asegura que las cláusulas contractuales contemplen los controles requeridos.
Conclusión
En un mundo cada vez más interconectado y digital, la seguridad en terceros se ha convertido en un pilar fundamental para garantizar una protección integral en toda la cadena de suministro. Adoptar un enfoque robusto e integrado es clave para mitigar riesgos y fortalecer la ciberseguridad corporativa.