{"id":6964,"date":"2024-02-20T18:09:55","date_gmt":"2024-02-20T17:09:55","guid":{"rendered":"https:\/\/mascalagrimas.es\/dev-enthec_old\/?p=6964"},"modified":"2024-03-01T09:54:17","modified_gmt":"2024-03-01T08:54:17","slug":"el-riesgo-de-terceros-para-las-organizaciones","status":"publish","type":"post","link":"https:\/\/mascalagrimas.es\/dev-enthec_old\/el-riesgo-de-terceros-para-las-organizaciones\/","title":{"rendered":"El riesgo de terceros para las organizaciones"},"content":{"rendered":"

El riesgo de terceros para las organizaciones<\/h1>\n

 <\/p>\n

La Directiva europea NIS 2, el marco legal en ciberseguridad para los Estados miembros, introduce en la estrategia de ciberseguridad exigida a organizaciones de sectores de alta criticidad y cr\u00edticos la obligaci\u00f3n de monitorizar y evaluar el riesgo de terceros.<\/em><\/p>\n

Uno de los principales objetivos de la Directiva NIS 2<\/a> ha sido lograr un efecto cascada en cuanto a la protecci\u00f3n frente a las ciberamenazas, a trav\u00e9s de esta obligaci\u00f3n de monitorizar y valorar el riesgo de terceros para las entidades importantes y las esenciales. De esta forma, la Uni\u00f3n Europea reconoce la importancia de implantar estrategias de ciberseguridad extendida que impidan que la cadena de valor de una organizaci\u00f3n se convierta en una amenaza mayor imposible de controlar.<\/p>\n

Cuando la vulnerabilidad es externa<\/h2>\n

Para mantenerse seguras y estar protegidas, las organizaciones deben considerar todos los riesgos posibles.<\/p>\n

Los proveedores, socios y otros terceros que tienen acceso a los sistemas y datos confidenciales de una organizaci\u00f3n pueden representar un riesgo significativo para la ciberseguridad de esta. Los ciberdelincuentes pueden aprovechar las debilidades de los terceros para burlar la estrategia de ciberseguridad de una organizaci\u00f3n y acceder a informaci\u00f3n sensible, robar datos, interrumpir las operaciones comerciales, entre otros. Por esta raz\u00f3n, es crucial que las organizaciones eval\u00faen y gestionen el ciberriesgo de sus terceros de manera efectiva, durante todo el tiempo que dure su relaci\u00f3n comercial, para garantizar la seguridad y la continuidad de las operaciones en un entorno cada vez m\u00e1s interconectado.<\/p>\n

Este punto de riesgo puede provenir de servicios de externalizaci\u00f3n como el hosting, as\u00ed como de terceros que utilizan la tecnolog\u00eda y pueden poner en riesgo nuestros datos, como call centers, consultor\u00edas, etc. Tambi\u00e9n, muchas empresas utilizan softwares como los CRM en los que se introduce informaci\u00f3n muy importante. \u00bfQu\u00e9 pasa si este CRM sufre un ciberataque? Para una organizaci\u00f3n, es crucial evaluar la ciberseguridad de aquellos con los que trabaja.<\/p>\n

\u00bfPor qu\u00e9 es importante controlar el riesgo de terceros?<\/h2>\n

A menudo, las organizaciones se enfocan en la seguridad de su sistema y sus datos, es decir, de su per\u00edmetro interno, pero descuidan la seguridad de los sistemas y datos de terceros con los que trabajan y que pertenecen a la superficie de ataque externa de la organizaci\u00f3n.<\/p>\n

Como demuestran los informes de estos \u00faltimos a\u00f1os del Centro Criptol\u00f3gico Nacional (CCN) de Espa\u00f1a<\/a>, los ciberataques a terceros dentro de la cadena de suministro son una amenaza emergente. Adem\u00e1s, se espera que el n\u00famero de ataques de este tipo aumente en un futuro pr\u00f3ximo.<\/p>\n

Estos ataques tienen como objetivo eludir los controles de prevenci\u00f3n y detecci\u00f3n de la empresa objetivo y, por lo tanto, atacar a terceros para obtener acceso a sus sistemas. La mayor\u00eda de las empresas no controlan ni validan a sus propios proveedores o partners, desde el punto de vista de la ciberseguridad. Y, las que lo hacen, solo eval\u00faan este riesgo en el momento de comenzar la relaci\u00f3n comercial, sin controlarlo m\u00e1s all\u00e1.<\/p>\n

Las en\u00e9simas partes: m\u00e1s all\u00e1 de los terceros de una organizaci\u00f3n<\/h2>\n

Derivado del riesgo de terceros, est\u00e1 el riesgo asociado a las conocidas como en\u00e9simas partes, sobre las que una organizaci\u00f3n tiene, todav\u00eda, menor control.<\/p>\n

Las en\u00e9simas partes son la propia cadena de valor de los terceros de una organizaci\u00f3n. Aquellos que tienen acceso a los sistemas y datos de los proveedores y contratistas de la organizaci\u00f3n original y, por lo tanto y de forma indirecta, tambi\u00e9n a los suyos. Este infinito sistema de dependencia a\u00f1ade una gran complejidad a la identificaci\u00f3n y gesti\u00f3n de los riesgos de terceros. Adem\u00e1s, las en\u00e9simas partes pueden tener sus propios terceros y proveedores, lo que ampl\u00eda a\u00fan m\u00e1s la cadena de suministro y complica la evaluaci\u00f3n de los riesgos.<\/p>\n

Ese efecto cascada en implementaci\u00f3n de estrategias de ciberseguridad efectivas que busca conseguir la Directiva NIS 2 a trav\u00e9s del control de la cadena de valor no es sino la forma de luchar contra el efecto cascada que supone esa misma cadena de valor de cualquier organizaci\u00f3n respecto a los riesgos.<\/p>\n

\u00bfC\u00f3mo se puede reducir el riesgo de terceros?<\/h2>\n

Una de las recomendaciones m\u00e1s importantes para reducir este riesgo es evaluar el riesgo de los proveedores. Este proceso implica identificar las debilidades de los proveedores que podr\u00edan suponer un alto riesgo para nuestra empresa.<\/p>\n

Seg\u00fan diversos estudios, los mecanismos de las empresas para conocer el riesgo al que est\u00e1n expuestas de esta manera no arrojan resultados muy alentadores:<\/p>\n

El 83\u00a0% de los ejecutivos<\/a> aseguran el riesgo de terceros se identific\u00f3 despu\u00e9s de producirse la incorporaci\u00f3n inicial y la debida diligencia.<\/p>\n

Hay un 67% de probabilidad<\/a> de ataque a trav\u00e9s de la cadena de suministro.<\/p>\n

El 92% de las empresas no implementa ning\u00fan tipo de gesti\u00f3n de riesgos de proveedores.<\/p>\n

El 70% contrata a proveedores sin ning\u00fan control de seguridad previo (el 60% tambi\u00e9n les da acceso a sus sistemas).<\/p>\n

El 63% de las brechas de seguridad se originan en los proveedores<\/a><\/p>\n

Tanto los proveedores como sus servicios o productos que puedan suponer una amenaza deben ser evaluados antes de comenzar la relaci\u00f3n comercial para identificar los riesgos. Pero, tambi\u00e9n, han de ser monitorizados y evaluados durante el tiempo que dure dicha relaci\u00f3n para que la estrategia de ciberseguridad sea efectiva. Analizar los riesgos de los proveedores no significa que no puedan sufrir cualquier incidente de seguridad porque todas las entidades pueden sufrirlo, pero s\u00ed permite identificar aquellas entidades que no toman un m\u00ednimo de medidas de seguridad y est\u00e1n m\u00e1s expuestas a un ciberataque.<\/p>\n

\u00daltimas tecnolog\u00edas para el control del riesgo de terceros<\/h2>\n

La irrupci\u00f3n de \u00faltimas tecnolog\u00edas como la Inteligencia Artificial y la automatizaci\u00f3n ha provocado la aparici\u00f3n de soluciones de Ciberinteligencia XTI capaces de emitir la valoraci\u00f3n del estado de ciberseguridad de cualquier proveedor o socio, as\u00ed como su evaluaci\u00f3n continua en tiempo real mientras dure la colaboraci\u00f3n entre la organizaci\u00f3n y el tercero.<\/p>\n

Las ventajas de incorporar una soluci\u00f3n de Ciberinteligencia XTI para la organizaci\u00f3n son:<\/p>\n