Hoy más que nunca, necesitamos crear alianzas estratégicas que nos permitan proteger la información de nuestra organización de ciberataques. En Capa 8 acompañamos a las organizaciones en la evaluación, adopción y fortalecimiento de estrategias de seguridad a través de nuestros servicios.
#HablemosDeSeguridad
La reciente filtración de datos de un fabricante de GE (General Electric) de cierto servicio comercial resultó en el hurto de PII (Información Personal Identificable) de muchos empleados de la empresa. Esto resalta los problemas que representan los Ataques a la Cadena de Suministro y a Terceros Proveedores. Como las empresas desean reducir costos y mejorar los márgenes de operación, contratan proveedores de servicios comerciales o de productos para aprovechar los bajos costos que este tipo de socios suelen tener gracias a la especialización y a las economías a escala. Estas estrategias son sólidas prácticas comerciales debido a la tendencia creciente hacia ecosistemas colaborativos.
Los riesgos que las empresas enfrentan son la falta de control que tienen en la protección de los datos que hoy comparten o que se encuentran en el host de estos proveedores, los cuales no siempre están protegidos con el mismo nivel de seguridad que la empresa podría implementar con sus propios recursos. La incapacidad para determinar el impacto financiero de este tipo de ataques de filtración hace que sea muy difícil muy difícil, para los servicios terceros/externos, conscientes de los costos, o para los proveedores de mercancías, evaluar el “tamaño correcto” de los riesgos y de las medidas de mitigación de este tipo de filtraciones.
El mundo de los atacantes está aprovechando esta cadena de terceros proveedores o de ataques a la cadena de proveedores e incluyen a Políticos Ciber Guerreros, Hackers Financieros, Empleados Descontentos y Agentes de Espionaje Industrial. Estos actores hicieron números en términos del valor de la información robada, en términos del valor monetario que les representa. Están respaldados por recursos suficientes para invertir en métodos de ataque que habilitarán este tipo de penetraciones y de fugas internas. Conforme el número de ataques y tamaño o prestigio de las víctimas de estas filtraciones aumentan, las empresas deben ser mucho más diligentes al adaptarse a estos riesgos.
Al seleccionar un servicio a proveedores de terceros o alianzas de proveedores, las empresas deben desempeñarse con la debida y razonable diligencia para asegurarse y asegurarle a sus operadores que el proceso de selección no sólo se enfoca en el costo. El primer paso es que las compañías evalúen el impacto financiero que dichas filtraciones implicarían para su negocio, en términos de reputación y de sobrevivencia. Esto se puede lograr cuantificando el riesgo en términos monetarios; un ejercicio de Cuantificación del Riesgo puede arrojar un número de impacto financiero para cada tipo de compromiso de los activos. Esto debe llevarse a cabo por las empresas mismas o por profesionales independientes. ¡No debe hacerlo un outsourcing, un externo!
En segundo lugar, cada proveedor potencial debe demostrar que es adecuado en seguridad de la información, mediante una evaluación de madurez de la defensa, asegurándose de que todas las medidas de seguridad estén en su sitio, sean vigentes y estén bien configuradas. Hay varias normas específicas de la industria como la ISO, la NIST y otras que pueden brindar un objetivo estándar, así como especialización independiente para darle una dirección a las evaluaciones. Estas evaluaciones deben llevarse a cabo según se requiera. Clientes y organizaciones prospectados deben solicitarlas y recibir estas evaluaciones de seguridad durante su proceso de selección.
En tercer lugar, cada suscriptor de estos servicios externos debe buscar obtener Ciber Seguridad. Estas políticas han madurado de sobremanera en los últimos años. El análisis de impacto financiero que el comprador del servicio haya desempeñado es esencial para establecer los términos y la protección que la póliza ofrece.
La mitigación ciber se ha convertido en un hecho vital y las empresas deben asegurarse de que lo estén abordando con efectividad. Los servicios o productos externos que se venden a terceros en un mismo ecosistema pueden ser en extremo benéficos y permiten que las organizaciones trasladen su hoja de balance general, y que aumenten los beneficios del mercado al proveerse de tales servicios. Pero deberán actuar agresivamente asegurándose de que sus socios son capaces de brindar seguridad y de proteger a la compañía ante riesgos.
Por Gerard Sabbah
#HablemosDeSeguridad
Vía @Contacto_Capa8
