La reciente filtraci\u00f3n de datos de un fabricante de GE (General Electric) de cierto servicio comercial result\u00f3 en el hurto de PII (Informaci\u00f3n Personal Identificable) de muchos empleados de la empresa.\u00a0 Esto resalta los problemas que representan los Ataques a la Cadena de Suministro y a Terceros Proveedores.\u00a0 Como las empresas desean reducir costos y mejorar los m\u00e1rgenes de operaci\u00f3n, contratan proveedores de servicios comerciales o de productos para aprovechar los bajos costos que este tipo de socios suelen tener gracias a la especializaci\u00f3n y a las econom\u00edas a escala.\u00a0 Estas estrategias son s\u00f3lidas pr\u00e1cticas comerciales debido a la tendencia creciente hacia ecosistemas colaborativos.\u00a0<\/p>\n\n\n\n
Los riesgos que las empresas enfrentan son la falta de control que tienen en la protecci\u00f3n de los datos que hoy comparten o que se encuentran en el host<\/em> de estos proveedores, los cuales no siempre est\u00e1n protegidos con el mismo nivel de seguridad que la empresa podr\u00eda implementar con sus propios recursos. La incapacidad para determinar el impacto financiero de este tipo de ataques de filtraci\u00f3n hace que sea muy dif\u00edcil muy dif\u00edcil, para los servicios terceros\/externos, conscientes de los costos, o para los proveedores de mercanc\u00edas, evaluar el \u201ctama\u00f1o correcto\u201d de los riesgos y de las medidas de mitigaci\u00f3n de este tipo de filtraciones.<\/p>\n\n\n\n El mundo de los atacantes est\u00e1 aprovechando esta cadena de terceros proveedores o de ataques a la cadena de proveedores e incluyen a Pol\u00edticos Ciber Guerreros, Hackers Financieros, Empleados Descontentos y Agentes de Espionaje Industrial. Estos actores hicieron n\u00fameros en t\u00e9rminos del valor de la informaci\u00f3n robada, en t\u00e9rminos del valor monetario que les representa. Est\u00e1n respaldados por recursos suficientes para invertir en m\u00e9todos de ataque que habilitar\u00e1n este tipo de penetraciones y de fugas internas. Conforme el n\u00famero de ataques y tama\u00f1o o prestigio de las v\u00edctimas de estas filtraciones aumentan, las empresas deben ser mucho m\u00e1s diligentes al adaptarse a estos riesgos.<\/p>\n\n\n\n Al seleccionar un servicio a proveedores de terceros o alianzas de proveedores, las empresas deben desempe\u00f1arse con la debida y razonable diligencia para asegurarse y asegurarle a sus operadores que el proceso de selecci\u00f3n no s\u00f3lo se enfoca en el costo. El primer paso es que las compa\u00f1\u00edas eval\u00faen el impacto financiero que dichas filtraciones implicar\u00edan para su negocio, en t\u00e9rminos de reputaci\u00f3n y de sobrevivencia. Esto se puede lograr cuantificando el riesgo en t\u00e9rminos monetarios; un ejercicio de Cuantificaci\u00f3n del Riesgo puede arrojar un n\u00famero de impacto financiero para cada tipo de compromiso de los activos. Esto debe llevarse a cabo por las empresas mismas o por profesionales independientes. \u00a1No debe hacerlo un outsourcing<\/em>, un externo!<\/p>\n\n\n\n En segundo lugar, cada proveedor potencial debe demostrar que es adecuado en seguridad de la informaci\u00f3n, mediante una evaluaci\u00f3n de madurez de la defensa, asegur\u00e1ndose de que todas las medidas de seguridad est\u00e9n en su sitio, sean vigentes y est\u00e9n bien configuradas. Hay varias normas espec\u00edficas de la industria como la ISO, la NIST y otras que pueden brindar un objetivo est\u00e1ndar, as\u00ed como especializaci\u00f3n independiente para darle una direcci\u00f3n a las evaluaciones. Estas evaluaciones deben llevarse a cabo seg\u00fan se requiera. Clientes y organizaciones prospectados deben solicitarlas y recibir estas evaluaciones de seguridad durante su proceso de selecci\u00f3n.<\/p>\n\n\n\n En tercer lugar, cada suscriptor de estos servicios externos debe buscar obtener Ciber Seguridad. Estas pol\u00edticas han madurado de sobremanera en los \u00faltimos a\u00f1os. El an\u00e1lisis de impacto financiero que el comprador del servicio haya desempe\u00f1ado es esencial para establecer los t\u00e9rminos y la protecci\u00f3n que la p\u00f3liza ofrece.<\/p>\n\n\n\n La mitigaci\u00f3n ciber se ha convertido en un hecho vital y las empresas deben asegurarse de que lo est\u00e9n abordando con efectividad. Los servicios o productos externos que se venden a terceros en un mismo ecosistema pueden ser en extremo ben\u00e9ficos y permiten que las organizaciones trasladen su hoja de balance general, y que aumenten los beneficios del mercado al proveerse de tales servicios. Pero deber\u00e1n actuar agresivamente asegur\u00e1ndose de que sus socios son capaces de brindar seguridad y de proteger a la compa\u00f1\u00eda ante riesgos.<\/p>\n\n\n\n