El panorama de ciberseguridad actual requiere una estrategia de gestión de riesgos ágil y basada en datos para hacer frente a la superficie de ataque de terceros en constante expansión.
Cuando una empresa subcontrata servicios compartiendo datos y acceso a la red, hereda el riesgo cibernético de sus proveedores a través de su gente, procesos, tecnología y terceros de ese proveedor. La empresa típica trabaja con una media de casi 5.900 terceroslo que significa que las empresas enfrentan una gran cantidad de riesgo, independientemente de qué tan bien cubran sus propias bases.
Por ejemplo, 81 incidentes individuales de terceros dieron lugar a más de 200 infracciones divulgadas públicamente y miles de infracciones de efecto dominó a lo largo de 2021, según un reporte por Milano Negro.
El actual enfoque de afuera hacia adentro para administrar el riesgo de terceros es inadecuado. En cambio, la industria necesita avanzar hacia un nuevo enfoque de gestión de riesgos de terceros iniciando conversaciones más allá de las evaluaciones de afuera hacia adentro. Específicamente, las empresas deben establecer principios de confianza cero para todos los proveedores, evaluar el riesgo en los activos externos e internos con evaluaciones de adentro hacia afuera y medir el riesgo cibernético en tiempo real.
El principio de confianza cero de “Nunca confíes, siempre verifica” se ha adoptado ampliamente para administrar entornos internos, y las organizaciones deben extender esta noción a la administración de riesgos de terceros.
Para combatir esto, las empresas deben considerar a los proveedores como subconjuntos de su negocio.
La amenaza inminente
La cantidad de datos e información crítica para el negocio que una empresa comparte con sus proveedores es asombrosa. Por ejemplo, una empresa puede compartir propiedad intelectual con socios de fabricación, almacenar información de salud personal (PHI) en servidores en la nube para compartir con las aseguradoras y permitir que las agencias de marketing accedan a los datos de los clientes y a la información de identificación personal (PII).
Esto es solo la punta del iceberg, y la mayoría de las empresas a menudo no saben qué tan grande es realmente el iceberg. En una encuesta realizada por Ponemon Institute, El 51% de las empresas encuestadas dijeron que no evalúe la postura de riesgo cibernético de terceros antes de permitirles el acceso a información confidencial. Además, el 63% de las empresas encuestadas dijeron que no tienen visibilidad de a qué datos y configuraciones de sistemas pueden acceder los proveedores, por qué tienen acceso a ellos, quién tiene permisos y cómo se almacenan y comparten los datos.
Esta red masiva de empresas que comparten información en tiempo real da como resultado una amplia superficie de ataque que se vuelve cada vez más difícil de administrar. Para superar este desafío, las empresas utilizan iniciativas de seguridad cibernética, como encuestas de incorporación basadas en cuestionarios y servicios de calificación de seguridad en sus estrategias de gestión de riesgos de terceros.
Si bien estas herramientas tienen casos de uso definidos, también tienen limitaciones severas.
Los servicios de calificación de ciberseguridad son un enfoque rápido y económico para las evaluaciones de riesgos de terceros. Su simplicidad, que representa el riesgo cibernético de un proveedor como una puntuación, como las calificaciones crediticias en los servicios financieros, los convierte en una opción popular, a pesar de las limitaciones.
Source link