CIBERSEGURIDAD

Asegurar la cadena de suministro de su empresa con información objetiva.

Escrito por Ewen O’Brien, director de EMEA, BitSight

A la luz de las noticias casi diarias de empresas que sufren brechas de seguridad, la necesidad de evaluar el perfil de riesgo de los proveedores terceros y cuartos nunca ha sido más necesaria que en la actualidad. Una empresa puede tener su propia infraestructura informática segura, pero el resto de su cadena de suministro digital a menudo se pasa por alto.

Los ataques recientes informados por Bloomberg muestran una gravedad y sofisticación cada vez mayores de los ataques a la cadena de suministro global, que en este caso afectaron a treinta empresas, incluido un banco importante y contratistas gubernamentales. Los ataques iniciados por China demuestran que la seguridad de la cadena de suministro de tecnología pudo verse comprometida, incluso si los consumidores y la mayoría de las empresas lo ignoraban por completo.

Los proveedores de terceros y cuartos son una parte esencial de muchas cadenas de suministro; sin ellos, muchas empresas simplemente no funcionarían. Sin embargo, estas relaciones con ‘proveedores’ pueden llegar a miles para las organizaciones, y ¿cómo saber si son un riesgo para el negocio? En esta era de datos, no administrar adecuadamente estas amenazas potenciales podría fácilmente llevar a la pérdida de datos importantes de los clientes y poner en peligro los secretos comerciales.

Por lo tanto, al interactuar con la cadena de suministro, las empresas deben tener una visión objetiva de los riesgos que un proveedor podría plantear. Nada está libre de riesgos, por lo que la pregunta se convierte en cómo una organización gestiona el riesgo, ¿lo acepta, lo transfiere o lo mitiga?

Cuando se piensa en los datos, una empresa no solo es responsable de los datos de los clientes en sus propios sistemas, sino que también son responsables de esa información del cliente cuando entra en la cadena de suministro. Por lo tanto, las organizaciones deben trazar dónde fluyen los datos y averiguar dónde se superponen con los proveedores. También deben evaluar el riesgo que puede presentar cada proveedor, ya que la política de protección de datos de una organización podría verse debilitada por un proveedor con estándares de seguridad inferiores.

La gestión de riesgos es cada vez más importante para los líderes de TI y la sala de juntas. Y depende de los líderes de TI mostrar que la gestión de riesgos de los proveedores debe ser considerada por la empresa. Dicho esto, el proceso de evaluar el riesgo de una organización con la que su empresa busca hacer negocios puede ser difícil y llevar mucho tiempo. Requiere una gestión y un seguimiento activos de las relaciones con los proveedores. Esto significa auditorías de proveedores, visitas y evaluaciones in situ y mapeo del flujo de datos. Necesita conocer y rastrear a los proveedores que tienen acceso a datos confidenciales en sus sistemas. Esto es de naturaleza cualitativa y puede tardar semanas, si no meses, en completarse.

Pero el problema aquí es que no se puede hacer de forma continua o a gran escala (ya que sería increíblemente caro). A esto se suma la pregunta de qué sucede si el proveedor sufre un brote similar a WannaCry, ¿cuál es la respuesta en tiempo real aquí? La respuesta está en una plataforma que brinda a los líderes de TI acceso a los perfiles de riesgo de miles de empresas.

Identificación y cuantificación de riesgos cibernéticos
Las organizaciones pueden comenzar a cuantificar y mitigar los riesgos cibernéticos con nuestras clasificaciones de seguridad BitSight. Estas calificaciones permiten a las organizaciones administrar el riesgo de terceros y cuartos, suscribir pólizas de seguro cibernético, evaluaciones comparativas y mucho más. A las organizaciones les gustan las calificaciones como estas, ya que brindan una comprensión objetiva del riesgo de desempeño en la seguridad de TI en lo que respecta a los socios en la cadena de suministro. Además de esto, muestra información para las empresas que son el objetivo de la actividad de fusiones y adquisiciones.

Las calificaciones ayudan en la actividad de evaluación comparativa. Poder calificar organizaciones significa que puede comparar una empresa con su grupo de pares o con una industria. Esta es una capacidad bastante importante para haber dado el tono de conversación sobre seguridad a nivel de la junta ejecutiva, donde algunos de los detalles más importantes no se van a digerir. Y el nivel de la junta es cada vez más donde se hacen preguntas sobre el riesgo. Tener una manera fácil de calificar a las empresas puede ayudar a poner en contexto el nivel de riesgo de una empresa y hacerlo muy abierto y transparente para que los altos ejecutivos lo entiendan.

La gestión de riesgos es un proceso continuo
Evaluar el riesgo de un tercero no es una operación de un solo disparo, disparar y olvidar, es un proceso continuo. Por ejemplo, una plataforma como la nuestra puede alertar a las organizaciones sobre nuevas infecciones o malware que aparecen en una red de terceros y cuartos. Utilizando datos externos de acceso público, se pueden realizar análisis a escala para ayudar a evaluar el riesgo y señalar problemas, de manera objetiva. El proceso significa que el tiempo de evaluación de riesgos se reduce de semanas a minutos.

Esta información tiene una señal de riesgo que significa que los usuarios pueden tomar sus propias decisiones en tiempo real y tomar las medidas adecuadas. Esto ayuda a las organizaciones a revisar sus controles de seguridad y riesgo y a implementar un plan de ciberseguridad realista para vendedores y proveedores en su ecosistema.

Cuando sepa cuáles son los riesgos, puede mitigar sus preocupaciones sobre la seguridad de los datos y continuar con el trabajo diario de administrar el negocio.

[tpr-boilerplate company=’null’]

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar