Los grandes riesgos del 'outsourcing'
La externalización de servicios empresariales a un proveedor puede suponer un riesgo para la seguridad, la reputación y el cumplimiento normativo.
A medida que los procesos empresariales se vuelven más complejos, las empresas recurren a terceros para aumentar su capacidad de proporcionar servicios críticos, desde el almacenamiento en la nube hasta la gestión de datos y la seguridad. A menudo resulta más eficaz y menos costoso contratar a quienes pueden hacer por usted realizar tareas que, de otro modo, requerirían un esfuerzo considerable y podrían agotar los recursos internos.
El uso de servicios de terceros también puede conllevar riesgos importantes, a menudo imprevistos. Los terceros pueden ser una puerta de entrada para intrusiones, dañar la reputación de una empresa si un servicio funciona mal, exponerla a problemas financieros y normativos, y atraer la atención de delincuentes de todo el mundo. Una ruptura mal gestionada con un proveedor también puede ser peligrosa, ya que puede provocar la pérdida de acceso a los sistemas implantados por el tercero, la pérdida de la custodia de los datos o la pérdida de los propios datos.
Las empresas están prestando más atención a los riesgos de ciberseguridad, según Luke Ellery, analista de Gartner. La encuesta de la firma de análisis 2022 Risk Assessments in a Volatile World revela que el 73% de los encuestados involucrados en programas de riesgo empresarial dijeron que ahora evalúan la ciberseguridad de manera más rigurosa en comparación con 2019.
Aumenta la confianza en los servicios de terceros
"El enfoque en terceros se acentúa en este contexto, ya que las organizaciones dependen cada vez más de terceros, como proveedores de tecnología y de la nube, que almacenan datos confidenciales o acceden a sistemas críticos", afirma Ellery. "Este riesgo es mayor si los controles de ciberseguridad del tercero son deficientes. También existe el riesgo de que los propios proveedores del tercero se vean comprometidos. Si los datos o sistemas se ven comprometidos, el impacto podría incluir daños a la marca y a la reputación, multas o sanciones legales y reglamentarias y costes de reparación".
El uso de terceros es una necesidad ampliamente aceptada por muchas empresas, afirma Hanne McBlain, directora senior de la empresa de investigación y asesoramiento tecnológico ISG, pero es necesario gestionarlos de forma continua. Las asociaciones con terceros conllevan riesgos empresariales inherentes al trasladar aspectos de control más allá de las paredes de la empresa. Esto adquiere una urgencia especial si se tiene en cuenta que el 98% de las organizaciones mundiales estaban conectadas con al menos un proveedor externo que ha sufrido una violación en los últimos dos años, afirma Caleb Merriman, CISO de Deltek, proveedor de software para empresas basadas en proyectos.
He aquí los cinco principales riesgos de ciberseguridad a los que le exponen los servicios de terceros:
Datos de clientes y empresas comprometidos por ciberataques
Los ciberataques indirectos (infracciones exitosas que llegan a las empresas a través de terceros) aumentaron del 44% al 61% en los últimos años, según el Global Cybersecurity Outlook 2022 del Foro Económico Mundial. Una de las razones por las que esto ocurre es que muchas empresas no disponen de los controles adecuados para dar de baja de forma efectiva a proveedores externos, afirma Peter Tran, director de seguridad de la información (CISO) de la consultora de seguridad y TI InferSight. "No disponen de procesos para controlar los derechos de gestión de acceso y el aprovisionamiento que tienen estas cuentas, lo que deja la puerta abierta a los ciberatacantes que buscan cuentas antiguas que aún estén activas", afirma.
Ariel Weintraub, CISO de MassMutual, afirma que los actores de amenazas pueden abusar de los datos obtenidos a través de filtraciones de terceros para llevar a cabo diversas actividades maliciosas, como el robo de identidad, el fraude, el abuso de cuentas y los ataques de toma de control de cuentas externas. Las amenazas suelen utilizar credenciales comprometidas y datos procedentes de filtraciones de terceros o incluso de cuartos para acceder a los entornos de otras víctimas.
"Un tercero puede ser atacado mientras aloja los datos de una empresa o un atacante ataca primero al tercero y luego lo utiliza para llegar a sus sistemas informáticos", afirma Michael Orozco, analista de ciberseguridad de MorganFranklin. Afirma que la diligencia debida y la supervisión continua de las vulnerabilidades a lo largo del ciclo de vida del proveedor ayudarán a reducir ese riesgo.
Aplicar un enfoque de defensa en profundidad para limitar el acceso de terceros a la red de una organización es fundamental para evitar que los adversarios consigan una escalada de privilegios, afirma Weintraub. Por ello, las empresas deben investigar a fondo a todos los proveedores externos antes de permitirles el acceso a sus sistemas, para asegurarse de que han implantado los protocolos de seguridad adecuados. "Los terceros son siempre una preocupación cuando se trata de quién tiene nuestros datos; por eso evaluamos continuamente a los terceros nuevos y existentes de forma proporcional al riesgo cibernético para la empresa".
Riesgo financiero por costes de incidentes y pérdida de negocio
El coste de las intrusiones puede ser increíblemente caro y los seguros de ciberseguridad no siempre cubren las infracciones si las empresas no protegen sus sistemas de la forma adecuada, afirma Jay Pasteris, CISO y CIO de la empresa de servicios gestionados GreenPages. "El impacto financiero es lo que vas a perder, pero también vas a tener daños en la reputación de la organización", dice. "Vas a perder clientes. Vas a perder la confianza de los nuevos clientes, has perdido la confianza de los clientes existentes, por lo tanto, estás perdiendo una fuente de ingresos.... Y reemplazar a un cliente existente cuesta mucho dinero. Así que el impacto financiero se acumula muy rápido".
Daños a la reputación y pérdida de confianza de los clientes
Aunque una violación puede no haberse producido dentro de las cuatro paredes de una empresa, una violación en un servicio de terceros que afecte a los datos de la empresa cliente o a sus clientes, esa empresa puede tener que hacer una declaración o notificar a las personas como resultado. "Debido a este impacto posterior, las repercusiones en la reputación pueden superar con creces los daños financieros", afirma Weintraub.
La publicidad negativa derivada de la infracción de un proveedor de servicios puede dañar el buen nombre o la reputación de una empresa, y la percepción pública desfavorable de una empresa puede comenzar con problemas originados por un tercero de su lista de proveedores. Las quejas de los clientes sobre un servicio prestado por un tercero son un buen indicio de que existe un problema potencial, afirma Orozco. "Los clientes no ven que tu montaje, tu producto, tus servicios, tu capacidad de interactuar con ellos están respaldados por terceros", dice. "Sólo ven tu nombre, tu marca y tu incapacidad para satisfacer el compromiso [que has adquirido con ellos]".
Muchas organizaciones toman medidas proactivas para garantizar que sus terceros sean custodios eficaces de los datos. Sin embargo, cuando un tercero viene con su propia cadena de suministro de proveedores, las cosas se complican mucho más, dice Weintraub. "A medida que se avanza en la cadena de proveedores y de los proveedores de los proveedores, puede resultar difícil conocer todas estas entidades y la madurez de los programas de riesgo de terceros que protegen los datos confidenciales con el nivel de rigor que se espera", afirma.
Riesgo geopolítico
Según McBlain, la guerra de Ucrania ha puesto de relieve la necesidad de que las organizaciones sigan muy de cerca los acontecimientos políticos y estén preparadas para actuar en situaciones volátiles. Las organizaciones necesitan garantías de que han cesado todas las actividades de proveedores, socios y empresas conjuntas en jurisdicciones sujetas a sanciones.
"Sin embargo, la guerra en Ucrania y las sanciones asociadas de Rusia y Bielorrusia no son los únicos riesgos geopolíticos a tener en cuenta", dice. "Los proveedores con operaciones en países propensos a la volatilidad del régimen, como golpes militares, levantamientos violentos y opresión de las minorías de forma sistémica, requieren una supervisión cuidadosa y continua".
La volatilidad política a menudo viene acompañada de una proliferación del ciberespionaje de los estados-nación. Las organizaciones necesitan asegurarse de que sus proveedores externos investigan a fondo a sus contratistas para detectar conexiones con gobiernos conocidos por participar en tales actos, dice Weintraub. "Los terceros pueden contratar sin saberlo a teletrabajadores informáticos autónomos que han sido enviados por naciones-estado para generar ingresos para el régimen autoritario del país u obtener acceso a las redes corporativas", afirma. "Aunque es posible que no realicen ninguna actividad cibernética maliciosa mientras desempeñan su trabajo, pueden utilizar su acceso privilegiado para permitir intrusiones cibernéticas maliciosas desde el interior. Esto dificulta la detección de actividades maliciosas".
Riesgo de cumplimiento normativo
Los proveedores externos también exponen a las organizaciones al riesgo de cumplimiento cuando infringen las leyes gubernamentales, las normativas del sector o los procesos internos de las empresas. El incumplimiento por parte de los proveedores podría someter a las empresas que los contratan a cuantiosas sanciones monetarias.
Por ejemplo, las organizaciones deben comprobar que sus proveedores externos cumplen la norma de auditoría SOC2. Esta pretende garantizar que los terceros protejan los datos confidenciales de sus clientes de accesos no autorizados. Las organizaciones también deben asegurarse de que los terceros cumplan con las leyes de privacidad y seguridad, como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea y la Ley de Derechos de Privacidad de California (CPRA), requisitos, dice.
"El cumplimiento es un riesgo enorme", dice Pasteris. "Usted puede cumplir y tener los controles necesarios en su sitio, pero de repente agrega estos terceros y si no está evaluando [si tienen controles en su lugar] podría estar violando su postura de cumplimiento".
