Tenir sistemes de ciberseguretat té molts avantatges, però, tret que es complementi amb els controls adequats, aquest coneixement no impedirà que en certs casos se superin els murs de seguretat d’una empresa.
Segons un informe de Juniper Research, del 2019, es preveu que el cost de les violacions de dades augmentarà de 3 bilions de dòlars anuals a 5 bilions de dòlars el 2024. Això és particularment important per a les grans organitzacions que confien en serveis de tercers per portar a terme les seves operacions bàsiques. Un estudi del 2018 realitzat per Opus i per Ponemon Institute va trobar que gairebé el 60% de les empreses van experimentar una violació de dades relacionada amb un proveïdor extern. Per exemple, el 2019, Quest Diagnostics va anunciar que la informació d’11,9 milions de pacients va ser transgredida a través de la seva agència de cobrament de factures. Un exemple més recent és el del proveïdor de banca digital Dave, que al juliol va revelar una violació de dades que implicava la informació de 7,5 milions d’usuaris. L’empresa va dir que la violació de dades venia d’un dels seus antics proveïdors externs.
En general, les infraccions de dades comporten pèrdues financeres i de reputació importants per a les empreses afectades. Per minimitzar aquests riscos i pèrdues, les empreses han de ser conscients de les ciberamenaces de tercers, i adoptar noves tècniques per supervisar els seus venedors i socis comercials. A continuació ecpliquem perquè les companyies s’han de prendre seriosament les amenaces de tercers i demanar garanties de ciberseguretat a possibles nous proveïdors.
Tenir més proveïdors fa augmentar les amenaces cibernètiques de tercers
Avui dia, les empreses sovint confien en molts proveïdors externs que els donen suport i porten a terme les seves operacions sense problemes. Per exemple, la llista de proveïdors d’Apple del 2019 inclou a més de 200 empreses vinculades a la seva cadena de subministrament. En molts casos, els riscos cibernètics es deriven de les vulnerabilitats de seguretat dels proveïdors. Per exemple, l’aplicació de criptomonedes Agama va ser piratejada a causa d’una greu vulnerabilitat a la seva biblioteca JavaScript de proveïdors.
El principal repte a què s’enfronten les organitzacions per gestionar les ciberamenaces de tercers és que els protocols de seguretat dels seus socis estan fora del control directe de la companyia. Les organitzacions inverteixen diners i persones qualificades per protegir els seus sistemes d’informació contra violacions de dades, però això generalment només afecta els seus entorns interns i els deixa un control limitat sobre les mesures de seguretat implementades pels seus proveïdors de serveis.
Què cal demanar quan es tria un proveïdor
Per ajudar-vos a determinar si un soci potencial es pren seriosament la seguretat, aquí hi ha vuit preguntes que us heu de fer quan estigueu analitzant un proveïdor nou per a la vostra empresa.
1. Tenen contacte amb algú dedicat a la ciberseguretat o tenen un cap de ciberseguretat? Si un tercer desplega recursos dedicats per gestionar els riscos i salvaguardar la seva informació crítica, demostra que adopta una postura de màxima serietat respecte a la seguretat.
2. Tenen certificació industrial o estan alineats amb un marc industrial com ara NIST? Tot i que la certificació industrial no necessàriament indica l’eficàcia dels controls de seguretat de tercers, proporciona una garantia addicional sobre el compromís del venedor pel que fa a protegir la informació dels seus sistemes i la dels seus clients.
3. Tenen instal·lat un programa de gestió d’amenaces? És important determinar l’eficàcia dels seus controls de seguretat. Això es pot fer mitjançant la revisió d’informes d’auditoria de seguretat independents per avaluar la gestió de vulnerabilitats del venedor, els processos de desenvolupament de programari segur i els programes de gestió d’amenaces, com ara la ciberintel·ligència.
4. Permeten el “dret d’auditoria”? En funció del perfil de risc d’un tercer, és possible que vulgueu considerar incloure una clàusula que proporcioni el dret d’auditar els seus sistemes per determinar el seu risc i exposició.
5. Tenen establert un pla de resposta a incidents, inclosos els acords de nivell de servei de notificació d’incidents? La normativa sobre protecció de dades i privadesa s’ha tornat estricta i les organitzacions estan obligades a divulgar incompliments materials en un termini especificat. La responsabilitat de la divulgació correspon als propietaris i custodis de les dades, de manera que la vostra organització hauria de treballar estretament amb un proveïdor que estigui obligat a complir aquests terminis per evitar possibles incompliments o sancions.
6. Han patit algun ciberatac o violació de dades important? Cap organització és immune als ciberatacs; no obstant això, quan una organització s’enfronta a una bretxa notable, és prudent entendre els controls fallits i com l’organització els va dirigir per evitar la recurrència.
7. Els vostres requisits de processament de dades estan alineats amb les ofertes del venedor? Les empreses poden tenir requisits estrictes o necessitats empresarials per processar o no processar dades en ubicacions o regions específiques. En seleccionar un proveïdor, aquests requisits s’han d’acordar i controlar de forma continuada.
8. Tenen una bona puntuació cibernètica? És prudent determinar l’exposició d’una organització a la superfície web, deepweb i darkweb per predir la probabilitat d’una possible infracció a causa de la seva exposició. Hi ha diverses entitats que proporcionen puntuació cibernètica als proveïdors i també us permeten comparar-les amb proveïdors similars.