Menta

Blog

¿Sabes si la información de tu empresa que manejan terceros está comprometida?

Existe el riesgo de que los datos e información de la empresa, al ser compartidos con servicios externos, se encuentren vulnerables. Conoce de qué forma puedes monitorear esa información.

Cuando se pretende combatir el riesgo cibernético dentro de cualquier compañía, lo primero es proteger los sistemas propios de la empresa, así como su presencia web. Sin embargo, muchas veces se olvidan los servicios de terceros, quienes también tienen acceso a datos importantes. Por esta razón es importante generar una estrategia de monitoreo que eleve la seguridad con dichos proveedores, ya que no se encuentran bajo el control de la empresa. Estamos hablando de servicios de hosting, proveedores PaaS e IaaS, de DNS, de CDN, servicios de e-Commerce, entre muchos otros.

Por lo anterior, existe el riesgo de que los datos e información de la empresa, al ser compartidos o almacenados por terceros, estén en riesgo, sin importar la inversión que se haya realizado en seguridad interna.

Es por ello que a continuación revisaremos las formas más comunes en que la información de las empresas puede ser vulnerada a través de servicios de terceros y cómo enfrentar este riesgo. De esta forma podrás asegurarte de contar con un plan integral de ciberseguridad que contemple todos los flancos.

1. El riesgo comienza en el lugar menos visible

En caso de que un atacante esté planeando robar datos de una organización, puede hacerlo sin generar sospechas haciéndose pasar por un acceso legítimo. Por ejemplo, puede recurrir a un proveedor pequeño, como un tercero, con protocolos de seguridad menos estrictos. Desde ahí, luego, podría acceder a la información de la organización.

2. El riesgo se extiende más allá de los proveedores principales

Es importante tener en cuenta que el riesgo no se agota únicamente con los servicios de terceros, ya que estas empresas también pueden contar con sus propios servicios de terceros conocidos como “terceros de segundo nivel“. Es necesario conocer y monitorear la manera en la que los proveedores administran sus propios servicios de terceros. Por otra parte, es importante considerar a los proveedores que tienen sedes en el extranjero, ya que tienen una cultura y prácticas empresariales distintas.

3. Cada empresa es responsable de su propia seguridad

Con los cambios en las metodologías y formas de manejar los servicios actualmente, las organizaciones pueden tener dudas respecto a cuál es el alcance completo del riesgo cibernético; lo que, por supuesto, se relaciona directamente con los terceros. Aún en el caso de que un riesgo se deba a la poca seguridad de un tercero, esta organización no será la principal responsable ante algún incidente que pueda presentarse. La razón es porque difícilmente la empresa principal podrá demostrar que tomó las previsiones necesarias para administrar el riesgo de terceros. Por otra parte, si dicha empresa no logró verificar la seguridad de un proveedor mediante, por ejemplo, una evaluación de riesgo cibernético, lo más probable es que no haya tomado ninguna precaución.

4. El riesgo se debe mitigar a lo largo del ciclo de vida de los datos

Los datos almacenado en los proveedores de servicios que una organización deja de utilizar al terminar la relación contractual, pese a no tener relación alguna con la empresa, pueden continuar siendo un riesgo potencial. Por esta razón, si se trata de soluciones en la nube de terceros, por ejemplo, no sólo se debe entender cómo se almacenan los datos, sino también cómo se van a manejar cuando termine la relación entre ambas partes.

5. La ciberseguridad tradicional puede quedarse corta

El Instituto de Ingeniería de Software señala que, en ocasiones, la práctica tradicional de seguridad de la información trata a la información de riesgos de terceros sólo como un complemento a las actividades se seguridad alternas. Muchas veces, los departamentos encargados de mantener la seguridad administran de manera independiente, tanto el riesgo interno como el de terceros, y sólo reaccionan a lo que pueda surgir en el camino. Esto da como resultado una solución que puede ser útil a corto plazo, pero no da una perspectiva completa del riesgo cibernético y puede dejar abiertas vulnerabilidades aún desconocidas.

Como hemos podido ver hasta aquí, un enfoque que contemple la seguridad de las empresa debería tener en cuenta tanto el comportamiento de terceros como sus relaciones tecnológicas dentro del entorno digital. Para que esto pueda ser una realidad, se necesita que las organizaciones evalúen a sus proveedores mediante el uso de monitoreo de riesgo cibernético. Es cierto que alcanzar ese nivel de confianza es un gran reto, pero con algunas innovaciones como la resiliencia tecnológica es posible gestionar estos riesgos.

Si quieres asegurar la información y datos de tu empresa compartidos con servicios de terceros, platica con nuestros expertos y conoce la mejor forma para lograrlo.

Contáctanos

Por favor introduce tus datos y nos pondremos en contacto contigo.

Recibirás un resumen semanal.