You are currently viewing Prácticas recomendadas para mitigar riesgos de terceros

Prácticas recomendadas para mitigar riesgos de terceros

La época actual representa grandes desafíos para las empresas. En particular, los temas de seguridad cibernética y de privacidad han estado en el radar de la alta dirección. Aunque el tema de una intrusión cibernética importante siempre ha sido un riesgo importante, la presencia de la pandemia provocada por el  COVID-19 ha planteado riesgos adicionales. El cambio hacia el trabajo remoto ha conducido a un aumento exponencial de los ataques informáticos tales como el phishing y el ransomware, así como a un aumento apreciable de los ataques dirigidos a entidades académicas, gubernamentales y del sector privado de diversos niveles.

El trabajo remoto ha dado mayor prominencia a los proveedores externos. Las vulnerabilidades de la cadena de suministro de terceros se han hecho más evidentes y se han materializado más riesgos, algunos con graves consecuencias, incluso para entidades de gobierno. Cuando un intruso aprovecha una vulnerabilidad de un proveedor externo, hay que tener en cuenta la perspectiva de la privacidad, puesto que en muchas ocasiones se subcontratan tareas en áreas como recursos humanos, cuentas por pagar, impuestos e información sensible como huéspedes de hoteles y compras en agencias de viajes.

Como se aprecia, los terceros y proveedores hoy en día se han convertido en parte integral de muchos de los procesos de negocio actualmente. En este esquema de trabajo, los terceros han introducido cada vez más riesgos tanto desde el punto de vista de la ciberseguridad como de la privacidad. Este asunto es tan importante que incluso el Instituto Nacional de Estándares y Tecnología (NIST por sus siglas en inglés, National Institute of Standards and Technology[1]) agregó un conjunto de controles para la gestión de riesgos de la cadena de suministro a su Marco de Ciberseguridad en 2018. También, el Marco de Privacidad del NIST, publicado en enero de 2020, por su parte aborda los riesgos de terceros dentro de su enfoque general de gestión de riesgos empresariales.

A este complejo panorama se adiciona el hecho de contar con diversas regulaciones sobre el tema. Organismos de supervisión, normatividad técnica profesional, autoridades de diferentes jurisdicciones, han creado un complejo panorama de leyes, regulaciones, requisitos y marcos, que requieren una evaluación rutinaria utilizando auditorías, resultados de pruebas y otros mecanismos de evaluación para confirmar el cumplimiento. No obstante, en algunos casos, los requisitos exigidos son demasiado ambiciosos y no guardan coherencia unos con otros. Frente a esta situación, la forma más efectiva de abordar las vulnerabilidades presentadas por terceros tanto desde una perspectiva de privacidad como de ciberseguridad sería contar con un conjunto de estándares comunes, consistentes y robustos. Algunas de las mejores prácticas que se pueden encontrar en las diversas normas, son las siguientes:

Revisar y revalidar los accesos de seguridad de confianza

Si el proveedor externo tiene acceso especializado a los sistemas del cliente de auditoría, es vital revalidar ese acceso anualmente, ya sea que el servicio proporcionado sea soporte/mantenimiento de software o hardware, un complemento de API[2] (para pedidos, envíos, procesamiento de tarjetas de crédito, etc.), procesamiento de datos o servicios de almacenamiento, entre otros.

En ocasiones, el acceso del tercero o proveedor elude la seguridad de la organización (firewalls, IDS, inicios de sesión), o está preautorizado para pasar a través de su seguridad sin verificación, por lo que se hace necesario revisar y verificar el proceso.

Es conveniente revisar los registros relacionados con esos accesos para asegurarse de que el tercero solo está tocando los datos que deberían y no está accediendo o eliminando los datos que no deberían. Parte de este proceso de revisión anual también debería incorporar la cuestión de si el acceso privilegiado sigue siendo apropiado; en ocasiones la relación con el tercero termina y el acceso privilegiado proporcionado a ese tercero permanece en el sistema, creando una vulnerabilidad potencialmente no monitoreada.  Asimismo, se debería realizar anualmente una inmersión profunda en los propios procesos del proveedor para monitorear sus accesos privilegiados a sus sistemas. Esta inmersión profunda debe examinar los registros que evidencien las auditorías o comprobaciones puntuales de terceros de su acceso a sus sistemas, los documentos relacionados con la seguridad interna o las revisiones de cumplimiento de los incidentes resultantes del acceso y los registros que demuestren la validación de los terceros de sus protocolos y procesos de seguridad relacionados con ese acceso.

Debida diligencia con el proveedor o tercero

Una manera de conservar la confianza en un tercero es a través de la revalidación regular (anualmente, o al menos dos veces al año), utilizando el mismo y robusto proceso de debida diligencia que se empleó al seleccionar inicialmente a ese proveedor. Es lo que se conoce como confiar, pero verificar. Después de todo, a lo largo del tiempo las condiciones cambian, las materias primas pueden venir de otros proveedores, los recursos tienen diferentes orígenes, los socios cambian, las páginas web capturan información, etc. Así mismo, quienes procesan datos de terceros pueden cambiar los servicios de alojamiento o las ubicaciones de almacenamiento de datos (regidos por nuevas leyes y abriendo nuevos riesgos), sus relaciones de intercambio de datos pueden evolucionar, entre otros cambios. La única manera de garantizar que la cadena de suministro permanezca segura y que los datos privados permanezcan privados, es reevaluar regularmente las fuentes y los riesgos de terceros.

Gestión activa de contratos

Los contratos con los proveedores y terceros deben relacionar de manera explícita los requisitos y compromisos de seguridad y privacidad, para garantizar que el tercero se adhiera a los estándares que llevaron a su selección inicial, así como a cualquier medida de mitigación que se haya establecido posteriormente para abordar los problemas descubiertos durante las revisiones de debida diligencia. En algunas jurisdicciones, esto es obligatorio.

 Designación de un responsable

Alguien en la organización debe ser responsable en última instancia de supervisar todas las relaciones con terceros; proveedores de cadena de suministro, procesadores de datos, hosts y proveedores de almacenamiento. Esta persona debe llevar a cabo auditorías periódicas y supervisión de cumplimiento; también debe asegurarse de que los contratos incluyan el contenido pertinente. Esta persona debería reportar a la alta dirección.

Las anteriores prácticas, si bien no son exhaustivas, si son convenientes y en términos prácticos, puede ser un desafío para cada empresa implementar todos los requisitos, con cada tercero, cada vez. En términos realistas, la alta dirección debe decidir qué proveedores externos priorizar y en qué orden; lo más probable es que esto se base en el servicio prestado por el tercero, el riesgo que la corrupción o explotación de ese tercero representa para la organización y el daño potencial que podría sobrevenir si ese riesgo llegara a buen término. El auditor debe estar atento a la debida aplicación de estas prácticas.

[1] El Instituto Nacional de Estándares y Tecnología (NIST por sus siglas en inglés, National Institute of Standards and Technology), es una agencia de la Administración de Tecnología del Departamento de Comercio de los Estados Unidos. La misión de este instituto es promover la innovación y la competencia industrial en Estados Unidos mediante avances en metrología, normas y tecnología de forma que mejoren la estabilidad económica y la calidad de vida.

[2] La interfaz de programación de aplicaciones, conocida también por la sigla API, en inglés, application programming interface, es un conjunto de definiciones y protocolos que se utiliza para desarrollar e integrar el software de las aplicaciones. Las API permiten que algunos productos y servicios se comuniquen con otros, sin necesidad de saber cómo están implementados.