Vulneración de proveedores

La seguridad de los datos que confía a proveedores depende de la calidad de su gestión de riesgos y su seguridad de TI.  Si un ciberdelincuente roba datos, usted puede tener obligaciones legales como propietario de los datos de notificárselo a las personas afectadas, aunque no haya habido acceso a sus propios sistemas. Los incidentes de vulneración de datos causados por proveedores pueden ocurrir en cualquier sector, pero son especialmente frecuentes en los servicios sanitarios y financieros, donde los proveedores suelen almacenar o procesar datos sobre pacientes o pagos.

Las organizaciones suelen permitir que los proveedores accedan a sus sistemas informáticos. Si un ciberdelincuente vulnera el sistema de uno de sus proveedores, es posible que consiga acceder a su sistema iniciando sesión como dicho proveedor.  Este tipo de incidente es especialmente frecuente entre proveedores de servicios gestionados (MSP) de TI si las claves de acceso no se gestionan de forma segura. Y, sobre todo, este comportamiento es difícil de detectar, porque el ciberdelincuente utilizará información de inicio de sesión válida y procedente de una fuente de confianza.

Los ciberdelincuentes atacan cada vez con más frecuencia empresas de software para ocultar malware en software legítimo. Cuando una empresa distribuye actualizaciones de su software, el malware puede propagarse a los sistemas de sus clientes, y podría evitar la detección porque la fuente es de confianza. Se prevé que estos ataques aumenten, y los daños que causan pueden ser generalizados. 

Sus proveedores tienen sus propios proveedores, y un ciberincidente en uno de estos proveedores puede crear un efecto dominó que afecte a su organización.

Identifique qué proveedores tienen acceso a su red. Exija una MFA segura y limite el acceso en función del principio de privilegios mínimos. Registre, supervise y audite el acceso de los proveedores a sus sistemas. Usar herramientas de detección y respuesta de puntos de conexión (EDR) en modo de cumplimiento puede ayudar a detectar comportamientos inusuales causados por la vulneración de un proveedor.

Evalúe las prácticas de seguridad de sus proveedores y asegúrese de que los contratos con dichos proveedores exijan la seguridad adecuada en función de los servicios que prestan. Exija que los proveedores le notifiquen los incidentes reales o presuntos de seguridad de los datos en un plazo acordado que le permita evaluar sus obligaciones de notificación. Estipule en el contrato la responsabilidad de notificar a reguladores o particulares y los costes de estas notificaciones.

Los productos de software suelen contener código de diversas fuentes. Nuevas herramientas facilitan la generación de una lista de materiales de software (SBOM) para ayudarle a identificar las partes de su software que pueden tener vulnerabilidades conocidas.

Desarrollar una sólida gestión de riesgos de la cadena de suministro es la mejor forma de reducir los riesgos causados por los proveedores. Puede ser complicado para las organizaciones de menor tamaño, pero le recomendamos que empiece por identificar a sus proveedores y clasificarlos en función del riesgo. Céntrese primero en los que representan mayores riesgos y continúe a partir de ahí.