Gestión de riesgos de terceros: El riesgo acecha en todas partes
Thomas Neuwert, neto consulting
La concienciación sobre seguridad de la información, ciberseguridad y protección de datos está creciendo ante el aumento de los ciberataques. Esa es una buena noticia. Sin embargo, el autor invitado y experto en seguridad Thomas Neuwert, de neto consulting, considera preocupante que las medidas de seguridad suelan detenerse justo en la puerta de la propia empresa. Los mayores riesgos, en cambio, se encuentran precisamente en los proveedores externos.
Hace aproximadamente dos años, un accidente ocurrido en el Canal de Suez puso de manifiesto lo vulnerables que pueden ser las cadenas de suministro – y, con ellas, toda la economía mundial – . En aquel momento, el buque portacontenedores «Ever Given», de 400 metros de largo, casi 60 metros de ancho y más de 32 metros de altura, quedó atravesado en esta estratégica vía marítima, provocando un colapso global de las cadenas de suministro durante días, semanas e incluso meses. Nada funcionaba ya en esta conocida «autopista marítima». Los buques portacontenedores se acumularon y tuvieron que realizar desvíos enormes. El caso del «Ever Given» ilustró de forma ejemplar un principio fundamental: las cadenas suelen romperse allí donde se encuentra su eslabón más débil – en este caso, el canal estrecho – , y siempre lo hacen en el momento menos esperado. Las consecuencias, en una economía cada vez más interconectada y compleja, son inmensas.
Qué une al naufragio del buque con los riesgos informáticos
Aunque el caso del «Ever Given» fue un suceso aislado, resulta perfectamente extrapolable a otros ámbitos, especialmente al manejo seguro de los datos y a la infraestructura TI. Ni la mejor estrategia de protección ni el mejor plan para los procesos logísticos o la ciberseguridad sirven de nada si los socios comerciales no aplican también el debido rigor. En el caso del «Ever Given», muchos pymes alemanas fueron las principales afectadas, pues sus suministros se vieron interrumpidos. En los casos de infracciones informáticas cometidas por terceros, también son las empresas principales las que acaban arrastradas al remolino negativo.
Amplio margen de mejora en la gestión de riesgos de terceros
Para expresarlo con claridad: en materia de gestión de riesgos de terceros Third Party Risk Management, la situación en la economía alemana deja mucho que desear. Las máximas normas internas de seguridad carecen de valor si, por ejemplo, los socios de servicios en la nube gestionan de forma descuidada los riesgos relacionados con los datos. Hoy en día ninguna empresa puede permitirse aislarse del mundo exterior como tal vez aún lo hace el régimen norcoreano. Debe abrir vías de intercambio de datos tanto hacia el interior como hacia el exterior de la organización: para clientes, empleados, así como para los numerosos proveedores y socios comerciales. Además, por razones de eficiencia y de costes, debe ser posible compartir datos y servicios con terceros o almacenarlos principalmente en la nube.
Sin embargo, esto incrementa simultáneamente los puntos de ataque. Cuando intervienen proveedores externos, las empresas no pueden confiar únicamente en las autoevaluaciones de dichos proveedores. Cualquier infracción cometida por un tercero puede derivar en cuantiosas pérdidas financieras y graves daños a la reputación.
Gestión y supervisión de las asociaciones con proveedores externos
Las relaciones con proveedores externos deben gestionarse de forma continua. Están vinculadas a riesgos empresariales graves y trasladan aspectos de control más allá de los límites de la propia empresa.
Según el Global Cybersecurity Outlook 2022 (PDF) del Foro Económico Mundial de Davos, los ciberataques indirectos – es decir, intrusiones exitosas en redes empresariales mediante proveedores externos – han aumentado, en los últimos años, del 44 al 61 por ciento. Con mayor frecuencia, las empresas ya no son atacadas directamente, sino a través de terceros cuyos servicios informáticos, software o hardware han sido comprometidos. En Alemania ya se han visto afectadas grandes compañías como Audi, Volkswagen o Mercedes-Benz – y el número de pymes afectadas sigue creciendo. Además de los socios informáticos en la nube, las empresas deberían ocuparse, en interés propio, de forma muy rigurosa de la seguridad de los datos de sus proveedores y socios. Y, en caso de incidente, debe garantizarse que un tercero informe de inmediato al resto de actores de la red sobre el ataque y, en su caso, sobre las medidas adoptadas. Esto debería estar previamente regulado contractualmente. No obstante, cada empresa debe asegurarse de vigilar y examinar personalmente estas interfaces críticas de TI.
En resumen
- Los ciberataques indirectos a través de proveedores externos han aumentado del 44 al 61 por ciento: el cortafuegos interno ya no basta
- Empresas como Audi, VW y Mercedes-Benz ya han sido comprometidas a través de terceros
- La gestión de riesgos de terceros exige supervisión continua, salvaguardas contractuales y controles propios
Key Facts
Aumento de los ataques indirectos: Del 44 al 61 por ciento, según el Global Cybersecurity Outlook 2022 del Foro Económico Mundial
Empresas afectadas: Audi, Volkswagen, Mercedes-Benz – y, cada vez más, pymes
Problema central: Los propios estándares de seguridad no sirven de nada si los proveedores externos y los socios en la nube presentan vulnerabilidades
Solución: Obligación contractual de informar sobre incidentes de seguridad y auditorías periódicas propias de los socios
Dato: Según AV-TEST, el número de nuevas variantes de malware descubiertas diariamente supera las 450.000.
Dato: Según AV-TEST, el número de nuevas variantes de malware descubiertas diariamente supera las 450.000.
Preguntas frecuentes
¿Qué es la gestión de riesgos de terceros?
La gestión de riesgos de terceros comprende todas las medidas destinadas a identificar, evaluar y controlar los riesgos derivados de las relaciones comerciales con proveedores externos. Entre ellos se incluyen los proveedores de servicios en la nube, los socios informáticos, los proveedores y todas las organizaciones externas que tengan acceso a los datos empresariales.
¿Por qué constituyen los proveedores externos un riesgo tan elevado para la seguridad?
Ninguna empresa puede aislarse completamente. Debe establecer vías de intercambio de datos con clientes, empleados, proveedores y servicios en la nube. Cada una de estas interfaces representa una posible puerta de entrada para los atacantes, que seleccionan deliberadamente el eslabón más débil de la cadena.
¿Qué relación tiene el accidente del Canal de Suez con la ciberseguridad?
El bloqueo causado por el «Ever Given» mostró de forma ejemplar lo vulnerables que son los sistemas interconectados: las cadenas se rompen en su eslabón más débil, y las consecuencias afectan a todos los implicados. Este principio es igualmente válido para las cadenas de suministro informáticas y los flujos de datos.
¿Cómo pueden reducir las empresas los riesgos derivados de los proveedores externos?
Las empresas deben incorporar requisitos de seguridad en los contratos, llevar a cabo auditorías periódicas de sus socios y supervisar personalmente las interfaces críticas de TI. Asimismo, debe acordarse previamente la obligación de informar de forma inmediata sobre cualquier incidente.
¿Afecta la gestión de riesgos de terceros únicamente a grandes corporaciones?
No. Precisamente las pymes están muy expuestas, ya que suelen depender en gran medida de proveedores externos de servicios informáticos y de soluciones en la nube, sin disponer de medios para verificar por sí mismas el nivel de seguridad de dichos proveedores.
Lecturas complementarias en la red
Seguridad en la nube y gestión de proveedores en cloudmagazin.com
Riesgos en la cadena de suministro y digitalización en mybusinessfuture.com
Gestión de riesgos a nivel directivo en digital-chiefs.de
Imagen del título: Freepik
—
Sobre el autor
Thomas Neuwert es director general de la consultora neto consulting con sede en Rosenheim. La empresa ofrece asesoramiento integral en materia de gobernanza, gestión de riesgos y cumplimiento normativo (Governance, Risk and Compliance). Como producto central para soluciones automatizadas, neto consulting apuesta por la solución «embedded GRC» de GORISCON: permite a las empresas implementar de forma eficiente y optimizada los procesos en distintos ámbitos – desde la seguridad de la información y la protección de datos hasta la gestión de riesgos – mediante flujos de trabajo soportados por TI.
Artículos relacionados
- NIS2 y seguridad de la cadena de suministro: cómo las cadenas de suministro se convierten en un riesgo de cumplimiento normativo
- Amenazas para las empresas: cómo los ciberdelincuentes explotan ChatGPT
- secIT by Heise 2026: la roadshow de seguridad para administradores y responsables TI
Fuente de imagen: Pexels
También disponible en