Formación sobre concienciación en materia de seguridad con proveedores externos

Una forma eficaz de gestionar las vulnerabilidades de los proveedores externos es poner en práctica una formación de concienciación sobre la seguridad con los proveedores externos.

El ecosistema de proveedores es una parte integral de muchas organizaciones y proporciona apoyo para el éxito de un negocio. Esta relación íntima, a menudo compleja, entre proveedores ha dado lugar a líneas de falla que los piratas informáticos explotan. La formación sobre concienciación en materia de seguridad con proveedores externos es extremadamente importante.

El alcance de estas vulnerabilidades de terceros se recogió en una encuesta realizada en 2020 por Opinion Matters: la encuesta exploró los problemas de seguridad del ecosistema de terceros con directores de sistemas de información, directores de sistemas de información y directores de adquisiciones. Uno de los resultados más preocupantes del informe fue que alrededor del 82% de las organizaciones británicas habían sufrido una brecha de seguridad originada en el ecosistema de proveedores más amplio. La encuesta también señalaba que el Reino Unido es el país con peor visibilidad de las vulnerabilidades de seguridad en la cadena de suministro.

Gestión de las implicaciones de seguridad del uso de terceros 

La formación para la concienciación sobre la seguridad con proveedores externos es un proceso holístico que implica muchas partes móviles. Debido a la complejidad de estos sistemas, tanto la exposición accidental de datos como los ataques a la ciberseguridad de la cadena de suministro conducen a graves amenazas para la seguridad y a un mayor riesgo corporativo.

Las empresas que utilizan proveedores y otros terceros, suelen ser responsables de los resultados de un ciberataque, aunque la culpa sea de un tercero. Reglamentos como ISO27001 y PCI DSS (Norma de seguridad de datos del sector de las tarjetas de pago) tienen requisitos que esperan cualquier se gestionan los riesgos de datos asociados a proveedores terceros. 

A Según un estudio reciente de la ENISA, el 58% de los ataques se centran en obtener acceso a los datos y el 62% de ellos dependen de la manipulación de la confianza de los clientes en la cadena de suministro. El informe de ENISA afirma que:   

«Una fuerte protección de la seguridad ya no es suficiente para las organizaciones cuando los atacantes ya han trasladado su atención a los proveedores«. 

La notificación de incidentes también se destacó en el informe como deficiente, lo que repercute en la visibilidad de las vulnerabilidades en la cadena.  

Dado que las cadenas de suministro son responsables de tantos ciberataques, es vital centrarse en el lado humano de la ciberseguridad, asegurándose de que todas las terceras partes son plenamente conscientes de los retos de la seguridad. Abordar el elemento humano en la ecuación de las amenazas a la ciberseguridad viene en forma de Formación para la Concienciación sobre la Seguridad. Pero, ¿cómo gestiona una organización la Formación de Concienciación sobre Seguridad con terceros proveedores?

Cuestiones importantes en la gestión de la formación sobre concienciación en materia de seguridad con proveedores externos

La gestión de las vulnerabilidades de seguridad en la cadena de suministro se reduce a la educación de los empleados de toda esa cadena. La gestión de la formación sobre concienciación en materia de seguridad con proveedores y empleados de terceros viene acompañada de varias cuestiones clave:  

¿Dispone el tercero de formación sobre concienciación en materia de seguridad? 

Averigüe si su proveedor dispone ya de un paquete de formación sobre concienciación en materia de seguridad. Tenga en cuenta, sin embargo, que no todos los paquetes de concienciación sobre seguridad son iguales. El nivel de formación debe ser de un nivel que satisfaga las expectativas de su propia empresa. Compruebe que la formación se lleva a cabo a intervalos regulares. Un paquete de formación deficiente que no utilice materiales de formación interactivos y atractivos puede no cambiar  un comportamiento deficiente en materia de seguridad por parte de los empleados.  

¿Utiliza el proveedor simulacros de phishing y otro tipo de educación para la concienciación sobre el phishing? 

En un 2021 realizada por Thales, el phishing se situó en el número 3 de las diez principales preocupaciones por las amenazas a los datos. El malware y el ransomware, a menudo iniciados por el phishing, ocuparon los números 1 y 2 respectivamente.  

Las simulaciones de suplantación de identidad llevan a un empleado a través de ejercicios automatizados de simulación de phishing. Con el tiempo, esto aumenta la confianza del personal a la hora de saber cómo detectar los signos reveladores del phishing y cómo denunciar después la amenaza. Compruebe con su proveedor si utiliza simulaciones de phishing y, si no es así, ayúdele a desarrollar un programa que simule las estafas típicas de phishing que afectan a su sector.  

Evalúe cualquier campaña de formación sobre concienciación en materia de seguridad existente con proveedores externos 

Una vez que haya comprobado que el proveedor dispone de un programa de formación sobre concienciación en materia de seguridad, puede evaluar su eficacia comprobándolo: 

• Pruebas documentales de la formación, por ejemplo, asistencia de los empleados a las sesiones de formación, tipos de preguntas formuladas por los alumnos, etc. 
• Métricas de la eficacia de la formación, por ejemplo, ¿cuántos empleados fueron capaces de reconocer un mensaje de phishing y denunciarlo? 

Las métricas ayudan a realizar cambios específicos en un programa que se traduce en resultados de formación aún mejores. 

¿Qué ocurre si su proveedor externo no utiliza la formación de concienciación sobre seguridad? 

Cada vez es más importante abordar el elemento humano del riesgo cibernético. Otro  El informe de ENISA descubrió que el 95% de los correos electrónicos de phishing necesitan la intervención humana para iniciar una infección de malware. Además, también hay que tener en cuenta la amenaza de los intrusos accidentales; el  Verizon Data Breach Investigations Report, 2021 descubrió que el 22% de los incidentes de seguridad implicaban a personas con acceso a información privilegiada. 

El personal de los proveedores debe recibir una formación con los mismos niveles de concienciación en materia de seguridad que el personal de su propia empresa. Para gestionar esto, el Acuerdo de Nivel de Servicio (SLA) entre su empresa y su proveedor debe reflejar el nivel de formación que usted espera que se lleve a cabo. Este acuerdo legal debe exigir que los detalles del programa de formación en seguridad se aprueben según sus propias normas. Disponer de un SLA que incluya una cláusula para la provisión de concienciación en materia de seguridad demuestra que el proveedor está comprometido tanto con su seguridad como con la suya.  

Los grandes proveedores externos garantizan una ventaja competitiva, pero las vulnerabilidades de seguridad pueden convertir a un gran proveedor en un lastre.

Los ciberdelincuentes buscan el eslabón más débil de la cadena, el proveedor y su personal. Para garantizar que estos resquicios en la armadura de la cadena se mitiguen, asegúrese de que la formación sobre concienciación en materia de seguridad con terceros proveedores que se lleva a cabo se gestiona cuidadosamente para cumplir las expectativas y los estándares que usted espera.