Una forma eficaz de gestionar las vulnerabilidades de los proveedores externos es aplicar la formación de concienciación sobre la seguridad con los proveedores externos.
El ecosistema de proveedores es una parte integral de muchas organizaciones y proporciona soporte para el éxito de un negocio. Esta relación íntima, a menudo compleja, entre los proveedores ha dado lugar a líneas de falla que los hackers explotan. La formación en materia de concienciación de seguridad con los proveedores externos es extremadamente importante.
El alcance de estas vulnerabilidades de terceros fue captado en una encuesta realizada en 2020 por Opinion Matters: la encuesta exploró los problemas de seguridad del ecosistema de terceros con los CIO, los CISO y los directores de compras. Uno de los resultados más preocupantes del informe fue que alrededor del 82% de las organizaciones británicas habían sufrido una brecha de seguridad originada en el ecosistema de proveedores más amplio. La encuesta también señalaba que el Reino Unido es el país con menor visibilidad de las vulnerabilidades de seguridad en la cadena de suministro.
Gestión de las implicaciones de seguridad del uso de terceros
La formación en materia de concienciación sobre la seguridad con proveedores externos es un proceso holístico que implica muchas partes móviles. Debido a la complejidad de estos sistemas, tanto la exposición accidental de datos como la focalización de la ciberseguridad en la cadena de suministro conducen a graves amenazas de seguridad y a un mayor riesgo corporativo.
Las empresas que utilizan proveedores y otros terceros, suelen ser responsables de los resultados de un ciberataque, incluso si la culpa es de un tercero. Las normativas como ISO27001 y PCI DSS (Payment Card Industry Data Security Standard) tienen requisitos que esperan que se gestione cualquier riesgo de datos asociado a los proveedores de terceros.
Un estudio reciente de la EN ISA reveló que el 58% de los ataques se centran en la obtención de acceso a los datos y el 62% de los ataques dependen de la manipulación de la confianza de los clientes en la cadena de suministro. El informe de la ENISA afirma que:
"Una fuerte protección de la seguridad ya no es suficiente para las organizaciones cuando los atacantes ya han trasladado su atención a los proveedores".
En el informe también se destaca que la notificación de incidentes es deficiente, lo que repercute en la visibilidad de las vulnerabilidades en la cadena.
Dado que las cadenas de suministro son responsables de tantos ciberataques, es vital centrarse en el lado humano de la ciberseguridad, asegurándose de que todas las terceras partes sean plenamente conscientes de los retos de la seguridad. El elemento humano en la ecuación de las amenazas a la ciberseguridad se aborda en forma de formación en materia de concienciación sobre la seguridad. Pero, ¿cómo gestiona una organización la formación en materia de concienciación sobre la seguridad con terceros proveedores?
Cuestiones importantes en la gestión de la formación en materia de sensibilización sobre la seguridad con terceros proveedores
La gestión de las vulnerabilidades de seguridad en la cadena de suministro se reduce a la formación de los empleados de toda la cadena. La gestión de la formación en materia de concienciación sobre la seguridad con los proveedores y empleados de terceros conlleva varias cuestiones clave:
¿Tiene el tercero formación en materia de seguridad?
Averigüe si su proveedor dispone de un paquete de formación sobre concienciación en materia de seguridad. Tenga en cuenta, sin embargo, que no todos los paquetes de concienciación sobre seguridad son iguales. El nivel de formación debe ser tal que satisfaga las expectativas de su propia empresa. Compruebe que la formación se lleva a cabo a intervalos regulares. Un paquete de formación deficiente que no utilice materiales de formación interactivos y atractivos puede no cambiar el comportamiento de seguridad de los empleados.
¿Utiliza el proveedor simulacros de phishing y otro tipo de educación para la concienciación sobre el phishing?
En una encuesta realizada en 2021 por Thales, el phishing ocupó el tercer puesto en el ranking de las diez mayores preocupaciones por las amenazas a los datos. El malware y el ransomware, a menudo iniciados por el phishing, fueron los números 1 y 2 respectivamente.
Los simulacros de phishing llevan a los empleados a través de ejercicios automatizados de simulación de phishing cuidadosamente configurados. Con el tiempo, esto aumenta la confianza del personal para saber cómo detectar los signos reveladores del phishing y cómo denunciar la amenaza. Compruebe con su proveedor si utiliza simulaciones de phishing y, si no es así, ayúdele a desarrollar un programa que simule las estafas típicas de phishing que afectan a su sector.
Evaluar cualquier campaña de formación de concienciación sobre seguridad existente con proveedores de terceros
Una vez que haya comprobado que el proveedor dispone de un programa de formación sobre concienciación en materia de seguridad, puede evaluar su eficacia comprobando:
- Pruebas documentales de la formación, por ejemplo, la asistencia de los empleados a las sesiones de formación, los tipos de preguntas formuladas por los alumnos, etc.
- Métricas de la eficacia de la formación, por ejemplo, ¿cuántos empleados fueron capaces de reconocer un mensaje de phishing y denunciarlo?
Las métricas ayudan a realizar cambios focalizados en un programa que se traduce en resultados de formación aún mejores.
¿Qué ocurre si su proveedor externo no utiliza la formación en materia de concienciación sobre la seguridad?
Cada vez es más importante abordar el elemento humano del ciberriesgo. Otro informe de ENISA descubrió que el 95% de los correos electrónicos de phishing necesitan la intervención humana para iniciar una infección de malware. Además, también hay que tener en cuenta la amenaza que suponen las personas con información privilegiada accidental; el informe Verizon Data Breach Investigations Report, de 2021, concluyó que el 22% de los incidentes de seguridad estaban relacionados con personas con información privilegiada.
El personal de los proveedores debe recibir una formación con los mismos niveles de concienciación en materia de seguridad que el personal de su propia empresa. Para gestionar esto, el acuerdo de nivel de servicio (SLA) entre su empresa y su proveedor debe reflejar el nivel de formación que usted espera que se realice. Este acuerdo legal debe exigir que los detalles del programa de formación en seguridad se aprueben según sus propios estándares. Contar con un acuerdo de nivel de servicio que incluya una cláusula de concienciación en materia de seguridad demuestra que el proveedor está comprometido tanto con su seguridad como con la suya.
Los grandes proveedores externos garantizan una ventaja competitiva, pero las vulnerabilidades de seguridad pueden convertir a un gran proveedor en un lastre.
Los ciberdelincuentes buscan el eslabón más débil de la cadena, el proveedor y su personal. Para garantizar que estos resquicios en la armadura de la cadena se mitiguen, asegúrese de que la formación en materia de concienciación sobre la seguridad con terceros proveedores que se lleve a cabo se gestione cuidadosamente para cumplir con las expectativas y los estándares que usted espera.
