Estos últimos años, la gestión de riesgos de terceros se ha convertido en un reto interesante y particularmente complejo para los expertos en ciberseguridad. 

A medida que crece una organización y evoluciona su ecosistema digital, su nivel de interconexión y dependencia con proveedores externos aumenta generando múltiples desafíos y preguntas a las cuáles es necesario responder de manera eficiente y ágil.

¿Cómo proteger su infraestructura cuando cientos o incluso miles de proveedores tienen acceso a mi red y datos confidenciales?

Para responder a la problemática de la gestión de riesgos de terceros, una gran cantidad de organizaciones están reforzando su política de gestión de proveedores y procesos internos tratando de mantener la competitividad y calidad de sus operaciones. 

Además de realizar un inventario cada vez más detallado de sus proveedores, las empresas evalúan y clasifican a los proveedores en base a su postura de seguridad y al riesgo que representan para la organización. Este tipo de análisis se hace generalmente tomando en consideración la participación del proveedor en un proceso crítico, el tipo de acceso y nivel de gestión que tiene sobre la infraestructura del cliente y la sensibilidad de los datos que maneja. 

En paralelo, la entrega de un cuestionario permite evaluar el cumplimiento del proveedor en cuanto a la existencia de políticas, controles de seguridad y otros requisitos de seguridad definidos por la organización. 

Estas actividades son clave y deben ser complementadas por una mirada técnica y continua más solida. La infraestructura del proveedor siendo en constante evolución, la gestión de riesgos de terceros no puede limitarse solamente al ámbito del cumplimiento.

En esta lógica, es fundamental que, en este ciclo continuo, se integren evaluaciones periódicas de seguridad de sistemas y aplicaciones críticas para las compañías, y es dónde las pruebas técnicas, más conocidas como pruebas de penetración cumplen un rol importante en el proceso de gestión de riesgos. Si bien, muchas veces tienden a quedar fuera de la estrategia, por falta de recursos, tiempo y/o desconocimiento, son esenciales para la prevención del ciberdelito.

“Hemos visto un aumento importante en la cantidad de ataques ejecutados mediante la explotación de fallas de seguridad de terceros para llegar a un objetivo más grande”. informa Laura Gaudino, Country Manager en Dreamlab Technologies España. 

Las pruebas de penetración apuntan a evaluar varios escenarios de ataque y asegurarse que la comunicación entre el cliente y el proveedor, el transito de los datos y la entrega del servicio se realizan bajo un esquema seguro desde el primer día y de manera continua durante todo el periodo de colaboración entre las partes. 

Estas pruebas facilitan la detección de desviaciones y errores humanos tales como la entrega de accesos VPN demasiado amplios y la falta de segmentación de redes, la distribución de credenciales asociadas a privilegios internos inadecuados y el uso de contraseñas poco robustas. Además, las pruebas de penetración permiten la identificación de errores de configuración y falta de parcheo en los sistemas utilizados dentro del contexto de la colaboración entre el cliente y el proveedor. 

Estas vulnerabilidades representan un terreno fértil para los cibercriminales. Abren la puerta a la ejecución de nuevas técnicas de explotación y facilitan la obtención del control de equipos. 

Finalmente, además de tomar conciencia de la importancia de integrar una auditoría de seguridad técnica en su proceso de gestión de riesgos de terceros, las empresas deben incorporar un elemento clave para cerrar el ciclo: la mitigación de las brechas identificadas en todas las etapas anteriores. 

“La colaboración que una empresa logra desarrollar con su proveedor, y el acompañamiento que le brinda en el proceso de mitigación es fundamental, eso representa en mi opinión una gestión real de riesgos de terceros”, explica Gaudino.