Maksim Kabakou - Fotolia

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

El riesgo de brechas cibernéticas de terceros puede aumentar

El riesgo de seguridad cibernética de terceros siempre debería haber sido una prioridad, pero esto nunca ha sido más importante de lo que es ahora a la luz de los nuevos riesgos tecnológicos y las regulaciones de protección de datos.

El riesgo de los proveedores de terceros aumentará a medida que muchas empresas adopten nuevas tecnologías para aumentar la eficiencia sin las habilidades necesarias para evaluar y gestionar los riesgos, advierten expertos de la industria.

"A medida que las organizaciones implementan nuevas tecnologías, están externalizando más para compensar la escasez de habilidades internas en torno a cosas como internet de las cosas y la inteligencia artificial", dijo Alan Rodger, analista senior de la firma de investigación Ovum.

"Con esta rápida expansión de la tercerización, existe un riesgo creciente de confiar en proveedores externos", dijo en un seminario sobre la adopción de un enfoque de riesgo ágil e impulsado por negocios, organizado por RSA Security en Londres.

Como resultado de la transformación digital, las empresas dependen cada vez más de una gama de servicios en el back-end que potencialmente introducen vulnerabilidades de seguridad cibernética, dijo Rashmi Knowles, director de tecnología de campo en Europa para RSA Security.

Esta es una de las formas en que la transformación digital está introduciendo complejidad y riesgo, dijo, que las organizaciones deben conocer y mitigar, especialmente frente al Reglamento General de Protección de Datos (GDPR) de la UE, que agrega responsabilidad para los controladores de datos.

"Si un controlador de datos coloca los datos personales de los ciudadanos de la UE en la nube, y el proveedor de la nube sufre una brecha como manejador de datos, también se puede responsabilizar al controlador de datos, por lo que con GDPR, el riesgo de terceros es algo en lo que las organizaciones realmente necesitan enfocarse", dijo Knowles.

Otra diferencia clave con el GDPR es que los controladores de datos, como los proveedores de servicios en la nube, ahora pueden ser sancionados directamente por los reguladores de protección de datos, dijo Anthony Lee, socio de la firma legal DMH Stallard. "Si bien muchas organizaciones se están centrando en multas sustanciales bajo el GDPR, un mayor riesgo para muchos es el hecho de que los reguladores pueden detener el procesamiento de datos, lo que detendría efectivamente el negocio de cualquier organización que dependa de ese procesamiento", dijo.

Riesgo del proveedor

Javier Sanchez-Ureta, director oficial de datos de Banco Sabadell, dijo que en el sector bancario y financiero, como en otros sectores altamente regulados, el riesgo de los proveedores es un área importante de enfoque.

Si bien algunas áreas se consideran demasiado riesgosas o sensibles para subcontratar, los proveedores terceros utilizados en otras áreas se evalúan cuidadosamente contra 14 áreas de riesgo potencial, y se incluyen reglas estrictas en todos los contratos de externalización, dijo, para regular la relación con los proveedores.

Las áreas clave incluyen el historial de seguridad de los proveedores, su capacidad para identificar y responder a las violaciones de datos, que los bancos a menudo verifican mediante la realización de controles independientes. "Donde encontremos vacíos, trabajaremos con proveedores para ayudarlos a mejorar", dijo Sánchez-Ureta.

Las organizaciones recomendadas por Knowles realizan todos los ejercicios relacionados con la respuesta a la brecha de incidentes, necesarios para involucrar a todos los terceros. "Al hacer esto juntos, los proveedores saben lo que deben hacer si sufren una violación, y los controladores de datos saben qué hacer si ellos o uno de sus proveedores tiene una brecha", dijo, y agregó que esto también brinda la oportunidad de verificar si las posturas de seguridad están en el mismo nivel, y para que los controladores de datos ayuden a los proveedores a alinearse más si es necesario y compartir las mejores prácticas.

Al comentar sobre los contratos de terceros, Lee dijo que cada vez son más complejos. "A veces tendrá contratistas principales con subcontratistas sentados detrás de ellos, o hay muchas interdependencias entre un número de proveedores en un cliente en particular, pero no necesariamente están en una cadena de suministro de subcontratistas, y aún hay más complejidad añadida a la luz del GDPR si se trata de datos personales de ciudadanos de la UE", dijo.

Desde una perspectiva de gobernanza, riesgo y control (GRC), las organizaciones deben garantizar que amplíen sus procesos de GRC para que estén diseñados para cubrir todas las actividades empresariales donde quiera que vaya la información de valor de la organización, dijo Raef Meeuwisse, autor y experto de GRC.

"Las empresas necesitan identificar su información de valor y considerar a dónde viaja, porque eso define dónde van a necesitar un control efectivo, seguridad y GRC", dijo, pero agregó que la extensión de GRC más allá de la organización es esencial.

Con demasiada frecuencia, dijo, los procesos de GRC terminan en el perímetro de la red, y como resultado, las organizaciones confían en los contratos de adquisición y la confianza más allá de eso, que es un enfoque "no muy efectivo".

Otro problema común es que las empresas no invierten en evaluaciones de GRC para proveedores de servicios en la nube de bajo costo o sin costo, pero a menudo estos proveedores representan el mayor riesgo porque es menos probable que inviertan en controles de seguridad y balances que los proveedores más maduros y de mayor costo sí realizan.

"También es importante garantizar que todos los requisitos de GRC estén incluidos en el contrato desde el principio, pero la seguridad es a menudo una ocurrencia tardía, y las organizaciones encuentran que deben renegociar el contrato cuando comienzan a aparecer las brechas de seguridad", dijo Meeuwisse.

Lee dijo que a menudo hay una falta de madurez en la forma en que se arman los contratos en la nube, particularmente por parte de proveedores más pequeños.

"Los consumidores de servicios en la nube deben tener cuidado con las cláusulas que permiten terminar los servicios con muy poca causa, por ejemplo, o que dicen que los términos y condiciones se pueden cambiar con previo aviso, o que el proveedor no se responsabiliza por los datos que está manejando", dijo, y agregó que los proveedores de servicios en la nube más maduros están empezando a introducir cláusulas que cumplen los requisitos reglamentarios, incluidos los del GDPR.

Debida diligencia

Con referencia específica al GDPR, el panel dijo que las organizaciones que trabajan con terceros deben asegurarse de que tengan pruebas documentales que demuestren que han realizado la debida diligencia para cada uno de sus proveedores, porque si ese proveedor es violado, las autoridades de protección de datos probablemente serán mucho más indulgentes en los casos en que los controladores de datos hayan realizado la diligencia debida adecuada.

Además, Lee dijo que las organizaciones pueden reducir el riesgo en torno al uso de los servicios en la nube considerando primero si tienen derecho a compartir los datos que planean poner en la nube con un tercero, independientemente de si el proveedor puede demostrar que cuentan con la asistencia técnica adecuada y las medidas organizativas establecidas para proteger los datos, y si el contrato otorga derechos de auditoría al controlador de datos sobre las instalaciones del proveedor de la nube, como lo exige el artículo 28 del GDPR.

"También tiene que haber una cláusula que diga que el proveedor de la nube devolverá o eliminará los datos al final del contrato", dijo, y agregó que los controladores de datos deberían considerar agregar una cláusula que les permita recuperar sus datos en cualquier momento, y les diera el derecho de enviar personas para recuperarlos.

Y si un proveedor de servicios en la nube está aprovechando el ecosistema de servicios web de Azure o Amazon, Lee dijo que las organizaciones deben asegurarse de que todas las cláusulas contractuales fluyan hacia abajo.

Resaltando el hecho de que GDPR se ajusta al modelo de responsabilidad compartida cuando se trata de la seguridad de la nube, Meeuwisse dijo que uno de los problemas más prolíficos es la implementación de nubes con configuración incorrecta. "Típicamente, los consumidores de servicios en la nube no activan todas las opciones de seguridad necesarias y disponibles, exponiéndose a riesgos innecesarios", dijo.

Otra área que los consumidores de nube deben conocer, dijo Meeuwisse, es que incluso si los proveedores de la nube tienen buenos documentos de políticas y procedimientos, no necesariamente los están aplicando, y si los proveedores de la nube tienen certificaciones como SSAE 16, es posible que no sean para toda la infraestructura del proveedor de nube y es posible que no se auditen regularmente. "Los consumidores deben asegurarse de que el contrato que firmen esté específicamente cubierto, porque lo que un proveedor de la nube hace por cada cliente puede variar mucho", dijo.

Meeuwisse aconseja que las organizaciones se aseguren desde el comienzo de que pueden identificar quién es responsable de la protección de sus datos. "Puede ser una completa pesadilla identificar quién es el responsable cuando el centro de datos pertenece a una empresa, los servidores son propiedad de otra empresa, es operado por una tercera compañía y el contrato es con una cuarta parte", dijo.

"GDPR requiere una reestructuración sustancial de los procesos de negocios, pero pocas organizaciones tienen recursos para hacerlo, y la mayoría está tratando de manejarlo como proyectos con recursos insuficientes o están subestimando la magnitud de lo que tienen que hacer", dijo Meeuwisse.

Cambiadores de juego

Si bien gran parte de la atención en torno a la GDPR se centra en las posibles multas, Knowles dijo que es la parte del proceso con la que la mayoría de las organizaciones luchan y, en su opinión, presenta uno de los mayores riesgos.

"Los grandes cambiadores de juego en el GDPR se relacionan con los procesos, desde recopilar los datos hasta obtener el consentimiento para tal fin, asegurando que los datos se procesen solo con ese fin, proporcionando borrado de datos y mecanismos de enmienda, hasta notificaciones de incumplimiento", dijo. "Todas esas cosas representan riesgos potenciales y trabajo de proceso que las organizaciones deben hacer para garantizar que tengan los procesos y políticas correctos”.

La capacitación es otra área importante de riesgo potencial que típicamente necesita más atención, dijo Knowles. "Las personas que manejan el personal deben entender las políticas que deben seguir y las posibles consecuencias de no hacerlo", dijo.

Este artículo se actualizó por última vez en febrero 2018

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close