Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Cómo trabajar con socios de negocio para evitar historias de terror

Un hallazgo constante de vulnerabilidades muestra que casi siempre está involucrado un proveedor de servicios tercerizados o afiliado de negocios.

Los ciberataques saltan a los titulares casi a diario, sin embargo, la alta gerencia de algunas empresas todavía cree que sus organizaciones no son blancos potenciales: "Nadie sabe quiénes somos, ¿por qué querrían atacarnos?"

Un hallazgo constante de vulnerabilidades puede llamar su atención: Casi sin excepción, siempre está involucrado un proveedor de servicios tercerizados o afiliado de negocios. Puede ser un cliente, o puede ser el punto de origen de la violación.

El tercero suele tener privilegios casi similares a los de un interno, disfrutando de un cierto grado de la confianza que se ofrece a los empleados. Con base en la longevidad de una relación y las interacciones personales, los niveles de confianza de terceros a veces alcanzan o superan el nivel de confianza de información privilegiada.

Desafortunadamente, la transmisión de confianza no siempre termina bien. Esta es la razón por la que la administración de los afiliados y los acuerdos niveles de servicio (SLA) son tan importantes en la gestión del riesgo. Los SLA son instrumentos negociables que reflejan el apetito o la tolerancia al riesgo de la compañía; su tamaño y complejidad, la distribución geográfica, el tipo de información que gestionan, así como la capacidad de controlar con eficacia el programa de gestión de terceros.

Ya hecho en China

Cuando se trata de administrar riesgos, ninguna empresa es perfecta; por lo general, están muy lejos de serlo. En el conocido caso de Nortel Networks Inc., los sistemas informáticos de la compañía de redes ópticas y los correos electrónicos de los ejecutivos de alto nivel –incluyendo los del CEO– fueron comprometidos por hackers chinos, durante casi una década. Un empleado dijo que alertó a los ejecutivos de Nortel sobre una violación en 2004, según The Wall Street Journal, pero más allá de cambiar las contraseñas, sus advertencias fueron en gran medida ignoradas. Esta brecha continua dio lugar a litigios costosos y complejos durante la venta de activos de Nortel después de que se declaró en bancarrota en 2009. Las empresas que adquirieron la propiedad intelectual de Nortel –Ciena Corp., Avaya Inc. y Ericsson Inc.– descubrieron que sus organizaciones tal vez no tendrían "derechos exclusivos" sobre la información sensible.

Evitar el impacto frecuentemente sustancial de los riesgos legales, financieros, regulatorios y de reputación no es trivial. En el mejor de los casos, se supone que la gestión del riesgo ayudará a evitar que sucedan cosas malas. El siguiente mejor resultado es el de reducir el impacto cuando sea inevitable la colisión de una amenaza y su objetivo. En el peor de los casos, la gestión del riesgo busca la recuperación después de un evento que resultó ser, por la razón que sea, tanto inevitable como altamente eficaz, es decir: caro.

El impacto del riesgo puede ser definido por una serie de indicadores: la pérdida de ingresos, pérdida de valor de la empresa, la disminución de la cuota de mercado y el valor de la marca, el aumento de costo de capital, el aumento de las primas de seguros y litigios civiles de los inversores, accionistas, socios comerciales y otros. Pueden rodar cabezas entre los ejecutivos. Frecuentemente resultará en procesamientos penales. (La inmunidad en una violación es tan escasa como los jeroglíficos.)

El peor impacto del riesgo se produce cuando las empresas no están claramente preparadas para una vulnerabilidad, que es muy a menudo. La mayoría de las violaciones ocurren como resultado de las acciones o deficiencias defensivas asociadas con un proveedor de servicios tercerizados. El despliegue deficiente de una estrategia antimalware de un proveedor externo dio lugar a un ataque cibernético masivo. El impacto: extensos y costosos informes reglamentarios, así como discusiones y negociaciones incómodas con su base de clientes corporativos. La violación fue detectada cuando un empleado se dio cuenta de que había actividad sospechosa en el registro de logs del firewall. Los hackers, sin embargo, habían cubierto su infiltración borrando la mayoría de sus actividades intrusivas, haciendo la brecha aún peor y complicando el análisis forense.

Cumplimiento y acuerdos de gestión de terceros

Los acuerdos de gestión de terceros son instrumentos importantes en la gestión del riesgo legal, normativo, financiero y la reputación. Estos contratos, también conocidos como acuerdos de Asociados de negocios (Business Associate Agreements, BAA), son herramientas desatendidas cuya finalidad es defenderse en un escenario de información comprometida.

Cualquier empresa que deba proteger información médica, por ejemplo, tiene que prestar especial atención a los cambios producidos por la última Regla HIPAA Omnibus, que fue aprobada en enero de 2013 y entró en vigor en marzo. Una serie de plazos de cumplimiento establecidas para el 23 de septiembre de 2013. Los cambios incluyen requisitos que los socios y subcontratistas deben cumplir de acuerdo con la compleja norma de seguridad. Los cambios en la notificación de violaciones también se indican en la regla final, así como las disposiciones de aplicación y sanción. La Ley de No Discriminación de Información Genética prohíbe a los planes de salud el uso de la información genética como una consideración de suscripción. Cuestiones de privacidad múltiples también se indican en la norma final, sobre todo en el uso y divulgación de información de salud protegida, incluyendo los usos relacionados con la comercialización y recaudación de fondos. (Del mismo modo, los cambios recientes en las cláusulas de la Unión Europea –European Union Model Clause– afectan a las empresas de Estados Unidos que exportan datos al extranjero, así como a quienes importan datos de terceros.)

Quienes negocian contratos, los abogados y otras personas con experiencia en la gestión de los procesos de SLA enfrentan algunas cuestiones bastante bien: los requisitos relacionados con el rendimiento, e incluso algunos requisitos regulatorios. Las empresas pueden proteger mejor sus activos de información, asegurando que los componentes siguientes están incluidos en la negociación de todos los acuerdos de administración tercerizada: seguridad de la información, privacidad de la información, análisis de riesgos y amenazas, el rango de obligación de cumplimiento, los mecanismos de aplicación, acceso a la auditoría interna y los requisitos de divulgación, así como la gestión de las prácticas corruptas extranjeras. Enfocarse en estos siete elementos aumentará la eficiencia y la eficacia de los acuerdos de administración de terceros, al tiempo que se crea un marco efectivo de gestión de riesgos.

Sin embargo, los contratos de administración tercerizada pueden no ser suficientes para proteger a las organizaciones contra un elaborado fraude cibernético. En una ocasión, el proveedor externo contrató empleados independientes que no existían. Bueno, uno sí. Ingeniosamente, este individuo inventó identidades y adquirió números de teléfonos celulares, direcciones, números de seguridad social, etc. En papel, "los trabajadores" sin duda parecían personas reales –todos pasaron por una revisión de antecedentes. Una dirección en los formularios de verificación de antecedentes parecía fuera de lugar, pero eso no le impidió conseguir un empleo. La información de identificación personal (PII) fue robada en esta estafa y se vendió al crimen organizado y los narcotraficantes en un país extranjero, lo que resultó en un fraude financiero. La infracción fue detectada debido a comportamientos sospechosos exhibidos por el contratista independiente detrás del delito grave.

Responsabilidad y presentación de informes

Es importante recordar que la principal empresa o entidad cubierta que contrata a un tercero siempre es responsable de asegurar la integridad de la información. Aunque diversos reglamentos podrán  responsabilizar a terceros, no asuma que la obligación de cumplimiento es transferible a otra empresa. Al negociar un SLA, la empresa debe exigir al proveedor de servicios de terceros que asuma la responsabilidad de cumplir con todas las regulaciones aplicables, y especifique el plazo en el que debe informar de una brecha a la empresa. Esto puede ser complicado, y el lenguaje del contrato es importante. Siempre consulte el tema con un abogado corporativo.

En primer lugar, asegúrese de definir lo que es una violación. Un incidente o evento no es necesariamente un incumplimiento de la regulación. ¿Se trata de una infracción de la política y el procedimiento, la seguridad o el reglamento? Algunos contratos requieren que el tercero notifique a la empresa principal sobre un incumplimiento a la política de seguridad dentro de las 24 horas posteriores al incidente. Mantener un estricto control sobre los requisitos para los reportes de los terceros en virtud del acuerdo es vital. También se recomienda que la empresa de forma preventiva comprometa al tercero al pedir, por escrito, un informe acerca de los incidentes de seguridad que afecten al tercero, y recibir una respuesta por escrito.

Activos en riesgo

No siempre se puede discernir qué información está en riesgo en una brecha cibernética, sobre todo de inmediato. Un proveedor externo respondió a una violación basado en la suposición de que la organización no tenía datos regulados, cuando, de hecho, sí estaban bajo regulación. Lo que la empresa pensaba que era sólo una cuestión de reforzar la seguridad en las fases iniciales de la infracción, se convirtió en un serio evento a reportar.

Cada proveedor tercerizado debe saber qué datos tiene en su poder. Este es un factor determinante absolutamente crítico de cómo se deben proteger esos datos. Si bien existen algunos mandatos en relación con la protección de los activos de propiedad intelectual y secretos comerciales –lo que típicamente se limita a las obligaciones contractuales citadas en los contratos de los clientes y las pólizas de aseguradoras– la información personal debe ser protegida de acuerdo con los estatutos y reglamentos.

Como sea, muchas violaciones de datos regulados nunca son reportadas. A veces, se llega a la decisión de no informar sobre la base de que la brecha no cumplía con ciertos requisitos –la definición exacta de la información de identificación personal o información de salud protegida (PHI). Una brecha que no es denunciable en los Estados Unidos puede ser revelada en otros países con base en diferentes normas.

Gestinar los riesgos por regulaciones tiene importantes inconvenientes, sin embargo, muchas empresas continúan haciendo precisamente eso. Aquí está el problema. Muchos reglamentos están escritos sobre la base de requisitos mínimos obligatorios. Si bien es mejor que nada (y existen empresas que no cumplen con estos requisitos básicos, incluso), no es lo que la industria tiene que ser. Esta práctica es inaceptable en otras industrias. Nadie quiere un piloto que ha conocido sólo el umbral mínimo regulatorio.

Línea de base para la información propietaria

Por supuesto, no todas las empresas o terceras partes están en el negocio de la gestión de información regulada. ¿Qué pasa con la gestión del riesgo asociado a datos no regulados –información propietaria, propiedad intelectual y secretos comerciales? En un mundo en el que cuenta la marca, proteger la marca es garantizar el futuro de una empresa. La protección de la marca es fundamental, porque la misión del espionaje del Estado-nación y los competidores económicos y la economía comercial pretenden robar información comercial valiosa. La pérdida financiera es asombrosa, con algunas estimaciones que superan el trillón de dólares al año, y aproximadamente una tercera parte de esas pérdidas suceden en los Estados Unidos.

Una de las estrategias de gestión de los terceros es tomar prestados los requisitos utilizados en las implementaciones de gestión de datos regulados. La mayoría de las empresas, ya sean grandes o pequeñas, tienen la obligación de proteger, al menos, la información de los empleados y los clientes de una manera consistente con los requisitos estatales y federales de E.U. Se debe solicitar a los terceros que utilicen esa línea de base para extender la protección a la propiedad intelectual y secretos comerciales de valor, teniendo en cuenta que este enfoque, aunque es mejor que nada, es lo mínimo con base en los requisitos reglamentarios.

¿Qué tienen en común todas estas empresas que han sufrido violaciones –y especialmente los terceros? No es el tipo de información que fue expuesta –PII, PHI, propiedad intelectual y secretos comerciales. Es que estas organizaciones no gestionaron el riesgo de manera eficaz, desde sus definiciones de la gestión del riesgo hasta la falta de comunicación entre la TI y la gerencia ejecutiva y el consejo. (Entre más lejos se encuentren del punto de la violación, menos entienden la brecha y su impacto.)

Gastar ahora o más tarde

Muchas empresas prefieren gastar en la recuperación y remediación antes que en la prevención a través de la gestión de riesgos y la optimización de los SLAs. (Puede que no sea lo que indican las estadísticas, pero es lo que vemos.) Por un lado, después de una violación, el presupuesto se materializa inmediatamente. El mensaje de la dirección ejecutiva suele ser el siguiente: "Arreglen esto y luego hagan lo que tengan que hacer para evitar que ocurra de nuevo." A veces, la empresa adopta una solución de gestión de riesgos más estratégica cuando enfrenta las consecuencias de una violación. Otras veces, sin embargo, el enfoque es muy táctico y se concentra en soluciones de seguridad de TI ante la ausencia de un verdadero enfoque de gestión de riesgos.

Independientemente de si la infracción se originó por un tercero o en la empresa principal, un factor determinante en el informe post-violación es quién está a cargo de la investigación de la brecha. Cuando se trata de la gerencia ejecutiva, sobre todo cuando el consejo general y el consejo están involucrados, hay una mayor probabilidad de que el resultado sea un programa más eficaz de gestión de riesgos. Pero no siempre: para cuando llega el momento en que muchas empresas terminan pagando las cuentas asociadas a una violación, a veces buscan la austeridad fiscal y la recuperación de los costos financieros de la brecha. Esto a menudo conduce a: "Vamos a tratar de hacer el resto de la mitigación en casa." Eso es por lo general un error, dependiendo de las circunstancias individuales de la violación y la cooperación de cualquier tercero involucrado.

Torres empresariales de Babel

Más que nada, la gestión del riesgo se trata de la comunicación eficaz.

Tome como ejemplo al CISO que se encuentra en un ascensor con un miembro de la junta directiva: "Tenemos un problema de BYOD que llevó a un incidente BAA de seguinfo."

El miembro de la Junta piensa "¿Por qué no se mueve más rápido el ascensor?"

Hable el lenguaje de los negocios y el riesgo. Esto suena simple, pero qué tal si el CISO dijera:

"Uno de los empleados externos de nuestro proveedor de servicio tenía algunos de los datos de nuestros clientes en un iPad que fue robado, y ahora parece que tendremos que informar de este evento a los reguladores de 40 países. No quiero ni pensar en el impacto que esto tendrá."

Miembro de la Junta: "Quiero saber más sobre esto."

Piense en la relación entre la seguridad y la gestión del riesgo. El riesgo es una condición potencial que concierne a muchas personas de la organización. Muchos ejecutivos que sean sensibles a lenguaje del riesgo no responden a la jerga de la tecnología y la seguridad de la información. Los directores ejecutivos, los jefes de riesgo (que a menudo son los directores financieros), los asesores legales internos, auditores internos, oficiales de la privacidad y los oficiales de cumplimiento están interesados en la gestión del riesgo y por lo general responden. Además, los empleados que tienen un interés personal en la reputación de la compañía, incluyendo ventas y mercadotecnia, a menudo son sensibles. Sin embargo, es necesario transmitir el mensaje de riesgo de manera adecuada para llamar la atención de alguien.

Hablar de tecnología y seguridad garantizará su trabajo. Hablar de riesgos asegurará el presupuesto y su futuro.

 

Sobre el autor: MacDonnell Ulsch es el CEO y analista en jefe de ZeroPoint Risk Research LLC, en Boston, Massachusetts, y asesora a los clientes comerciales y gubernamentales. Es autor de “¡Amenaza! Gestión del riesgo en un mundo hostil” (Threat! Managing risk in a hostile world). El título propuesto para su próximo libro es “Sables cibernéticos: Defendiendo el futuro contra los enemigos cercanos y lejanos”.

Este artículo se actualizó por última vez en agosto 2013

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close