¿Qué es el acceso de terceros y por qué es importante la protección del acceso externo?
La seguridad en los extremos de la infraestructura es fundamental para que las empresas se protejan de los riesgos asociados a terceros y proveedores de servicios. Hasta ahora, las empresas solían invertir tiempo y dinero en proteger sus propios sistemas en lugar de centrarse en las prácticas de seguridad de los proveedores. Esto tiene que cambiar para proteger a las empresas de posibles amenazas.
Muchas empresas trabajan en estrecha colaboración con proveedores de servicios y, en muchos casos, estos proveedores obtienen acceso autorizado a los datos de clientes o empleados o integran servicios de terceros en los sistemas de la empresa. Además, los proveedores de servicios suelen tener sus propios proveedores, lo que puede suponer riesgos adicionales para la empresa.
¿Por qué es tan importante la seguridad del acceso de terceros y proveedores de servicios?
Mantenimiento a distancia de infraestructuras de TI y OT
Como resultado de COVID-19, muchas organizaciones han adoptado políticas y directrices de teletrabajo. Esta transición ha creado importantes problemas de ciberseguridad. Una de las principales dificultades es verificar y conceder acceso a proveedores externos, ya que el cara a cara es imposible en este nuevo entorno. Por lo tanto, existe una necesidad urgente de técnicas de autenticación multifactor, controles de acceso estrictamente supervisados y procedimientos sólidos de generación y gestión de contraseñas. El desplazamiento de las actividades laborales a Internet a través de correos electrónicos y soluciones de mantenimiento remoto, como infraestructuras heterogéneas de túneles VPN o sesiones RDP, también aumenta significativamente las amenazas de ataques de suplantación de identidad o infección por malware. Además, los proveedores externos están accediendo a las redes corporativas con sus propios dispositivos privados, que pueden no ser lo suficientemente seguros para una protección adecuada contra estas amenazas.
Los pequeños proveedores de servicios que carecen de recursos para adoptar las medidas de seguridad adecuadas representan una oportunidad para los ciberdelincuentes, que pueden utilizar su acceso privilegiado a los sistemas corporativos para aumentar significativamente los riesgos de compromiso.
Violaciones de la protección de datos por parte de terceros
El informe Ponemon sobre el coste de las violaciones de datos en 2021 reveló que el coste medio de una violación de datos en el Reino Unido era de 3,14 millones de libras, y que las vulnerabilidades de software de terceros aumentaban los costes en 68.000 libras. La cifra real puede ser mayor, ya que los ataques de terceros son muy evasivos y pueden tardar meses o años en descubrirse. La multa más alta impuesta por una violación de datos en 2022 en Alemania fue de 76.310.455 euros.
El estudio realizado reveló que el 44% de las empresas han sufrido una violación de la seguridad, y que el 74% de estos casos se debieron a la concesión de un acceso demasiado privilegiado a terceros. Se trata de una tendencia preocupante que debe abordarse.
Aumentan los riesgos de la nube
A medida que se traslada más y más software a la nube, aumenta la posibilidad de que se produzcan violaciones de datos causadas por incidentes de configuración en la nube. Lo hemos visto en una serie de casos muy sonados en los que se han almacenado datos sensibles en servidores de terceros no seguros. Las organizaciones deben tener mucho cuidado con cualquier dato que almacenen fuera de su control directo, tanto si se almacena en la nube como si no. Existe una necesidad creciente de soluciones que puedan verificar la seguridad de la nube, ya que es imposible evitar errores de configuración en un entorno de nube complejo y en rápida evolución.
Normativa sobre protección de datos y seguridad de la información
Las empresas se enfrentan hoy a una inmensa presión para proteger los datos personales de los consumidores frente a amenazas internas y externas. Es fundamental que las empresas cumplan esta normativa, no solo para evitar cuantiosas multas, sino también para garantizar que generan y mantienen la confianza de los consumidores. Reglamentos como el GDPR y la CCPA proporcionan un marco ideal para hacer precisamente eso, y su aplicación a nivel mundial ayudará a las organizaciones a mantenerse al día con las últimas preocupaciones sobre privacidad en todo el mundo. Las normas establecidas por el GDPR y la CCPA tienen un efecto dominó más allá de las fronteras de sus jurisdicciones originales. A partir de ahora, las empresas internacionales deberán tener en cuenta estas directrices cuando traten los datos personales de particulares en Europa y California, independientemente de que tengan o no presencia física en esas regiones. El incumplimiento podría acarrear cuantiosas multas:
En virtud del RGPD, las empresas pueden ser multadas con hasta el 4% de su facturación global anual o 20 millones de euros (la cantidad que sea mayor), mientras que en virtud de la CCPA se enfrentan a sanciones de hasta 7.500 dólares por infracción.
Las empresas no solo deben temer las implicaciones financieras si no cumplen con el GDPR o la CCPA; también existe el riesgo de daños a la reputación. En nuestra era digital, las noticias viajan rápido y lejos, lo que significa que incluso una pequeña violación de datos puede aparecer rápidamente en los titulares de todo el mundo, como en el caso de British Airways el año pasado, cuando los piratas informáticos lograron robar datos de clientes de medio millón de reservas en el sitio web en dos semanas. El regulador británico multó a la compañía con 183 millones de libras por no proteger los datos personales de sus clientes. Con la introducción de nuevas y estrictas normativas a ambos lados del Atlántico, está claro que las empresas ya no pueden permitirse ignorar el cumplimiento de la protección de datos. Las empresas tienen que tomar medidas ahora para asegurarse de que cumplen todas las normas exigidas; no hacerlo podría resultar costoso, tanto desde el punto de vista financiero como de su reputación.
Tipos de riesgos de terceros
Los tipos actuales de riesgos de terceros, todos los cuales pueden manifestarse a través del acceso inseguro de terceros y deben tenerse en cuenta, son los siguientes:
Riesgos operativos - Los riesgos pueden derivarse de la posibilidad de interrupción de la actividad debido a acciones de terceros. Cuando los sistemas críticos de una empresa dependen de un proveedor, cualquier acontecimiento que afecte a la actividad de éste supone un riesgo inmediato.
Ciberhigiene inadecuada - Los atacantes de hoy en día atacan más que nadie a terceros y su acceso a las infraestructuras corporativas. Pueden infiltrarse en la cadena de suministro, infectar sistemas y dispositivos sin ser detectados y, a continuación, utilizar al tercero como punto de lanzamiento de ataques contra objetivos de mayor valor, y después de los hechos, el tercero es el responsable.
Riesgos de cumplimiento puede ser el resultado de que un tercero no establezca controles de seguridad, lo que conduce a violaciones de datos. Esto puede dar lugar a violaciones de datos, responsabilidad y sanciones de cumplimiento para las grandes empresas. Las infracciones de la legislación medioambiental o laboral por parte de terceros también pueden suponer un riesgo de cumplimiento.
Riesgos financieros - Los terceros pueden poner en peligro las finanzas de una empresa, por ejemplo, introduciendo materiales o productos defectuosos en un proceso, lo que afecta a las ventas y los ingresos. Si los proveedores no entregan a tiempo y no cumplen sus obligaciones contractuales, también pueden provocar pérdidas financieras. Los riesgos estratégicos pueden producirse cuando terceros chocan con la estrategia comercial de la empresa cliente. Por ejemplo, un proveedor podría utilizar sus conocimientos y acceso privilegiados para competir con el negocio de la empresa.
Buenas prácticas para la gestión de riesgos por parte de terceros y proveedores de servicios (Gestión técnica de riesgos de terceros)
Siga estas prácticas recomendadas para gestionar el acceso de terceros y mitigar los riesgos.
Restringir el acceso y concederlo sólo cuando sea necesario
Implante una solución de gestión de accesos privilegiados para garantizar que sólo los usuarios autorizados puedan acceder a los datos confidenciales de su organización. Proteja sus datos críticos con la autenticación de dos factores (2FA). Este enfoque hace más difícil que los atacantes pongan en peligro su red, incluso si han robado las credenciales de alguien. Las aprobaciones manuales de acceso y las contraseñas de un solo uso también pueden impedir que los atacantes accedan a su red.
Establecer directrices de seguridad para los proveedores
Establezca normas para la ciberseguridad de sus proveedores externos y de todos los empleados que trabajen con ellos. Cree una política interna que defina las responsabilidades de todas las partes implicadas y las medidas estándar para los distintos casos y procedimientos. Familiarice a sus subcontratistas y empleados con estas normas.
Garantizar la supervisión constante de la actividad de los usuarios.
Las leyes, reglamentos y normas de TI exigen una supervisión periódica de la actividad de los usuarios. Haga un seguimiento de lo que hacen sus proveedores externos en su red para saber quién accede a sus recursos críticos, para qué los utilizan y cuándo.
Planificar la respuesta a incidentes con terceros
Es importante estar preparado para cualquier incidente que pueda ocurrir con un subcontratista. Analizando los riesgos y amenazas para la ciberseguridad, puede decidir qué riesgos son relevantes para su empresa y, a continuación, establecer procedimientos formales para mitigarlos. Es crucial contar con una solución específica para la detección oportuna de incidentes de ciberseguridad.
Esta solución debe utilizarse para configurar notificaciones y alertas de actividades sospechosas o eventos relacionados con las actividades de su subcontratista. También es importante seleccionar a las personas responsables que deben ser notificadas en caso de un incidente de ciberseguridad que implique a un tercero. Incluya sus nombres y datos de contacto en la política de ciberseguridad de su organización. Asegúrese de que tienen las habilidades y conocimientos necesarios para contener y responder a una violación de datos de terceros.
Conceda acceso a proveedores externos y de servicios con VISULOX Remote Support
Asegure el acceso de terceros a sus recursos corporativos con VISULOX Remote Support y su espacio de trabajo virtual aislado, VISULOX Workspace. Sin necesidad de instalar agentes en los puntos finales de los contratistas, puede concederles un acceso restringido a sus sistemas mientras todos los datos permanecen almacenados en su propia infraestructura. Las aplicaciones preparadas de antemano y los controles de seguridad, como la autenticación multifactor, el registro de sesiones, la transferencia segura de archivos o la cooperación, ahorran tiempo y molestias durante la puesta en marcha, mientras que usted puede detener la implantación inmediatamente y conceder el acceso automáticamente o justo a tiempo.
¿Hemos despertado su interés? Estaremos encantados de mostrarle nuestra solución en una demostración gratuita y sin compromiso. No dude en ponerse en contacto con nosotros o simplemente reserve su cita personal directamente aquí.
