Red Seguridad 098

red seguridad tercer trimestre 2022 61 opinión es tan fuerte como su eslabón más débil. Los datos indican que dos de cada cinco ataques han llegado a través de provee- dores. Esto es motivo de preocupación porque, como se indica en el apartado anterior, dedicamos atención y recursos para la protección de los clientes, pero no tanto para conocer la de nuestros proveedores. Y cuando lo hacemos es, en general, de forma poco regular y sin utilizar los mecanismos más adecuados. Evaluación a proveedores El mecanismo más utilizado (63,8%) para evaluar a proveedores, y creciendo, es el cuestionario de autoevaluación, cuyas respuestas están muy condicio- nadas por el interés comercial hacia el cliente. No es, por tanto, un sistema es- pecialmente seguro. Por contra, mecanismos que se en- cuentran entre los más seguros y con- fiables, como la calificación (16,9%) y las auditorías (13,1%), son los menos utilizados. Poca evaluación De aquellos que sí evalúan a sus provee- dores, solo la mitad lo hace anualmente. Un tercio, aproximadamente, los exami- na apenas al inicio de la relación. Y lo que es más preocupante, un 14,9 por ciento de las organizaciones no los eva- lúa nunca. Por otro lado, la certificación del Sis- tema de Gestión de Seguridad de la Información ISO 27001 sigue siendo el mecanismo más utilizado para confiar en la seguridad de un tercero, cuando sabemos que, en realidad, esta certifica- ción solo hace referencia a disponer de un sistema de gestión, que no a contar con un nivel mínimo de seguridad. Esta situación genera un problema de falsa sensación de seguridad que, además, frena el desarrollo de mecanismos más adecuados como las certificaciones de producto, las auditorías exhaustivas o las calificaciones de capacidades. Ciberconsejos En resumen, el estudio permite ver una evolución positiva en la concienciación y el conocimiento en relación a la ciber- seguridad 2 de la cadena de suministro, al mismo tiempo que muestra que todavía hay una preocupante falta de exigencia de garantías a terceros cuando supo- nen el vector de ataque en la mitad de los incidentes. Por eso, y porque hay un gran margen de mejora, para aquellas organizaciones que quieran mejorar la seguridad de la cadena (no olvidemos que cada mejora sobre una entidad en un ecosistema comercial hace que todos, en conjunto, seamos más fuertes) pueden ser útiles estos cinco consejos que dibu- jan un camino por delante más sólido: Involucrar a todos los actores cor- porativos: no es posible gestionar el riesgo de terceros eficientemente si no se implican todas las áreas afectadas: Negocio, Compras, Cumplimiento, de- legado de protección de datos, Riesgos y Ciberseguridad. Diseñar un proceso holístico: el he- cho de estar en una posición débil de defensa hace que el menor resquicio pueda generar un incidente significa- tivo. Por ello, el proceso debe abordar todas las relaciones con terceros (no solo proveedores). Integrar la ciberseguridad como otro riesgo más en el proceso de aprovisio- namiento: la ciberseguridad debe for- mar parte de la negociación con el mis- mo proveedor en la misma medida que el resto de componentes del servicio. Identificar y caracterizar el inventa- rio de servicios de terceros: lo que no se conoce no se puede proteger; es ne- cesario saber cuántos servicios se han subcontratado y cómo de críticos son para nuestra organización. Confíe, pero verifique: los cuestio- narios no son fiables, ni tampoco los sistemas de gestión. Es necesario que la información esté confirmada (mejor por el propio proveedor y con un terce- ro independiente). Referencias 1 La encuesta para este estudio, realiza- do entre marzo y mayo de 2022, fue contestada por representantes de 188 organizaciones, en mayor medida de las consideradas de gran tamaño. 2 El IV Estudio de empresas y cibersegu- ridad se puede descargar para su con- sulta en la página de documentación de la web de Leet Security.