Home Opinión Incidentes de seguridad y riesgos de terceras partes

Incidentes de seguridad y riesgos de terceras partes

Por María Rosario Santillán*

Desde la violación de Okta por Lapsus$ hasta la interrupción de la cadena de suministro de Toyota, numerosos ciberataque contra un proveedor claves nos demuestran que la Gestion de Riesgo de Terceras Partes (TPRM por sus siglas en ingles) o Vendor Risk Management (VRM) no es un tema que puede pasar desapercibido. La Guía de Manejo de Incidentes de Seguridad Informática (Computer Security Incident Handling Guide) SP 800-61 del NIST establece los puntos más relevantes de un procedimiento de respuesta a incidentes de seguridad y su relación con la gestión de riesgo de terceros.

Según la Guía de Manejo de Incidentes de Seguridad Informática todo procedimiento de respuesta de incidentes debe cubrir 4 fases primordiales:

1. Preparación
Durante la fase de preparación la organización debe intentar limitar el número de incidentes que ocurrirán al seleccionar e implementar controles basados en resultados de evaluaciones de riesgo. Se recomienda la creación de listas de contactos y planes de comunicación incluyendo a terceros clave e información sobre sus contactos de emergencia. Según la Guía, una manera de prevenir es llevar a cabo evaluaciones de riesgos internas y de terceros y establecer un programa de capacitación de concientización sobre seguridad.

2. Detección y Análisis
Aun cuando se cumpla con la primera fase el riesgo residual inevitablemente persistirá, por lo cual la detección de brechas de seguridad es necesaria para alertar a la organización cada vez que ocurran incidentes. Se deben tener en cuenta todas las rutas que los atacantes pueden tomar para llegar a la organización.
Encontramos tres pasos esenciales en esta fase: (i) investigar indicadores de incidentes pasados e indicios de posibles incidentes futuros, (ii) implementar un sistema de seguimiento de problemas para registrar toda la información pertinente sobre cada incidente y (iii) priorizar los incidentes en función de su impacto funcional, el impacto de la información y la capacidad de recuperación.

Para estos tres pasos las plataformas de gestión de riesgos de terceros son una herramienta útil, ya que analizan fuentes tanto públicas como privadas de inteligencia de amenazas para el monitoreo de riesgos de terceros, proporcionan capacidades de gestión de documentos para el seguimiento de incidentes de proveedores y clasifican a proveedores para el monitoreo y la evaluación en la interfaz.

3. Contención, Erradicación y Recuperación
De acuerdo con la gravedad del incidente, la organización puede mitigar su impacto conteniéndolo y recuperándose de él. Durante esta fase, se vuelve a la detección y el análisis, por ejemplo, para ver si hay hosts adicionales infectados por malware mientras se erradica el incidente.

Las estrategias de contención cambian según el tipo de incidente y para elegir una respuesta se valoran distintos criterios, incluida la necesidad de preservación de evidencia para cualquier procedimiento legal posterior, el daño potencial, la disponibilidad del servicio o los recursos disponibles. La guía indica algunas formas de identificar hosts atacantes como la validación de las direcciones IP, usar bases de datos de incidentes y monitorear los canales de comunicación del atacante. El monitoreo de riesgos cibernéticos de terceros puede ayudar con estos esfuerzos.

Por último en la erradicación se busca eliminar el malware, desactivar las cuentas comprometidas y mitigar vulnerabilidades, y en la recuperación se intenta restaurar los sistemas. Las plataformas de gestión de riesgos de terceros ayudan a la corrección a fin de evitar futuras exposiciones de seguridad.

4. Actividad posterior al incidente
Una vez que el incidente se maneja adecuadamente, la organización emite un informe que detalla la causa y el costo del incidente y los pasos que la organización debe tomar para prevenir futuros incidentes. Los datos como el tiempo dedicado a manejar incidentes y las evaluaciones objetivas y subjetivas de incidentes se pueden utilizar para identificar debilidades de seguridad sistémica.

En conclusión, podemos decir que la Gestión de Riesgo de Terceras Partes es un capítulo clave en la prevención y respuestas a incidentes de seguridad, la misma puede ser desarrollada de manera individual, o se pueden buscar soluciones que unifiquen todos los conocimientos en una única plataforma, de modo que todos los riesgos estén centralizados y sean visibles para la empresa. Las soluciones de VRM de TI respaldan a las empresas que tienen que evaluar, monitorear y administrar su exposición a los riesgos que surgen del uso de terceros que brindan productos y servicios de TI o que tienen acceso a su información.


* Abogada, magister en Derecho Comercial y de los Negocios, especialista en Protección de Datos Personales y Seguridad de la Información.
Las opiniones expresadas en este artículo son exclusiva responsabilidad de su autor y no reflejan necesariamente las opiniones de Ciberseguridad LATAM.