Los proveedores: el (otro) eslabón débil de la cadena

Avatar

“Los usuarios son el eslabón más débil de cualquier sistema de seguridad”. Hace ya algún tiempo desde que Kevin Mitnick, con su cita, empezó a concienciar al público de la necesidad de educar y formar a las personas para fortalecer la seguridad de un sistema o, desde un punto de vista más general, una empresa. Hoy en día ya está bastante extendida la idea de que, si los empleados de una empresa tienen un mínimo de conocimiento de ciberseguridad, el riesgo de sufrir un ciberataque es mucho menor. Pero con dicha frase… ¿estamos teniendo en cuenta a todos los usuarios?

¡Los proveedores con los que se asocia una empresa por sus servicios son un tipo de usuario a tener muy en cuenta!

En los últimos años se han conocido varios casos en los que empresas han tenido que afrontar grandes multas e importantes efectos en la reputación digital debido a un fallo por parte del proveedor que había concluido en una fuga de datos. Habitualmente, el ciberdelincuente ve el proveedor de una empresa como un medio para acceder a los activos intangibles y a la información confidencial de una empresa. Por ejemplo, en los casos de Target, Equifax, Eye Clinic o Marriot International, los atacantes fueron capaces de entrar en la red del proveedor y acceder a los datos sensibles de la empresa afectada. En otras ocasiones, es el propio proveedor que por su incompetencia o negligencia deja desprotegidos los datos y accesibles a cualquier persona. Sabemos de casos donde los proveedores habían certificado la destrucción de documentos cuando después los abandonaban o tiraban al contenedor más cercano a la oficina. O proveedores que divulgaron inapropiadamente archivos de pacientes a individuos no autorizados o, simplemente, de algunos proveedores contratados para asegurar la seguridad de los sistemas y aplicación móvil y que resultaba no tener el conocimiento suficiente de cómo hacerlo.

Por lo tanto, se podría decir que el proveedor es el eslabón más débil de la cadena. En muchos casos, esto se debe a que la empresa no realiza procesos de selección de proveedores adecuados o no lleva un control de estos. 

Entonces, ¿qué se puede hacer para evitar estos riesgos?

  • Llevar un control de los proveedores. 
  • Realizar un proceso de selección.
  • Realizar auditorías para comprobar que cumplen con los estándares de seguridad.
  • Cumplir con los acuerdos de nivel de servicio (SLA).
  • Añadir cláusulas penales en caso de incumplimiento.
  • Colaborar en la comunicación e investigación de brechas de seguridad.

Dejamos el enlace de otro artículo donde los empleados son el eslabón más débil.

Ante cualquier duda tienes a A2SECURE a tu servicio.

Autora: Helena Julián

Leave a Comment

teletrabajoMejorar postura ciberseguridad