La reciente brecha de seguridad en Snowflake, que afectó potencialmente a cientos de empresas, entre ellas el Grupo Santander y Ticketmaster, subraya la crucial importancia de la gestión de riesgos de terceros en el entorno digital contemporáneo. Este incidente, donde una sola credencial comprometida permitió a actores maliciosos acceder a datos de miles de clientes, sirve como un recordatorio contundente de que las empresas deben vigilar no solo sus propias defensas cibernéticas, sino también las de sus proveedores y socios en toda la cadena de suministro.
En el caso del Grupo Santander, se trató de un ciberataque que dejó a 30 millones de clientes en riesgo, demostrando el impacto devastador que estas brechas pueden tener en la confianza del consumidor y la integridad de la empresa.
La naturaleza del ataque es alarmante por su simplicidad y eficacia. Un empleado de Snowflake, víctima de un malware del tipo Infostealer, facilitó sin saberlo el acceso a credenciales críticas. Este suceso no es aislado, otra gran entidad financiera ABN Amro en los Países Bajos, sufrió un robo de datos debido a un ataque de Ransomware en el proveedor de servicios AddComm. Recordándonos lo que conlleva sufrir las consecuencias de la falta de robustez en las medidas de ciberseguridad de terceros y haciendo sonar las alarmas, justo meses antes de que NIS2* entre en efecto en Europa en el mes de Octubre.
La cuestión central a la que nos enfrentamos es la de gestionar los riesgos cibernéticos de terceros y de la cadena de suministros de forma efectiva y proactiva, dado su rol crucial en la exposición al riesgo de las organizaciones. Esta gestión debe abordarse desde la adquisición, aplicando seguridad desde el diseño y prácticas cibernéticas robustas desde una perspectiva de riesgo multidisciplinaria. A continuación, se presentan algunos consejos útiles para mitigar estos riesgos y fortalecer la postura de seguridad de cualquier organización
1. Evaluaciones continuas de riesgos y vulnerabilidades. Es esencial realizar auditorías periódicas y exhaustivas de los proveedores y prestadores de servicios. Estas evaluaciones deben incluir análisis de higiene cibernética, la calidad de los servicios y las prácticas de ciberseguridad, cumplimiento de normativas y capacidad de respuesta ante incidentes.
2. Asegurarse de que los terceros cumplan con políticas de seguridad cibernética sólidas como ISO 27001 y que sean, como mínimo, equivalentes a las de la propia organización. Esto se extenderá desde la higiene básica de la seguridad, como la aplicación oportuna de parches y actualizaciones de seguridad, el control del acceso, uso de autenticación multifactor (MFA), cifrado de datos y protocolos de acceso restringido hasta la implementación de defensas integrales de ciberseguridad de múltiples capas.
3. La educación continua ayuda a prevenir incidentes derivados de errores humanos, como el caso del empleado de Snowflake.
4. Monitoreo continuo en tiempo real y con herramientas avanzadas de detección y respuesta.
5. Mitigación proactiva de amenazas en red y sistemas.
6. Desarrollo de procedimientos de gestión de crisis para asegurar la continuidad operativa, que incluya a los terceros y que sean probados regularmente.
7. Incluir cláusulas específicas de ciberseguridad, privacidad y protección de datos, detallando expectativas, responsabilidades y exigiendo un Seguro de Riesgos Cibernéticos.
8. Entender las responsabilidades y repercusiones de la Directiva NIS2 e implementar las recomendaciones empezando por el C-Level.
Los casos Snowflake y AddComm, destacan la vulnerabilidad de terceros, subrayando la necesidad crítica de una gestión robusta de sus riesgos para evitar brechas de seguridad con repercusiones masivas. Cumplir con normas como ISO 27001, ejecutar ISO/IEC 30111, ISO/IEC 29147 e incluso implementar las recomendaciones de la NIS2 son pasos esenciales.
La transparencia y colaboración en la comunicación de vulnerabilidades e incidentes protegerán tanto a las organizaciones como a los millones de clientes que dependen de su seguridad. La resiliencia cibernética debe ser una prioridad estratégica y sus simulacros deben ser tan comunes como los de incendio.
*Por Andrea Garcia Beltran, Head of Cyber, Media and Tech Europe| Nirvana Partner