Comprendiendo el entorno

El riesgo de terceros y proveedores

Ha llegado el momento de redoblar esfuerzos en la seguridad de su compañía. Este año, se espera que las organizaciones evalúen los riesgos cibernéticos derivados de sus cadenas de suministro.

Si no se cumplen determinadas normas, no se firmarán contratos. El razonamiento es sencillo. Basta con una puerta trasera no gestionada para poner en peligro la viabilidad del negocio, como se ha demostrado recientemente con la cadena de suministro que ha puesto en peligro el programa de intercambio de archivos heredado de Accellion y el software de gestión de redes Orion de SolarWinds. Todas las organizaciones, con o sin ánimo de lucro, académicas o gubernamentales, están interconectadas, y la pandemia de COVID-19 ha obligado a depender más aún si cabe de terceros, sobre todo cuando las organizaciones se esfuerzan por satisfacer las demandas digitales. La marcha hacia las CPU y los chips informáticos híbridos con componentes de software también está introduciendo nuevos riesgos. Si se compromete una versión de un chip, un hacker tendrá acceso potencial a miles de organizaciones. Incluso sabiendo todo esto, las organizaciones pueden estar comprometidas para evaluar realmente la vulnerabilidad y la seguridad de sus cadenas de suministro. El enfoque estático, que consiste en confiar en las respuestas no verificadas y no probadas de una evaluación de riesgos de 500 preguntas, puede que ya no sea suficiente. Entonces, ¿qué pueden hacer las organizaciones? La revisión del código fuente por parte de terceros puede ser una opción, pero probablemente se resista y esté fuera de las posibilidades de muchos. Las evaluaciones y certificaciones de confianza neutrales realizadas por terceros independientes, puede convertirse en la mejor práctica. Una evaluación exhaustiva de los controles, combinada con la cuantificación del riesgo y la planificación del seguro, es un comienzo. No obstante, la gestión del riesgo de terceros exige realmente un modelo de aseguramiento continuo, con un escaneo cibernético permanente y la búsqueda de amenazas, por ejemplo, a través de trabajos de Red Team. Las organizaciones también deben estar preparadas para responder, y tienen la tarea de elegir al proveedor adecuado de respuesta ante incidentes. La calidad varía, y las aseguradoras están demostrando menos flexibilidad en el uso de proveedores no panelados o preacordados.

Dominios para securizar ahora: Seguridad Física y Proveedores.


Las organizaciones no están preparadas para evaluar y gestionar el riesgo de terceros.

Explore los principales riesgos de las cadenas de suministro, relaciónelos con los principales controles de ciberseguridad y determine las medidas que su organización puede tomar para cerrar los gaps.


* CyQu de Aon es una evaluación del riesgo cibernético que evalúa el riesgo en 9 dominios de seguridad y 35 áreas de control críticas.

3 | Concentrándose en los controles