weerapat1003 - stock.adobe.com
La mitad de las empresas sufrieron una brecha a través de terceros el año pasado
Un nuevo informe destaca los riesgos de subcontratar procesos empresariales clave sin prestar la debida atención a la seguridad de su proveedor de servicios.
Los contratistas externos y entidades relacionadas con acceso remoto y privilegiado a los sistemas informáticos de las organizaciones son cada vez más la causa de las violaciones de datos, según un informe recién publicado por SecureLink y el Instituto Ponemon. En él se pone de manifiesto la «alarmante» desconexión entre la percepción que tienen las organizaciones de la amenaza que supone el acceso de terceros y las medidas de seguridad que aplican.
El informe, Una crisis en la seguridad del acceso remoto de terceros, demuestra que muchas organizaciones no están tomando las precauciones adecuadas para reducir el riesgo de acceso remoto de terceros y, por lo tanto, están exponiendo sus sistemas a violaciones de datos, y poniéndose en riesgo de ser sancionadas bajo varias normas de protección de datos, como el Reglamento General de Protección de Datos (GDPR).
En total, el 44 % de las organizaciones ha sufrido una brecha de terceros en los últimos 12 meses, y el 74 % de ellas dijo que el incidente se produjo porque cedieron demasiado acceso privilegiado.
«Los resultados de este informe muestran la falta de seguridad, gestión y responsabilidad que se necesita para asegurar adecuadamente el acceso remoto de terceros, lo cual es muy preocupante», dijo el CEO de SecureLink, Joe Devine.
«Si bien las recientes infracciones de alto nivel han puesto de manifiesto los graves riesgos que entrañan las relaciones inseguras con los proveedores, todavía queda mucho trabajo por hacer para cambiar la mentalidad de las organizaciones a la hora de proteger no solo sus datos, sino también los de sus clientes y socios», añadió.
SecureLink señaló que más de la mitad de las empresas que subcontratan procesos empresariales críticos afirman que sus organizaciones no evalúan las prácticas de seguridad y privacidad de todos los terceros antes de concederles acceso a datos sensibles y confidenciales.
La empresa añadió que, aunque parece que las organizaciones consideran el acceso remoto de terceros como una fuente de ciberamenazas, pocas le dan prioridad, ya que el 63 % afirma que no evalúa las prácticas de seguridad y privacidad de sus socios externos porque confía en su reputación.
Según Larry Ponemon, presidente y fundador del Instituto Ponemon, esto garantiza efectivamente una violación de datos.
«Es importante que las organizaciones evalúen las prácticas de seguridad y privacidad de los terceros que tienen acceso a sus redes y se aseguren de que tienen el acceso suficiente para cumplir con sus responsabilidades designadas y nada más», dijo Ponemon.
El informe también reveló que el 54 % de las organizaciones no tiene un inventario completo de todos los terceros con acceso a su red, y el 65 % no sabía cuáles tenían acceso a sus datos más sensibles. Además, el 63 % admitió que su organización no tenía visibilidad del nivel de acceso y permisos de los usuarios internos y externos por igual, lo que deja a los equipos de seguridad sin saber quién tiene acceso a la red, cuándo está en ella y por qué está allí.
Alrededor del 54 % de los encuestados también dijeron que no estaban supervisando las prácticas de seguridad y privacidad de sus proveedores de servicios, y el 59 % dijo que no había centralizado el control sobre terceros, sobre todo debido a la complejidad de sus diversas relaciones.
«Las organizaciones deben dejar de adoptar un enfoque de dedos cruzados respecto a la seguridad de terceros», dijo Devine. «La verdad es que si no se cuenta con los protocolos y las herramientas adecuadas, es probable que una violación de datos sea inevitable».
«Hay que definir quién es el responsable en la empresa y empezar por dar prioridad a la transparencia de la red, imponer el acceso de mínimo privilegio o de confianza cero, y evaluar constantemente las prácticas de seguridad de terceros existentes para garantizar que se hace frente a la evolución de las amenazas».