Ciberseguridad en la cadena de proveedores

No importa cuántos recursos, ni dinero invierta en la ciberseguridad de su empresa si no incluye su cadena de proveedores en esta estrategia.

No importa cuántos recursos o dinero invierta en la ciberseguridad de su empresa si no incluye a su cadena de proveedores en esta estrategia.

La ciberseguridad es uno de los principales retos de las empresas, con la creciente importancia del comercio electrónico, y la proliferación de nuevas formas de cibercrimen (como el ransomware), es lógico entender las cifras que las empresas invierten en seguridad.

Para ser más exactos, se estima que para 2023 las empresas invertirán más de 12.600 millones de dólares en herramientas de seguridad para la nube. 

Y es que el estudio Cybercrime Study 2019 de Accenture y Ponemon Institute encontró que las empresas analizadas registraron, cada una, un promedio de 145 ciberataques durante 2018.

Los criminales además siempre están evolucionando, aprendiendo nuevas técnicas y vectores de ataque, ya no solo se concentran en los empleados de las empresas, ahora también van por su cadena de proveedores, pero ¿cómo proteger este eslabón?

Al respecto, Diego Espitía, Chief Security Ambassador de ElevenPaths nos recuerda que dentro de la estrategia de seguridad de la información se debe contemplar el manejo de la información con terceras partes y los accesos que estos puedan tener en sus servicios digitales.

“Este planteamiento debe tener claras cuáles son las medidas de control y seguridad que deben exigir a sus proveedores y cuáles son los controles de acceso que se van a implementar, no necesariamente todos deben ser controles técnicos, algunos pueden ser contractuales”, agrega Espitía.

¿Por dónde empezar? 

El primer paso en una estrategia de seguridad con los proveedores es definir a que información pueden o no acceder cada uno de los mismos, una vez se tiene este mapa de interacción se inician los procesos de aseguramiento para el flujo de información.

De esta forma, lo principal es tener mecanismos de identificación que realmente garanticen la plena identificación de quien hace la conexión, no simplemente un usuario y contraseña. Ya con esta identificación se realizan las fases de autorización.

Espitía asegura que “para la fase de autorización es indispensable tener claramente identificada el tipo de información, cual es privada, cual es secreta, cual es publica, cual es para que proveedor. Esto va a facilitar los controles de acceso”.

Por supuesto, estos procesos no están exentos de retos donde el más grande de ellos es el factor cultural donde se debe concientizar a empleados externos a la empresa de lo vital de la seguridad en todas las operaciones. Porque después de todo vivimos en un mundo conectado.

Foto creada por onlyyouqj – www.freepik.es

Exit mobile version