Los servicios que se contratan suelen ser el agujero negro de vulnerabilidad de las organizaciones

Proveedores y terceros, el talón de Aquiles de la ciberseguridad.

Noticia

La revisión constante de las vulnerabilidades de proveedores y terceros, la transparencia a la hora de comunicar y reconocer ataques sufridos, la utilización de herramientas para controlar procesos, personas y su formación, y ayudarse de la tecnología, fueron las claves de la segunda jornada del congreso “CiberTodos”, dedicada a la protección y organizada por ISACA Madrid.

Tejerina cibertodos 20-2

La revisión constante de las vulnerabilidades de proveedores y terceros, la transparencia a la hora de comunicar y reconocer ataques sufridos, la utilización de herramientas para controlar procesos, personas y su formación, y ayudarse de la tecnología, fueron las claves de la segunda jornada del congreso “CiberTodos”, dedicada a la protección y organizada por ISACA Madrid.

Arrancó la jornada, Alberto Francoso Figueredo,  Jefe del Servicio de Análisis de la Ciberseguridad y la Cibercriminalidad de la Oficina de Coordinación de Ciberseguridad (OCC), organismo que ha incluido en la ecuación de la ciberseguridad al Ministerio del Interior y la Cibercriminalidad, con la máxima que nadie en la sociedad debe ya olvidar; “detrás de cada incidente de ciberseguridad hay un delito”.

Como experto, Francoso destacó que en España se ha producido un fortísimo incremento de la implantación de la ciberseguridad, y esta es la parte preventiva de la cibercriminalidad, “todavía no afloran todos los delitos, porque se niegan; no se reconoce por parte de las organizaciones haber sufrido ataques. Nadie va a comunicar incidentes porque va en perjuicio de las compañías, si no hay consecuencias, es decir, multas por ello”.

El periodista Carlos Otto entrevistó a la Presidenta de la Asociación de Internautas, Ofelia Tejerina, quién desveló que por detrás de México, España tiene el índice con mayor ciberdelincuencia y que este año 2020 han aumentado los ciberataques, “porque hemos estado más conectados que nunca.  Es mejorable el nivel de concienciación que tenemos. Deberíamos preocuparnos más de la ciberseguridad  y empezar por casa y los más jóvenes”.

Tejerina habló de precauciones básicas a la hora de utilizar internet, de tratar de conseguir pruebas de los delitos (como capturas de pantalla, etc) y de hacer copias de seguridad como algo habitual, “porque cogemos todo lo moderno, lo online y la informática sin ninguna precaución, que sí tendríamos de manera normal en el mundo físico. A las empresas tecnológicas debemos exigirles cumplir, porque no les compensa económicamente imponer medidas de seguridad frente al usuario. Debemos cuidar nuestra imagen personal como primera medida de protección. Por ejemplo, las fotos que se cuelgan en Facebook solo para contacto familiar, no para otras finalidades”.

El riesgo de “los otros”
El congreso continuó con la mesa redonda "Gestión de riesgos de terceros: moda o tendencia", que se centró en los incidentes que sufren las organizaciones relacionados con las filtraciones o malas actuaciones de los terceros con los que se relacionan y, según los contertulios, el cobro de servicios a través de tarjeta bancaria parece ser el rey de las irregularidades y las problemáticas con las que se encuentran la mayor parte de las compañías.

Antonio Ramos, Vicepresidente de ISACA Madrid moderó la mesa, aseguró que “los terceros son un riesgo y es difícil encontrar una empresa que no tenga algún servicio subcontratado” y aseguró que “la ciberseguridad se tiene que poner al nivel de los riesgo laborales; ya nadie está en una obra sin casco. Todos estamos conectados con todos y a solo una IP de distancia, por muchos km. que nos separen”.

Rosa Damaris Díaz de Tejada, Presidenta de ISACA Santo Domingo Chapter, como supervisora de riesgo operacional de las entidades financieras dominicanas,  aseguró que tercerizar servicios “es siempre un proceso es de riesgo”. Según explicó, en la mayoría de entidades con procesamiento de tarjetas, siempre echa la culpa al proveedor del tratamiento de la tarjeta, aunque el culpable son las entidades contratantes.

Díaz de Tejada relató el ejemplo de las dificultades de tráfico de información de terceros durante el huracán María, por la que las entidades financieras no podían dar crédito en cajeros en medio de aquella situación. “Y la responsabilidad siempre es de las entidades” dijo, y lamentó que en su zona cuentan con la concentración de terceros para todas estas entidades, como una de las dificultades para la seguridad.

Para Javier Puerta, Head of CyberSecurity in Third Parties en BBVA Spain, “cualquiera que tenga una conectividad contigo, forma parte de ti y todos dependemos de todos” y contó el caso de Target en USA, representativo de cómo a través de un proveedor los cíber delincuentes se instalan en el supermercado y captan la información de los medios de pago y tarjetas, robando a 41 millones de clientes.

Hay que considerar a los “terceros” como parte de tu compañía, capturar el flujo de las contrataciones, estar conectado con él para poder imponer criterios y tener en cuenta el riesgo cíber” dijo Puerta, y explicó también que en el BBVA buscan el matiz de realidad de las certificaciones que les presentan sus proveedores, y confirman que realmente están implementadas.

Por su parte, José Manuel Cabrera, Cybersecurity Strategy & Risks Manager en Repsol, explicó que la tendencia es que la información de una compañía está deslocalizada,  en la nube y otras plataformas, donde ya no hay fronteras y el proceso de interconexión con terceros es ya inevitable, no solo a través de proveedores y partners, también en colaboraciones con startups o clientes que sufren ataques y fraudes.

Cabrera expuso que “el ciberdelincuente busca el eslabón más débil, que son las personas, y en las organizaciones son los terceros”, por lo que incidió en la cultura como herramienta, para que el riesgo que se corre al contratar y externalizar esté presente en quienes manejan los negocios.

Josep S. Cuñat, Socio  y responsable de Seguridad de la Información de Auren, habló de tipologías de riesgos con empresas terceras, “como utilizar un portal web de pago del que se sacar datos de tarjetas, o trabajadores que se salen de las herramientas indicadas en su perímetro”. Cuñat apuntó como herramientas para evitar los riesgos la gestión de los procesos, como la ISO 3402 de auditoría, las personas y su formación, y la tecnología.

Los miembros de la mesa coincidieron en apuntar como reto el de la eficiencia, es decir, que hay que seguir utilizando las normas y certificaciones, que son muy útiles, pero no estandarizar la ciberseguridad, porque los estándares pueden conllevar riesgos, ya que cada tipo de empresa o negocio tiene sus propias necesidades.  “Las certificaciones vienen del mundo de la industria y del producto –explicó Cuñat-. En ciberseguridad son un plus, pero se necesita una normalización en la medición; tener un esquema real de monitorización unificada”.

Si quieres ver esta jornada completa de Cibertodos, lo puedes hacer en este enlace: https://www.youtube.com/watch?v=_EgJhLa_z8w

Cibertodos se celebrará mediante 5 jornadas online de 2 horas de duración cada una los días 1, 8, 15, 22 y 29 de octubre, online, en horario de 18:00 a 20:00 CEST. IR A INSCRIPCIÓN