¿Conoce a sus proveedores?

El riesgo está en todas partes. Un contratista que le instaló una pantalla de video le envía la factura desde una red wi-fi de una cafetería y se filtra información de su empresa. Un empleado de mantenimiento que limpia una oficina accidentalmente pierde una credencial de trabajo que alguien más recoge con fines malintencionados. Un técnico que actualiza la red móvil de una empresa no sigue los protocolos de seguridad de redes o, peor aún, ya está conectado a una red de piratas informáticos.

Una cadena es tan fuerte como su eslabón más débil, y lo mismo sucede con el personal de una empresa, el software, el hardware y las redes. A veces las empresas examinan a sus empleados pero no investigan cuidadosamente a los proveedores externos. Según Price-Waterhouse Cooper, el 74 % de las empresas no hace una revisión exhaustiva de sus proveedores externos que manejan datos confidenciales, mientras que el 73 % no cuenta con procesos para afrontar las infracciones a la seguridad. Es probable que la situación haya mejorado desde este informe de 2013, pero el nivel de preocupación entre los expertos de la industria sigue siendo alto.

Además, cada vez se les exige más a los directores de seguridad de la información y a los directores de sistemas de información que investiguen este canal más profundo de suministro y, en última instancia, la junta directiva es la responsable si se presenta una situación de desastre. Afortunadamente, las juntas tienen la capacidad de establecer evaluaciones de los riesgos ocasionados por los proveedores como una prioridad para una cultura empresarial integral. Los siguientes son algunos llamados a la acción que deberían considerarse para mantener a raya las infracciones a la seguridad:

1. Evaluar los riesgos dentro de su propia red

Ante unos controles de red más estrictos, los piratas informáticos han recurrido al robo de las credenciales de los proveedores para obtener acceso a los sistemas de manera indirecta, de acuerdo con TechNewsWorld. Una violación importante de la seguridad que tuvo lugar en Target en 2013 estuvo vinculada en parte a un robo de credenciales de un proveedor externo que ofrecía ciertos servicios de gestión de proyectos y facturación. Un año más tarde, un software malicioso afectó a Home Depot debido a un falla de seguridad de otro proveedor externo.

Las infracciones a la seguridad a través de personas con información privilegiada han sido una seria amenaza para las empresas durante mucho tiempo, ya que los empleados a veces no comprenden cabalmente las consecuencias de dejar su correo electrónico abierto, utilizar una misma contraseña para varias cuentas o dejar archivos expuestos en un escritorio. Los proveedores externos y los proveedores de servicios pueden crear el mismo problema al acceder a una red y exponer las vulnerabilidades.

2. Tratar de conocer realmente bien a sus proveedores

Cuando vaya a trabajar con nuevos proveedores, la seguridad debe ser un componente importante de la decisión; simplemente es demasiado arriesgado suponer que alguien es seguro sin realizar una verificación adecuada. Investigue para asegurarse de que un proveedor cuente con auditorías de seguridad de terceros, certificaciones y protocolos que sean al menos tan efectivos como los que usted aplica internamente.

Para que las evaluaciones de los riesgos de seguridad sean un factor importante en todas las decisiones de contratación de proveedores, asegúrese de preguntar, por ejemplo, a la empresa de limpieza y mantenimiento que planea contratar, si ellos realizan verificaciones de antecedentes. La misma pregunta puede hacérsele a técnicos y otros trabajadores. Interrogar a los proveedores sobre sus verificaciones de seguridad, autorizaciones y programas educativos de seguridad antes de que inicien un trabajo puede diferenciar rápidamente a los que ofrecen cierta confianza con respecto a sus necesidades de seguridad de los que no lo hacen.

3. No permitir que un proveedor se cuele por entre las grietas

Sin duda, toda organización debe contar con una política clara sobre las expectativas relacionadas con los controles internos de seguridad, las auditorías externas y las certificaciones que deben exigírsele a cualquier proveedor. Sin embargo, si la seguridad va a ser prioritaria, se necesita una lista clara, completa y actualizada de los proveedores para que la organización de TI de cualquier empresa pueda examinar a cada proveedor según el riesgo potencial que podría representar. Suena muy sencillo, pero este esfuerzo extra en la diligencia debida puede marcar la diferencia entre una organización segura y una debacle de millones de dólares.