La Era de la Defensa Inteligente y la Resiliencia Obligatoria
La gestión de riesgos de terceros (TPRM) y las auditorías de proveedores son un pilar fundamental de la ciberseguridad y la gestión de riesgos en las organizaciones . Esto es crucial porque la cadena de suministro se ha consolidado como un vector de ataque principal para los ciberdelincuentes , siendo el ransomware dirigido a proveedores una táctica en aumento para afectar a múltiples empresas simultáneamente
El Contexto del Riesgo
La interconectividad, como se observa en sectores críticos como Oil & Gas, aumenta drásticamente la superficie de ataque, donde un gran número de proveedores y terceros intervienen en la cadena de suministro
.• Existe una alta preocupación entre las organizaciones: el 88% está preocupado por los riesgos cibernéticos de la cadena de suministro
.• La exposición al riesgo es tangible: más del 70% de las organizaciones experimentó un incidente cibernético significativo de terceros en el último año
.• Incidentes previos, como el acceso no autorizado a bases de datos a través de un proveedor externo, confirman la seriedad de estas brechas
.Auditorías y Gestión Proactiva (TPRM)
Las fuentes concuerdan en que la gestión debe ser activa y rigurosa para contrarrestar este riesgo.
• Es imprescindible garantizar una gestión eficaz de terceros, asegurando que todos los proveedores, especialmente aquellos con acceso a sistemas o datos sensibles, cumplan con los niveles de seguridad acordados
.• Las empresas deben exigir el mismo nivel de ciberseguridad a todo el entorno externo y a la red de proveedores
.• Las auditorías de ciberseguridad son un control esencial y deben ser llevadas a cabo por profesionales con la formación y experiencia adecuadas que sean independientes de las actividades informáticas cotidianas
.• Se deben firmar acuerdos que regulen el cumplimiento de estos requisitos de seguridad por parte de los proveedores
. Además, las pymes que procesan datos de la UE deben asegurarse de que los terceros que trabajan en su nombre apliquen medidas de seguridad adecuadas conforme al RGPD
.
Desafíos y Evolución Futura de la TPRM
La gestión del riesgo de terceros está evolucionando hacia modelos más transparentes y continuos, pero aún enfrenta serios desafíos prácticos:
• La tendencia es transicionar de evaluaciones puntuales a la visibilidad de extremo a extremo y el monitoreo continuo de la cadena de suministro
.
• Las organizaciones están empezando a requerir Listas de Materiales de Software (SBOMs) y telemetría en tiempo real de sus socios para identificar dependencias y vulnerabilidades más rápidamente
.
• A pesar de esta tendencia, la visibilidad es baja: menos de la mitad de las organizaciones monitorean incluso el 50% de su cadena de suministro extendida.
• La respuesta a incidentes a menudo es pasiva, ya que solo el 26% integra la respuesta en sus programas TPRM, y las brechas a menudo trasladan la carga de respuesta a los equipos del Centro de Operaciones de Seguridad (SOC), que ya están sobrecargados.
La auditoría de proveedores, por lo tanto, se complementa con la necesidad de fortalecer la resiliencia operativa, asegurando que, incluso cuando las defensas de un tercero fallen, la organización pueda detectar, responder y recuperarse rápidamente.
