El riesgo de los proveedores externos puede dar lugar a incidentes potencialmente muy perjudiciales, pero muchas empresas tienden a centrarse en la protección de sus sistemas y procesos internos y pueden preocuparse menos por los que entregan a terceros, que bien pueden ser percibidos como «expertos» y, por tanto, seguros. Sin embargo, esta difícil cuestión debería estar exigiendo más atención por parte de los consejos de administración, como han demostrado varias violaciones de datos recientes. Los expertos en seguridad instan a adoptar un enfoque mucho más conjunto, de hecho
en toda la empresa, y de responsabilidad colectiva.
Marco de riesgos
Con demasiada frecuencia, un departamento individual, como el de adquisiciones o el de TI, puede encargarse de establecer y gestionar las relaciones con terceros, lo que significa que la supervisión puede ser a veces menos rigurosa. En lugar de ello, hay que invertir tiempo y esfuerzo en gestionar los riesgos de terceros desde el principio.
Se debe exigir a todos los proveedores que faciliten información sobre sus normas de seguridad y gestión de riesgos para ayudar a verificar que son o pueden ser un socio de confianza y dónde hay posibles riesgos, sobre todo si tienen acceso a datos. A cada uno de ellos se le debe exigir que responda a un cuestionario para introducirlo en un marco, lo que puede ayudar a clasificarlos como de riesgo alto, bajo o medio. Tiene que haber investigación de antecedentes, controles empresariales estrictos y acuerdos legales, junto con supervisión, y esto tiene que ser más frecuente para los proveedores de mayor riesgo. Algunos vendedores pueden no apreciar este nivel de supervisión o que se les pida que proporcionen referencias, por ejemplo. Pero, si se muestran reacios, esto debería provocar serias discusiones sobre si el acuerdo va a resultar viable. Según un reciente informe de Verizon, una de cada dos violaciones de datos tiene su origen en riesgos de terceros, por lo que muchos gestores de riesgos podrían querer realizar revisiones en este ámbito, y potencialmente esto debería hacerse a nivel de la raíz y la rama.
Dow Jones en el punto de mira
El pasado mes de febrero se reveló que un «tercero autorizado» había expuesto una lista de vigilancia de Dow Jones altamente sensible, almacenada en una base de datos y que contenía unos 2,4 millones de registros.
Los nombres fueron clasificados como de «alto riesgo» por la empresa de noticias financieras, ya que se entendía que tenían posibles vínculos con el crimen organizado o el terrorismo. Se informó de que entre las personas incluidas en la lista había políticos, presuntos terroristas y delincuentes de guante blanco, y se dijo que los detalles incluían edades, ubicaciones, notas detalladas de presuntas fechorías y, en algunos casos, fotografías. Una lista de este tipo puede ayudar a las empresas a evitar tratar con organizaciones de dudosa reputación y ser objeto de sanciones o encontrarse con problemas normativos, como los relacionados con la lucha contra el blanqueo de capitales.
Los nombres se guardaban en un servidor de AWS no seguro y la base de datos fue descubierta por Bob Diachenko, experto en seguridad que también ha descubierto otras filtraciones de datos. Afirmó que la lista se encontraba en un clúster público de Elasticsearch de 4,4 GB de tamaño y que cualquiera que supiera dónde buscar podía acceder a ella.
Participación del Consejo
Dow Jones dijo que los datos formaban parte de su oferta de riesgo y cumplimiento, y el portavoz declaró:
«Nuestra revisión sugiere que esto se debió a una mala configuración de un servidor de AWS por parte de un tercero autorizado, y los datos ya no están disponibles».
Las bases de datos Elasticsearch no seguras han estado detrás de varias filtraciones de datos recientemente, incluida una que afectó a 32 millones de clientes de Sky Brasil y un incidente de Thompson Reuters que también afectó a una lista de vigilancia y la exposición de 2,2 millones de registros. El traspaso de datos y funciones a otras empresas ocurre con frecuencia por muchas razones. Pero no significa abandonar la responsabilidad, y debe mantenerse en la empresa a personas con las aptitudes adecuadas, tanto para gestionar a los proveedores como para garantizar que, si se produce un incidente, pueda haber una respuesta rápida y eficaz.
Cuando se trata de gestionar a terceros, los reguladores están vigilando y los consejos, junto con los gestores de riesgos, deben comprometerse e implicarse.