Para contextualizar, Zachary Smith, investigador principal de Gartner ha dicho que"la gestión de los riesgos de ciberseguridad de terceros requiere muchos recursos, se enfoca demasiado en los procesos y tiene pocos resultados tangibles. Los equipos de ciberseguridad luchan por ser resistentes ante problemas relacionados con empresas externas y por influir en las decisiones comerciales asociadas a ellas".
En términos de protección empresarial contra ciberataques de empresas externas, las empresas deben hacer un uso eficiente de los recursos, gestión de riesgos y capacidad de recuperación, y a su vez tener cuidado a la hora de tomar decisiones comerciales. A la hora de poner la teoría en práctica las empresas tienen dificultades para lograr resultados efectivos en dos de estos aspectos, y solo el 6% de las organizaciones son efectivas en los tres.
Basándose en los resultados de la encuesta, Gartner ha identificado cuatro acciones que los líderes de seguridad y gestión de riesgos deberían tomar para ser más efectivos a la hora de manejar los riesgos de ciberseguridad de empresas externas. Según la encuesta, las organizaciones que implementaron alguna de estas acciones experimentaron un aumento del 40 al 50% en la efectividad de su protección contra ciberataques de empresas externas.
Ante este escenario, es fundamental que los responsables de seguridad de la información (CISO) revisen regularmente cómo se comunican los riesgos de empresas externas a los dueños de negocios para que los mensajes sobre los riesgos sean comprendidos adecuadamente y que se proporcione información útil y práctica sobre dichos riesgos.
El 72% de las compañías en España fundamenta su enfoque de datos en datos de terceros
Leer más
También, es importante seguir de cerca las decisiones contractuales de empresas externas para ayudar a gestionar la aceptación de riesgos por parte de los dueños de negocios. Esto permitirá alinear los controles compensatorios para la aceptación de riesgos y alertar sobre dueños de negocios particularmente riesgosos que requieran una supervisión más intensiva en ciberseguridad.
Otro aspecto determinante, es llevar a cabo una planificación de respuesta a incidentes relacionados con empresas externas, como estrategias de emergencia y ejercicios prácticos. Esto garantizará una protección efectiva contra ciberataques y una adecuada recuperación después de un incidente.
Por último, es fundamental trabajar con empresas externas críticas para mejorar sus prácticas de gestión de riesgos de seguridad según sea necesario. Esto promoverá la transparencia y la colaboración en un mundo hiperconectado donde el riesgo de una empresa externa crítica también es un riesgo para la organización.
Si (
No(
