Anticipa los riesgos de terceros o dile adiós a tu ciberresiliencia.

JPMorgan ha emitido una advertencia sobre el creciente riesgo que representan los modelos modernos de integración de software. La entidad financiera global ha dirigido una carta abierta a sus proveedores de tecnología, instándolos a actualizar sus medidas de seguridad para evitar la posibilidad de ser excluidos de sus operaciones. Esta es una medida audaz y necesaria en un contexto donde una debilidad en un único eslabón puede comprometer completamente las defensas cibernéticas de una organización.

La arquitectura de seguridad debe ser modernizada para adaptarse a las amenazas emergentes y garantizar que las organizaciones puedan operar de manera segura. Es fundamental contar con visibilidad total y en tiempo real de todos los activos, especialmente los proporcionados por proveedores externos. Sin esta supervisión, las empresas están prácticamente a ciegas. Brechas de seguridad en empresas minoristas de renombre han evidenciado que incluso las organizaciones más sofisticadas son vulnerables ante puntos ciegos en sus cadenas de suministro.

Si bien la carta abierta destaca la importancia de los terceros en la seguridad de la cadena de suministro, no debería eximir a las empresas de su responsabilidad. Es esencial que las organizaciones tomen el control y apliquen estándares de cumplimiento y seguridad en su ecosistema de proveedores. En caso de un desastre, el culpable se convierte en un detalle irrelevante; solo el afectado sufre las consecuencias.

La responsabilidad del riesgo de terceros recae en las propias compañías. Esperar que cada proveedor cumpla con altos estándares de seguridad es solo una parte de la solución. Actualmente, muchas empresas carecen de visibilidad en tiempo real sobre sus propios activos, y por ende, sobre los de sus socios estratégicos. Demasiados ejecutivos senior confían en la idea errónea de que "el equipo de TI lo maneja" o que el seguro cibernético resolverá todos los problemas tras un ataque. La historia está llena de empresas que subestimaron el riesgo y fallaron en invertir adecuadamente en resiliencia cibernética, enfrentando crisis severas como resultado.

Ataques a gigantes del retail como Target, así como a M&S y el Co-op, han demostrado las repercusiones de subestimar el riesgo de terceros. Estos no son startups con infraestructuras deficientes, sino nombres reconocidos con recursos significativos, y aun así, las brechas se produjeron a través de accesos de terceros.

Algunas empresas se sienten abrumadas por la complejidad técnica y las prioridades contradictorias, mientras que otras han caído en la complacencia gracias a haber evitado incidentes cibernéticos por pura suerte, en lugar de por una buena gestión. Muchas organizaciones enfrentan una parálisis de decisión, ante una wall intimidante de amenazas y soluciones, sin saber por dónde empezar. Esto se agrava con la reticencia a gastar dinero si no han sufrido un ataque. Demorar las decisiones solo permite que las brechas de seguridad se expandan a medida que los atacantes perfeccionan sus métodos.

La dura realidad es que muchas empresas solo desarrollan prácticas de ciberseguridad sólidas después de haber sufrido una brecha significativa, cuando ya es demasiado tarde. Mejorar la resiliencia cibernética no se trata de añadir más herramientas a un conjunto tecnológico ya amplio; requiere que cada componente funcione de forma cohesiva. La simplicidad y la claridad, junto con un control continuo, son fundamentales para establecer una seguridad duradera.

A nivel directivo, la ciberseguridad debería recibir el mismo tratamiento que la seguridad fisica o las finanzas, respaldada por la automatización y monitorización constante. La visibilidad completa y continua sobre toda la infraestructura tecnológica, incluidas las integraciones de terceros, es la única manera de gestionar las amenazas actuales. No basta con confiar en la palabra de un proveedor; es crucial contar con evidencias y monitorización constante para reaccionar ante cualquier cambio.

El cumplimiento regulatorio también acentúa la importancia del riesgo de terceros, como se evidencia en normativas como la Digital Operational Resilience Act (DORA), la Financial Conduct Authority (FCA), ISO 27001 y NIS 2, que exigen que la gestión de estos riesgos sea un requisito central de cumplimiento.

Por lo tanto, la respuesta a la carta de JPMorgan no debe ser la simple incorporación de otra herramienta. A menudo, más tecnología solo añade complejidad, contraria a lo que buscan las empresas para aumentar su resiliencia cibernética. La gestión del riesgo de terceros es una responsabilidad que los negocios no pueden delegar en sus proveedores; es crucial que la alta dirección escuche a sus equipos de ciberseguridad y proporcione los sistemas y el apoyo adecuados. Así podrán tener el control para monitorizar continuamente sus sistemas, alinear los marcos de seguridad y revelar evidencias de cumplimiento y riesgo en tiempo real.

La gestión de los riesgos de terceros requiere colaboración constante. Las empresas son igualmente responsables de su propia seguridad y deben exigir a sus socios que cumplan con los mismos estándares. La carta de JPMorgan es un llamado a la acción, pero la respuesta debe ser de claridad y control.