En el momento del ataque, iNSYNQ siguió rápidamente los protocolos y apagó los servidores para contener la propagación de la infección de malware. Pero el daño ya estaba hecho y el cierre dejó a los clientes sin poder acceder a sus datos de contabilidad en servicios muy populares como Intuit QuickBooks.
Como lo demostró el ataque al CCH a principios de este año, no se trata de si, sino de cuándo se ataca a una empresa y las empresas de contabilidad se están convirtiendo cada vez más en un objetivo deseable para que los ciberdelincuentes se aprovechen. Los vendedores juegan un papel clave para ayudar a las empresas a lograr la eficiencia y el éxito en la economía actual.
A medida que se recurre cada vez más a ellas, las empresas tienen la responsabilidad cada vez mayor de establecer protocolos eficaces para garantizar que los proveedores protejan sus intereses cuando se les conceda acceso. Si los hackers logran entrar en un sistema de terceros, posiblemente puedan aprovechar la información y las credenciales robadas para entrar en el sistema de su empresa.
Mejorando su perfil de riesgo
Además de practicar una buena ciberseguridad, si desea mejorar su perfil de riesgo cibernético al trabajar con los proveedores, debe considerar lo siguiente:
1. Incorporar los requisitos de seguridad en los contratos . El equipo jurídico de una empresa debe trabajar con el departamento de informática al redactar un nuevo contrato con un proveedor para explicar claramente las expectativas en cuanto a las políticas y procedimientos de seguridad. Entre los protocolos específicos que deberían incluirse en los contratos de los proveedores se encuentran las políticas de seguridad de la empresa, los controles de acceso, las auditorías periódicas, la respuesta a incidentes y la distribución de riesgos en caso de incumplimiento.
2. Conoce tu inventario . La realización de un inventario de datos en profundidad es vital para las empresas que permiten a sus proveedores mantener los datos de los clientes, como Intuit QuickBooks. Este inventario debe analizar cada proveedor con el que una empresa hace negocios y determinar los tipos de datos a los que el proveedor ha tenido acceso.
3. 3. Exigir garantías de seguridad cibernética . Los informes actuales de los Controles de Sistemas y Organización (SOC) 1 y 2 no prescriben métodos para proporcionar garantías o información sobre el programa de gestión de riesgos de seguridad de un proveedor. Sin embargo, existe un nuevo marco de informes SOC -el SOC para la ciberseguridad- que audita específicamente la gestión de los riesgos cibernéticos. Debe solicitar que sus proveedores realicen una auditoría SOC para la ciberseguridad anualmente o cuando haya cambios significativos en el entorno cibernético del proveedor, además de las pruebas de penetración anuales.
4. Programar el acceso y las revisiones de seguridad . Toda empresa debe realizar revisiones de acceso y seguridad diariamente y lo mismo se aplica a los proveedores con acceso al sistema de una empresa. Si se permite a un proveedor acceder de forma remota a la red o aplicación de una empresa en cualquier momento, se deben establecer controles de auditoría para supervisar regularmente los registros de la VPN junto con una revisión de los registros de actividad de la red y la aplicación. Como práctica óptima, la administración debería considerar la posibilidad de mantener desactivadas las cuentas de los proveedores de aplicaciones de acceso remoto hasta que se necesite apoyo.
Conclusión
Lo que tanto el CCH como el iNSYNQ subrayan es que hay urgencia en cada brecha. Sin duda, usted, su personal y sus clientes necesitan confiar en los proveedores de diversas áreas, lo que les ha llevado a compartir datos sobre sistemas y servicios a través del ciberespacio. Una brecha en cualquiera de estos servicios representa una amenaza para sus clientes e incluso para su empresa.
Tomar medidas hoy para abordar los riesgos cibernéticos relacionados con los proveedores ayudará a mitigar la exposición de su organización y a reducir el riesgo de ser el próximo titular.
Artículos relacionados
3 formas de detener los ataques de ciberseguridad
¿Su empresa practica el bienestar cibernético?