Los ciberriesgos aumentan a marchas forzadas a medida que los adversarios buscan explotar los puntos débiles de la ciberseguridad externa como si fueran una invitación al ciberataque selectivo. Ahora que el teletrabajo sigue siendo la opción predilecta de muchas organizaciones para sus empleados, el número de posibles puntos débiles vulnerables a los ciberataques va en aumento. En colaboración con Orpheus, vamos a ofrecer un sistema de puntuación de ciberriesgos de proveedores con el fin de proporcionar inteligencia avanzada sobre ciberataques a las organizaciones compradoras que utilizan Achilles.
¿Qué es la puntuación de ciberriesgos?
Los índices de ciberriesgo indican el nivel de ciberriesgo asociado con una organización. Cuanto más alta sea la puntuación, mayor será el riesgo al que se enfrentará una empresa de ser víctima de un ataque fructífero.
¿Por qué es importante la gestión de ciberriesgos en las cadenas de suministro?
Muchos ataques empiezan con una empresa de la cadena de suministro, en vez de ir dirigidos directamente al objetivo final. A menudo, las organizaciones de mayor tamaño cuentan con medidas de ciberseguridad sólidas, pero proporcionan acceso a sus sistemas a proveedores legítimos. Una vez que los proveedores obtienen dicho acceso, se convierten en parte de tu red y, por tanto, de tu superficie expuesta a ataques. Lo que es más, es muy probable que tu empresa se vea afectada si uno de tus proveedores importantes sufre un ciberataque, independientemente de si tiene acceso a tus sistemas, y también es probable que muchos de tus proveedores estén en posesión de tus datos y los de tus clientes. Es probable que se considere a tu empresa responsable si un proveedor sufre una filtración de los datos de tus clientes, sobre todo si no has adoptado prácticas recomendadas de gestión de ciberriesgos en tu cadena de suministro. Si no evalúas las medidas de ciberseguridad de tus proveedores, no sabrás si suponen un riesgo grande o pequeño. Los atacantes lo saben y buscan aprovecharse de los proveedores con medidas de seguridad menos rigurosas.
Además, las entidades reguladoras internacionales están empezando a imponer normas para la seguridad de la cadena de suministro. Las entidades reguladoras y los órganos rectores no reducirán las multas porque los atacantes hayan obtenido acceso a través de un tercero, puesto que lo consideran un riesgo que tienes la responsabilidad de mitigar.
¿Qué información se utiliza como base para calcular la puntuación de ciberriesgos?
El cálculo de la puntuación de ciberriesgos se basa en una gran cantidad de puntos de datos, combinados con aprendizaje automático. Esta información incluye:
- Inteligencia sobre amenazas en sectores y países en los que desarrolla sus operaciones tu empresa
- Vulnerabilidades sin parches
- Evidencias de procesos de seguridad débiles en el correo electrónico
- Fallos en los hábitos de ciberseguridad
¿Qué elementos influyen en la puntuación de ciberriesgos?
El índice de riesgo es una combinación de la puntuación de amenazas y la de vulnerabilidades. El informe te indicará la puntuación individual de estos dos elementos, así como la información que se ha utilizado para efectuar su cálculo. Proporciona consejos prácticos para mitigar los problemas que se hayan identificado.
¿Cómo sé si la puntuación es precisa?
Las herramientas y el enfoque que usamos siguen los procesos utilizados por los . Basándonos en nuestra extensa experiencia en el área de la inteligencia sobre amenazas, sabemos qué buscan los ciberatacantes y las vulnerabilidades que intentan explotar. Nuestro aprendizaje automático ha sido evaluado por profesionales homólogos y tiene, como mínimo, una precisión del 94 % en la predicción de futuras amenazas.
Mediante nuestra colaboración con Orpheus, utilizamos un detallado proceso de revisión manual para identificar falsos positivos que puedan asignar una puntuación artificialmente alta a una organización. También disponemos de un proceso que permite a las organizaciones eliminar resultados que se pueden validar como incorrectos, aunque esto es algo que sucede en contadísimas ocasiones. Algunas empresas de puntuación de riesgos permiten a las organizaciones modificar su puntuación si mitigan los problemas, pero nosotros solo lo permitimos previa validación de los datos, lo que garantiza que los resultados sean precisos.
Si la puntuación de ciberriesgos es baja, ¿hay algo más de lo que tenga que preocuparme?
Que el riesgo sea bajo no quiere decir que no exista. Las amenazas internas y las campañas de suplantación de identidad, o phishing, son ejemplos de dos de los principales riesgos a los que se enfrentan casi todas las organizaciones. La puntuación de ciberriesgos de Orpheus es un buen indicador que sugiere medidas que pueden tomar las organizaciones para reducir sus riesgos. Ofrecemos la perspectiva de un hacker, y quizás quieras recibir más asesoramiento, que está disponible únicamente para quienes ya forman parte de la organización.
¿Qué pasa si no estoy de acuerdo con la puntuación?
Cualquier organización que no esté de acuerdo con su puntuación de ciberriesgos puede ponerse directamente en contacto con nosotros para discutir posibles medidas correctivas. Nos esforzamos por eliminar falsos positivos de nuestras puntuaciones, y los errores son raros. El índice de ciberriesgo general se compone de numerosos puntos de datos, por lo que es poco probable que un falso positivo en un área concreta afecte seriamente a la puntuación general. En el caso poco probable de que suceda, contamos con un proceso correctivo que nos permite validar el error que ha identificado una empresa.
¿Dónde puedo ver mi puntuación de ciberriesgos?
Como comprador, puedes ver la puntuación de ciberriesgos de un proveedor mediante Achilles Insights. Además, tendrás la opción de obtener un informe personalizado de evaluación de ciberriesgos de la cadena de suministro que te proporcionará más detalles sobre las amenazas y riesgos específicos a los que podría verse expuesta tu empresa.
Como proveedor, puedes ver tu puntuación de ciberriesgos en tu panel de MyAchilles. Si te suscribes a los informes mensuales de índices de ciberriesgos de Orpheus, también recibirás un desglose detallado de tus ciberriesgos y un plan de acción fácil de implantar para solucionar cualquier aspecto problemático y, en último término, mejorar tu puntuación. Con tu suscripción a Achilles, tendrás acceso a tarifas más favorables.
Para los compradores
¿A qué nivel se debería descalificar a un proveedor del proceso?
Tú decides qué nivel consideras aceptable basándote en tu propia tolerancia al riesgo. Sugerimos colaborar con los proveedores para reducir su puntuación, en vez de descalificarlos completamente. El informe que elaboramos explica al proveedor cómo reducir su puntuación. También te sugerimos que consideres descalificar a aquellos proveedores que no estén dispuestos a mitigar riesgos de seguridad graves o no sean capaces de hacerlo.
¿Con qué frecuencia se debe comprobar la puntuación de ciberriesgos de un proveedor?
Nuestras puntuaciones de ciberriesgos se actualizan constantemente y pueden cambiar según se van descubriendo nuevas vulnerabilidades. Puedes determinar la frecuencia de revisión, pero te sugerimos estudiarlas al menos una vez al mes para ver cualquier cambio que suponga la introducción de un nuevo riesgo para tu empresa.
¿Puedo consultar la puntuación de ciberriesgos de mi propia empresa?
Sí, también puedes revisar tu propia puntuación de ciberriesgos. Te recomendamos revisar tu propia puntuación de ciberriesgos para mitigar cualquier problema de seguridad en tu organización y reducir el número de vías de acceso para posibles ataques.