Una simple actualización de software malinterpretada desembocó en una de las interrupciones de TI más colosales de la historia.
Aunque la incidencia tuvo su origen en la empresa de ciberseguridad CrowdStrike, también se sintió en todo tipo de sistemas de TI a nivel global, lo que alteró las operaciones en sectores críticos, desde aerolíneas y bancos hasta los propios servicios de emergencia. Por ello, ahora muchas organizaciones se preguntan: ¿Cómo pudo una simple actualización de software causar una interrupción tan masiva y qué medidas podrían haber ayudado a reducir el impacto de sus consecuencias?
Analicemos por qué este incidente refuerza la necesidad de una gestión de riesgos más sólida con el fin de mejorar la resiliencia digital y cómo normativas emergentes como DORA y NIS2 están reclamando mayor urgencia.
Un panorama de riesgo cada vez más amplio
Las organizaciones confían cada vez más en terceros para impulsar la innovación y la competitividad. Sin embargo, la falta de visibilidad sobre los terceros e incluso las cuartas partes añade una mayor complejidad a la gestión de los riesgos y al impulso de la resiliencia operativa, lo que dificulta todavía más la demostración del cumplimiento normativo.
Una sola brecha o fallo podría multiplicarse en toda la cadena de suministros, lo que afectaría a las organizaciones más cercanas o conectadas de modo indirecto a un proveedor o tercero. Esto destaca la necesidad crítica de identificar y gestionar no solo a los terceros, sino también de rastrear los riesgos que se puedan concentrar en cuartas partes o partes ulteriores.
La interrupción de CrowdStrike destaca la importancia de regulaciones como DORA a la hora de fortalecer las prácticas de resiliencia operativa
DORA es una normativa obligatoria de la UE que está diseñada para mejorar la resiliencia del sector financiero frente a las interrupciones TIC. DORA se suma a otras normativas, como NIS2, FCA y LkSG, con el objetivo de fortalecer la resiliencia operativa.
Sin embargo, hay que hacer una distinción clave: Al incluir el riesgo de terceros con respecto a las TIC dentro del marco general de la gestión de riesgos, esta ley responsabiliza a las entidades financieras y a sus socios comerciales de los riesgos en cascada que puedan provocar sus terceros, cuartas partes y partes ulteriores.
Por ejemplo, DORA requiere que las entidades financieras monitoricen y supervisen de manera continua a los proveedores de servicios externos con el fin de garantizar el cumplimiento normativo de los compromisos contractuales y de gestionar los riesgos por cada compromiso. En caso de incidente, se deben implementar procesos para gestionar e informar sobre tu proveedor de servicios externos.
Genera resiliencia operativa con OneTrust
Tras el incidente de CrowdStrike, habrá un foco mucho mayor sobre la resiliencia operativa digital. Cabe destacar la creciente dependencia de proveedores externos en el mundo actual y la necesidad de que las organizaciones desarrollen una mayor resiliencia para cuando fallen los sistemas de la cadena de suministros digital.
Las próximas normativas de la UE, como DORA y NIS2, empezarán a imponer requisitos. Por ejemplo, DORA exigirá a las entidades financieras que cumplan los requisitos del marco para enero de 2025.
OneTrust ofrece funciones sólidas que ayudan a las organizaciones a la hora de centralizar el ciclo de vida de la gestión de riesgos de extremo a extremo para identificar, mitigar, monitorizar y analizar los riesgos de terceros y de la cadena de suministros, al mismo tiempo que impulsa los flujos de trabajo de contratación según los riesgos. Asimismo, la supervisión continua a través de proveedores de inteligencia de riesgos puede alertar sobre debilidades en la gestión de las TIC, brechas de datos y mucho más en lo que respecta a terceros y cuartas partes.
La interrupción de CrowdStrike ha demostrado la gran necesidad de contar con estrategias de gestión de riesgos operativos de terceros mucho más sólidas. Consulta este seminario web para explorar las lecciones aprendidas y obtener información práctica sobre cómo fortalecer las defensas de tu organización, además de promover una resiliencia operativa de manera continua.
