Curso completo ciberseguridad gratis Controles CIS. Control 18.3

 Estimados amigos de Inseguros !!!

Seguimos con el control 18 de los CIS, formación y concienciación, y hoy toca el 18.3: impartir formación de concienciación en ciberseguridad a terceros. Y aquí es donde muchas empresas se hacen trampas al solitario, porque protegen muy bien a “sus” empleados… y luego dejan una autopista abierta con proveedores.

Terceros significa: proveedores, consultoras, mantenimiento, soporte, desarrolladores externos, partners, gente que entra por VPN, gente que gestiona sistemas, y a veces hasta personal temporal que usa tus cuentas o tus equipos. Y si un tercero tiene acceso, ese tercero forma parte de tu superficie de ataque. Punto.

Por qué el 18.3 es tan importante

Porque hay incidentes que no entran por ti. Entran por un tercero.

Un proveedor con credenciales reutilizadas.
Un técnico que tiene malware en su portátil.
Una empresa externa que usa una cuenta compartida.
Un acceso remoto sin MFA.
Una cuenta que no se deshabilita cuando termina el contrato.

Y luego pasa lo típico: el incidente te afecta a ti, pero “no era tu culpa”. Da igual. El daño te lo comes tú.

Por eso este control te dice: si un tercero tiene relación con tus sistemas o con tus datos, necesita concienciación y formación mínima. No para convertirlos en hackers, sino para que no sean el eslabón fácil.

Qué formación tiene sentido para terceros

Depende del tipo de tercero, pero como mínimo:

Políticas de acceso: cómo se conectan, desde dónde, con qué MFA, con qué cuentas, y qué está prohibido (cuentas compartidas, acceso desde equipos no gestionados, etc.).

Phishing y suplantación: porque los terceros también reciben correos “en tu nombre”, y también pueden caer.

Gestión de credenciales: contraseñas fuertes, no reutilización, no compartir, y uso correcto de MFA.

Datos: qué datos pueden ver, cómo se manejan, cómo se transfieren, dónde se almacenan, y qué herramientas están autorizadas.

Incidentes: qué hacer si sospechan que algo va mal. A quién avisar. Qué tiempos. Qué canal.

Y si hablamos de terceros técnicos con acceso privilegiado, entonces el nivel sube: administración segura, bastión/PAW, registros de sesión, mínimo privilegio, y control de cambios. Porque un tercero con privilegios es literalmente una extensión de tu equipo de administración.

Cómo se hace sin morir

No necesitas montar una universidad para proveedores. Necesitas un paquete mínimo, claro, obligatorio y documentado.

Un onboarding de seguridad para proveedores.
Un documento de “reglas de acceso”.
Un mini curso o píldora.
Un check de aceptación.
Y evidencias de que se hizo.

Y, sobre todo, vincularlo a contrato. Si no está en contrato, luego es “esto no estaba acordado”. Y el 18.3, bien aplicado, evita ese teatro: queda claro que la seguridad forma parte del servicio.

Y ojo con lo más importante: formación sin control no basta

Puedes formar, sí. Pero si luego dejas cuentas compartidas, accesos sin MFA, o VPNs abiertas, estás igual. Por eso el 18.3 va de la mano del capítulo 5 (gestión de cuentas) y del capítulo 6 (control de accesos). Formación para terceros, sí, pero con accesos gobernados.

Si quieres aprender a montar un programa serio de ciberseguridad para empresas, donde los terceros no sean un agujero (gestión de identidades, MFA, accesos, logging, y formación con proceso), pásate por www.seguridadsi.com y mira los cursos de ciberseguridad online para profesionales que tenemos en la academia.

Gracias por leerme !!!