**OneTrust refuerza la seguridad de la cadena de suministro con la adquisición de HyperComply**
—
### Introducción
El panorama de la gestión de riesgos de terceros se ha vuelto cada vez más complejo ante la proliferación de proveedores tecnológicos y la aceleración de los procesos de digitalización. En respuesta a estos retos, OneTrust ha anunciado la adquisición de HyperComply, una plataforma especializada en la automatización de revisiones de seguridad de proveedores. Esta operación estratégica tiene como objetivo fortalecer las capacidades de OneTrust para ofrecer a las empresas una visión integral y en tiempo real de la postura de seguridad de su cadena de suministro.
—
### Contexto del Incidente o Vulnerabilidad
En los últimos años, los ataques a la cadena de suministro han experimentado un crecimiento exponencial. Casos como SolarWinds, Kaseya o MOVEit han puesto de manifiesto la necesidad urgente de monitorizar y gestionar de forma proactiva los riesgos asociados a proveedores externos. Los procesos manuales y la dependencia de cuestionarios estáticos han demostrado ser insuficientes para detectar vulnerabilidades emergentes, especialmente en entornos donde la agilidad y el cumplimiento normativo (GDPR, NIS2) son prioritarios.
La adquisición de HyperComply por parte de OneTrust se enmarca en un contexto donde el 61% de las empresas han sufrido incidentes relacionados con terceros en los últimos dos años, según datos de Ponemon Institute. La automatización y la orquestación de las revisiones de seguridad se posicionan así como elementos clave para reducir la exposición a amenazas y optimizar la gobernanza del riesgo.
—
### Detalles Técnicos
HyperComply se integra en el ecosistema de OneTrust como una solución SaaS que utiliza inteligencia artificial y aprendizaje automático para agilizar y estandarizar la recopilación, validación y análisis de información de seguridad de proveedores.
#### Funcionalidades principales:
– **Automatización de cuestionarios de seguridad:** Compatible con marcos estándar como SIG, CAIQ, NIST CSF, ISO 27001 y plantillas personalizadas.
– **Extracción y validación de evidencias:** Utiliza técnicas de NLP para analizar políticas, informes de auditoría (SOC 2, ISO 27001), y certificados de cumplimiento.
– **Integración con SIEM/SOAR:** Permite la correlación de eventos e indicadores de compromiso (IoC) procedentes de proveedores, facilitando la detección temprana de incidentes (MITRE ATT&CK T1195, T1078).
– **Alertas en tiempo real:** Notificación automática ante cambios en la postura de seguridad o aparición de nuevas vulnerabilidades (CVE) asociadas a proveedores críticos.
– **Panel de riesgos centralizado:** Ofrece una visión 360º del riesgo de la cadena de suministro, integrando métricas cuantitativas y cualitativas.
Los datos recopilados pueden integrarse con frameworks de respuesta a incidentes y plataformas de threat intelligence, optimizando la toma de decisiones en entornos SOC y equipos de GRC. Además, la plataforma es compatible con herramientas de automatización como Metasploit y Cobalt Strike para validar controles de seguridad y simular ataques en escenarios controlados.
—
### Impacto y Riesgos
La falta de visibilidad sobre la seguridad de terceros sigue siendo una de las principales causas de brechas de datos. Según Verizon DBIR 2023, el 28% de las filtraciones tiene su origen en terceros o proveedores. La capacidad de HyperComply para proporcionar información en tiempo real reduce considerablemente el tiempo medio de identificación (MTTI) y el tiempo medio de contención (MTTC) de incidentes relacionados con la cadena de suministro.
Entre los riesgos mitigados se encuentran:
– **Exposición a ataques de ransomware y explotación de vulnerabilidades (CVE-2023-34362, MOVEit).**
– **Incumplimiento de GDPR y NIS2:** Sanciones que pueden alcanzar hasta el 4% de la facturación global anual.
– **Daño reputacional y pérdida de confianza de clientes y socios.**
—
### Medidas de Mitigación y Recomendaciones
Para los equipos de ciberseguridad, la integración de plataformas como HyperComply en la estrategia de gestión de terceros se traduce en:
– Implementación de procesos de revisión continua y no solo periódica.
– Uso de cuestionarios y evaluaciones automatizadas con validación cruzada de evidencias.
– Integración de alertas automáticas con herramientas SIEM y sistemas de ticketing para una respuesta ágil.
– Revisión y actualización de contratos con proveedores para incluir cláusulas de ciberseguridad y reporting en tiempo real.
– Formación y concienciación de equipos internos sobre riesgos asociados a la cadena de suministro.
—
### Opinión de Expertos
Expertos del sector, como Pablo San Emeterio (Cyber Security Lead, Telefónica Tech), destacan que “la automatización de la gestión de riesgos de terceros es esencial ante la sofisticación de los ataques y la velocidad con la que evolucionan los entornos tecnológicos. Soluciones basadas en IA permiten anticipar amenazas y garantizar el cumplimiento normativo con mayor eficiencia”.
Por su parte, Analistas de Gartner prevén que, para 2025, el 60% de las grandes empresas adoptarán plataformas automatizadas para la gestión de riesgos de terceros, frente al 30% actual.
—
### Implicaciones para Empresas y Usuarios
La adquisición de HyperComply refuerza la posición de OneTrust como referente en la gestión integral de riesgos, privacidad y cumplimiento. Para las empresas, esto se traduce en:
– **Reducción de costes operativos:** Menor dedicación de recursos a tareas manuales.
– **Mejora de la resiliencia:** Capacidad para detectar y responder a incidentes con mayor rapidez.
– **Cumplimiento normativo simplificado:** Evidencias automatizadas y trazabilidad de revisiones.
Los usuarios finales, por su parte, se benefician indirectamente de una mayor protección de sus datos y una menor probabilidad de exposición a incidentes derivados de terceros.
—
### Conclusiones
La integración de HyperComply en la suite de OneTrust marca un avance significativo en la automatización de la gestión de riesgos de proveedores. En un contexto de amenaza creciente y regulación cada vez más exigente, la capacidad de disponer de una visión holística y en tiempo real de la seguridad de la cadena de suministro será un factor diferenciador para las empresas que quieran proteger su negocio y reputación.
(Fuente: www.darkreading.com)