Cinco preguntas sobre los proveedores externos y la ciberseguridad

Desde consultores de marketing y socios de la cadena de suministro hasta contables y proveedores de servicios de TI, las organizaciones de hoy dependen de todo tipo de terceros para prácticamente todas las funciones comerciales imaginables.

Según una investigación reciente del Ponemon Institute, la consecuencia no deseada de las dependencias de terceros es que el 61% de las organizaciones en los EE. UU. Han experimentado una violación de datos causada por un tercero o proveedor. El cincuenta y siete por ciento de las empresas no puede determinar si las políticas y defensas de seguridad de sus proveedores pueden prevenir adecuadamente una infracción, y menos de la mitad evalúa las prácticas de seguridad y privacidad de los proveedores antes de iniciar un acuerdo comercial que requiera compartir información sensible o confidencial. .

Por lo tanto, no es sorprendente que, según la misma investigación, solo el 16 por ciento de los encuestados calificaron a sus empresas como "altamente efectivas" para mitigar el riesgo de terceros. De hecho, aquellos que priorizan la gestión de sus riesgos de subcontratación son minoría.

El mejor momento para comenzar a reducir el riesgo de terceros es al comienzo de la relación, antes de celebrar un acuerdo. Ahí es cuando debe hacer preguntas críticas para identificar la posible exposición que está asumiendo y la mejor manera de evitar un compromiso. Los proveedores con sólidas prácticas de seguridad suelen estar dispuestos a hablar sobre ellos, mientras que aquellos que evitan tales discusiones pueden tener algo que esconder. Con eso en mente, aquí hay cinco preguntas, una interna y cuatro para candidatos serios, que debe hacer al considerar a un tercero:

¿Qué datos y sistemas poseerá o accederá el tercero? Muchos terceros no tendrán acceso a datos o sistemas confidenciales, por lo que si experimentan una infracción, la amenaza para usted es mínima. Un proveedor de paisajismo, por ejemplo, tiene poco acceso a datos o sistemas, y probablemente ninguno al interior de cualquier instalación. Quizás la única red computarizada a la que podría acceder sea un sistema de riego, que probablemente estaría aislado de los sistemas corporativos internos. Por lo tanto, se espera que cualquier posible incumplimiento de este hipotético proveedor de paisaje tenga poco o ningún impacto.

Un proveedor de recursos humanos, un sistema financiero o un proveedor, por el contrario, sería muy diferente. Por ejemplo, si contrató a un consultor para desarrollar análisis de clientes en apoyo de la estrategia comercial o de marketing, esa entidad podría tener acceso a los datos de la empresa que abarcan los números de tarjetas de crédito de los clientes y las direcciones de los hogares o las finanzas corporativas. Este tipo de consultor debe ser examinado cuidadosamente.

¿Qué tipo de registro y supervisión realiza el tercero? El registro y la supervisión son las principales formas en que una organización registra y responde a la actividad dentro de su entorno. Pero los registros de actividad del sistema y de la red son detallados. Y en los entornos informáticos modernos de hoy, que se componen de múltiples sistemas diversos y redes de gran ancho de banda, el volumen de eventos de registro se vuelve rápidamente abrumador para que lo administre un humano. Para monitorear adecuadamente los eventos de seguridad, se deben implementar herramientas para almacenar y clasificar estos eventos. Al conocer el personal del proveedor y las opciones de herramientas, comprenderá cuán en serio se toma la seguridad. Después de todo, personas + herramientas =dinero =recursos =prioridades. Busque socios que prioricen e inviertan en seguridad.

¿Cómo gestiona el tercero los controles de acceso tanto físicos como técnicos? Los controles de acceso son una forma de reducir la vulnerabilidad y, por lo tanto, el riesgo. Toman dos formas principales:física y técnica. En nuestro mundo hiperconectado, es fácil olvidar la importancia de los controles físicos. Debe identificar las ubicaciones físicas donde el tercero almacena, procesa y transmite datos, así como el nivel de seguridad física en esas ubicaciones. Si sus datos se van a almacenar en dispositivos móviles, es importante comprender los controles de seguridad asociados con esos dispositivos, ya que es posible que no siempre estén en una ubicación física estática.

Los controles de acceso técnico también son importantes para la evaluación de sistemas y redes. Pregunte cuántas personas tendrán acceso a sus datos y con qué propósito. Comprenda cómo el tercero usa la autenticación multifactor, con qué frecuencia se revisa a los usuarios del grupo de administradores, con qué frecuencia se revisan los permisos del sistema y cómo se elimina el acceso de los empleados que se van. Además, aprenda cómo se utilizan las prácticas y herramientas de segmentación de redes. Por ejemplo, ¿qué controles existen para aislar los sistemas de producción de otros entornos como Internet? ¿Cómo segmenta el tercero su red interna?

Muchas veces, los buenos controles de acceso físico pueden compensar los controles técnicos débiles y viceversa. Pero la mejor práctica es limitar el acceso físico y técnico a los datos y sistemas a las personas necesarias para brindar el servicio. Los controles de acceso laxos abren la superficie de ataque y aumentan su riesgo.

¿Qué enfoques adopta el tercero para aplicar parches a los sistemas? Si bien las vulnerabilidades desconocidas o no reveladas son dramáticas y reciben mucha atención, son raras. Las organizaciones corren más riesgo de sufrir vulnerabilidades conocidas que desconocidas. Como resultado, los terceros deben tener programas sólidos para corregir las vulnerabilidades conocidas, mediante la aplicación rápida de parches de seguridad que actualizan las fallas y eliminan el software vulnerable subyacente.

Los principales proveedores de software lanzan actualizaciones con una cadencia regular. En su revisión de terceros, debe estar convencido de que los sistemas que procesan, almacenan y transmiten sus datos recibirán actualizaciones periódicas y oportunas, y que existen procesos acelerados para vulnerabilidades inmediatas y críticas.

¿El tercero se somete a pruebas o auditorías independientes? ¿Qué certificaciones de seguridad ha obtenido? Las auditorías mantienen a las organizaciones responsables. Los terceros deben auto-auditarse completando y manteniendo cuestionarios de seguridad estandarizados actualizados como el SIG Lite o CSA CAIQ. Más allá de las autoevaluaciones, las auditorías independientes le dan la tranquilidad de que el tercero está siguiendo sus políticas y procedimientos. Las auditorías independientes pueden incluir pruebas de penetración o SOC 2. Algunas industrias tienen sus propias certificaciones como HITRUST en atención médica, PCI para procesadores de pagos y FedRAMP en el gobierno federal de EE. UU. En todos los casos, las auditorías independientes son importantes y muestran el compromiso de mantener un programa formal y validado de seguridad de la información.

En conjunto, las discusiones sobre estas áreas clave le darán una idea de la postura de seguridad de un proveedor. Si las respuestas del proveedor son transparentes e indican una prioridad estratégica y una diligencia proactiva, puede avanzar con más confianza. Si la postura de seguridad del proveedor es inmadura, entonces debe aceptar el riesgo o considerar otras mitigaciones para controlarlo.

No deje que la seguridad de los datos sea una ocurrencia tardía. Hágalo una parte integral de las discusiones sobre productos y servicios. En el entorno actual de ataques voluminosos e intrincados, la ciberseguridad es un asunto de negocios. Debe hacer su debida diligencia para comprender su riesgo.

Jeremy Haas es director de seguridad y Ryan Bergquist es analista de ciberseguridad, con Soluciones cibernéticas LookingGlass .