Terceros o no terceros, ¿esa es la cuestión?
NextVision
0
*Por Roberto Heker, Director de NV. Para ISMS Forum.
El diseño de una estrategia de ciberseguridad requiere evaluar diferentes aspectos que abarcan la predicción, prevención, detección y respuesta. Dentro de este esquema es importante considerar la relación que hay entre la compañía y sus proveedores.
Efectivamente, en la búsqueda de lograr más eficiencia para el negocio esta relación ha ido creciendo con la digitalización. Sin embargo, esta interdependencia ha creado un potencial impacto en la ciberseguridad que no debe desdeñarse. Por lo que las compañías deben no solo proteger sus propias redes sino también disponer de medidas que mitiguen riesgos sobre las conexiones con la cadena de suministros.
Es ya redundante, pero no por innecesario, mencionar a los incidentes sufridos por Colonial cuyo incidente afectó a gran cantidad de compañías, ocasionando falta de combustible en varios estados de EEUU. O el de Kaseya, un proveedor de servicios administrados de tecnología, que, debido a una alteración en su solución, llevó a que 1500 clientes recibieron un malware en sus redes.
Es entonces necesario disponer de un programa de seguridad que contemple el riesgo proveniente de terceras partes. Cada industria tiene sus propias regulaciones, particularidades y desafíos que difieren de otras. Pero el problema es el mismo para todas las organizaciones: una huella digital expandida a través de los proveedores que las hace más vulnerables. Y esta combinación crea el escenario perfecto para ser aprovechado por los ciberdelincuentes.
Se pueden hacer varias aproximaciones sobre el abordaje a realizar para el gobierno de terceras partes, pero podemos resumirlo en:
- Planificar la evaluación del impacto que una brecha de seguridad, producto de terceros, pueda tener en el negocio. Los parámetros a considerar abarcan la discontinuidad del servicio, la reputación, las finanzas, la continuidad de la operación, los regulatorios, entre otros.
- Assessment de terceros, a partir del riesgo inherente del servicio o solución a proveer y cómo mitigarlo para lograr uno residual, propio del apetito de riesgo de la empresa.
- Contratos asociados al rol y responsabilidades del proveedor como su nivel de riesgo para la organización. Esto incluye también el proceso de terminación del contrato, que debe detallar la transición en el momento de su finalización.
- Operación y monitorización para poder detectar variaciones en el riesgo asociado al servicio o producto suplidos.
Cuando planeamos la contratación de un servicio, debemos primero evaluar qué criticidad tendrá para nuestra organización, y así determinar si es crítica, alta, moderada o baja. A partir de aquí podremos definir qué tipo y con qué frecuencia ejecutaremos nuestros assessment.
Para el assessment podemos adoptar distintos modelos de análisis, que van desde el uso de cuestionarios para evaluación de requerimientos de seguridad, hasta ratings, evaluaciones técnicas de seguridad y certificaciones.
Todas son utilizadas en distintas instancias. Por ejemplo, soluciones de ratings cómo SecurityScorecard permiten una muy buena escalabilidad, monitorización continua con bajo o ningún esfuerzo de implementación. Lógicamente deben complementarse con una mirada interna, como es el uso de cuestionarios. Disponer de una herramienta como SecurityScorecard permitiría implantar reglas antes las que, si el rating de un tercero se reduce en un valor determinado, enviarle a éste entonces un cuestionario que indague en las causas de esta modificación.
En cuanto a los contratos, éstos dependerán de la industria, la criticidad del negocio y del servicio, considerándose incluir en el mismo tópicos como análisis de riesgo, assessments, colaboración en la respuesta ante incidentes, cloud security, endpoint security entre otros.
Al vendor no solo se lo debe evaluar durante el onboarding sino a lo largo de todo el ciclo de vida de la relación. Es un trabajo complejo, pero si lo queremos hacer más gestionable, es conveniente segmentar de acuerdo a la criticidad de cada servicio. De este modo se podrá focalizar el monitoreo más minucioso en los proveedores más críticos.
Precisamente mencionábamos arriba herramientas de rating como SecurityScorecard que facilitan esta monitorización con muy bajo esfuerzo, automatizando acciones ante eventos que hacen más confortable el trabajo del equipo de profesionales de nuestra organización. Este tipo de soluciones no son por sí mismas las únicas que deberían instrumentarse, pero sí son claves en cualquier programa. Incluso integrables a un SOAR o soluciones de ticketing, por ejemplo.
Por lo tanto, cuando hablamos de decenas, cientos o incluso miles de proveedores,es importante saber que disponemos de potentes servicios de evaluación y monitorización de fácil implementación que nos ayudará en la tarea de gestión y evaluación.
Debe insistirse en el punto de que la evaluación de terceros es un área que más pronto que tarde las empresas deben madurar. Se debe lograr un programa integral que reúna herramientas y procesos que lleven a mitigar este riesgo. Y no se trata de implantar una herramienta o un cuestionario estándar. Una herramienta de scoring o rating no nos dará toda la perspectiva para una evaluación completa. Pero como cualquier herramienta de scoring en otras industrias (como la financiera o seguros), nos permitirán identificar cuando algo no está bien. Y nos llevarán a indagar más a fondo sobre qué está ocurriendo con lo que se está evaluando.
Concluyendo, la ciberseguridad cada día debe incorporar nuevas perspectivas. Ya hemos visto que durante 2020 fue necesario revisar los modelos de trabajo, obligando a una aceleración de la digitalización de las empresas que trajo un fuerte impacto en la ciberseguridad. La interdependencia tecnológica con proveedores es incluso anterior a la pandemia, y requiere que se preste atención a este tema. No es necesario esperar que una brecha en un tercero nos haga reflexionar sobre esta problemática. En ciberseguridad hay que ser. No cabe el no ser.