¿Cómo abordan los equipos de seguridad de TI los desafíos que plantea el uso cada vez mayor de plataformas y servicios de terceros? Estos cambios en la forma en que se aprovisiona la infraestructura de TI de una empresa brindan a los actores maliciosos una superficie de ataque mucho más grande para jugar y, una vez que se obtiene el acceso, una gama más amplia de oportunidades para moverse a través de la infraestructura de TI de la empresa objetivo.
Suponiendo que el equipo de seguridad tiene una comprensión sólida del negocio de la organización y sus procesos internos y externos, un buen punto de partida sería mapear todos los procesos y subprocesos: TI, papel y otros.
El objetivo de este mapeo es identificar los diversos límites entre las aplicaciones y los servicios, incluido el lugar donde los propios terceros utilizan servicios de terceros. Al hacerlo, debería poder identificar qué tipo de control debería tener sobre los servicios individuales y el límite de interconexión entre los servicios.
Ser capaz de identificar estos controles, o la falta de ellos, junto con el conocimiento comercial de lo que está en juego si un control falla (o no está presente), conduce al desarrollo de un panorama de riesgos y, a partir de eso, una estrategia de gestión de riesgos. Tenga en cuenta que este es, en esta etapa, un ejercicio solo en papel.
El primer paso es identificar lo que está bajo el control directo de la organización, por ejemplo, la infraestructura y el equipo de TI en el sitio, como PC, portátiles o teléfonos móviles utilizados por el personal que se aprovisiona y mantiene internamente y está sujeto a las normas de la organización. políticas, procedimientos y normas de seguridad.
El segundo paso es identificar aquellas áreas de infraestructura y provisión de servicios donde se depende de un tercero para proporcionar, respaldar y mantener; por ejemplo, se depende de las propias políticas, procedimientos y estándares de seguridad del tercero.
El tercer paso es identificar aquellas áreas que son esenciales para operar la infraestructura, los servicios y las operaciones de la organización, pero donde no existe un control organizacional sobre la seguridad de esos servicios, por ejemplo, el uso de Internet u otras redes de terceros.
Una vez que estas áreas han sido identificadas, documentadas, evaluadas y priorizadas, puede comenzar la tarea de evaluar qué controles están implementados y su efectividad. La diferencia entre lo que ‘debería’ estar en su lugar y lo que ‘está’ en su lugar, junto con la prioridad del riesgo, conducirá a un plan de acción correctivo.
Lo que sigue es mi opinión sobre los controles que normalmente estaría buscando. No es exhaustivo y no he entrado en detalles importantes: hay muchas fuentes de información útil, ya sean libros, cursos o búsquedas en Internet.
Mirando primero el paso tres, donde no tienes control. Las medidas de seguridad que puede tomar se dividen en tres áreas:
- Cifrar datos en tránsito: por ejemplo, cifrado punto a punto entre sistemas y servicios, generar cifrado oportunista en servidores de correo electrónico, cifrar contenido de correo electrónico en los dispositivos finales.
- Controle la salida de datos de manera que solo los datos no confidenciales estén disponibles.
- Controle el ingreso de datos; por ejemplo, asegúrese de que todas las interfaces estén actualizadas y sujetas a controles de estado de TI regulares para asegurarse de que no haya vulnerabilidades detectables. Asegúrese de que los sistemas de correo electrónico y la configuración del dominio de Internet asociado cumplan con los protocolos SPF, DMARK y DKIM.
Para el segundo paso, donde se confía en terceros para estar seguro a un nivel aceptable para la organización, el control principal es el contrato de servicio.
Esto no solo debe detallar los requisitos de seguridad de la organización, sino también cómo deben calificarse. Simplemente afirmar que el servicio que se está adquiriendo está certificado según un estándar formal como ISO 27001 es insuficiente. El contrato debe identificar las áreas que debe cubrir la certificación (por ejemplo, la Declaración de aplicabilidad de la norma ISO 27001), debe incluir todas las áreas que forman parte del servicio que se proporciona o influyen en él, y debe poder proporcionar evidencia formal de la certificación. divisa.
Otras áreas que no están cubiertas por las certificaciones formales de terceros podrían incluir procesos de disciplina y contratación de personal, auditorías internas y la contratación de servicios conforme a la prestación de servicios a la organización. Estas áreas deben ser declaraciones contractuales.
El primer paso, por supuesto, es observar y evaluar las políticas, los procedimientos y los estándares de la organización interna, por ejemplo, la investigación de antecedentes del personal. ¿Se examina el CV de un posible empleado y se toman más de una referencia? ¿Hay políticas de seguridad y procedimientos y estándares de apoyo actualizados y se siguen? ¿Existe suficiente capacitación y educación del personal? ¿Los departamentos de TI y seguridad de TI cuentan con los recursos adecuados? ¿Se llevan a cabo comprobaciones periódicas del estado de TI en la infraestructura interna, así como en las interfaces orientadas al exterior? ¿Los contratistas están sujetos a seguir las políticas y procedimientos de la organización? ¿La TI de la organización ha estado sujeta a una certificación formal, por ejemplo, ISO 27001, Cyber Essentials, etc.? ¿Se están siguiendo otros estándares ISO, como ISO 27004 (medición y análisis de monitoreo), ISO 27005 (Gestión de riesgos de seguridad de la información) e ISO 27033 (Seguridad de la red)?
Todo esto debería ser una segunda naturaleza para el especialista experimentado en seguridad de TI.