A medida que las organizaciones confían cada vez más en terceros para proporcionar una gran variedad de servicios empresariales y de TI, los límites entre la empresa y sus proveedores se vuelven cada vez más borrosos. El resultado es una cadena de suministro compleja, en la que cada elemento presenta un riesgo adicional.
A menudo se supone que, al pagar a un socio para que entregue el trabajo, estos riesgos se transfieren a ese tercero. Sin embargo, éste no es el caso. El riesgo sigue siendo responsabilidad de la organización, pero se requerirán diferentes medidas para gestionarlo ahora que hay un tercero involucrado.
Al mitigar estos riesgos, es comprensible que la organización en cuestión quiera extender sus propias políticas y controles para cubrir a terceros. Sin embargo, ellos mismos equilibrarán los requisitos dispares de muchos socios diferentes.
Abordar el riesgo de la cadena de suministro es, por lo tanto, un caso de implementación de varias medidas.
Poner en pantalla
La primera fase es llevar a cabo una selección sistemática y rigurosa de cualquier posible socio comercial tanto hacia arriba como hacia abajo en la cadena de suministro (es decir, clientes y proveedores). Esto ya es obligatorio en algunas industrias (piense en las leyes contra el lavado de dinero en el sector financiero, por ejemplo), pero debe considerarse una buena práctica comercial, independientemente de la legislación.
Es esencial que cada empresa sepa con quién está trabajando, tanto directa como indirectamente, y, por lo tanto, con quién está conectada en todo el mundo, con controles mucho más profundos que un formulario de casilla de verificación completado por el socio potencial. Los procesos de selección deben automatizarse para manejar el gran volumen de controles que deben realizarse para examinar completamente a un socio, así como también deben ser continuos, ya que un tercero que anteriormente cumplió podría emprender una actividad que revierta su estado.
Contratos
Habiendo incorporado a un socio que ha cumplido con el proceso de selección inicial, los contratos hacen cumplir legalmente las políticas organizacionales. Estos deben considerar el manejo de la información y establecer cómo se protegerán los datos de la empresa mientras se almacenan, pero también durante la transmisión y el procesamiento, así como el procedimiento para su eliminación.
También deben incluir informes de incidentes de seguridad, de modo que se notifique a la empresa sobre cualquier evento que pueda afectar su información o datos, y tener en cuenta la capacitación del socio externo sobre los valores de seguridad fundamentales de la organización.
Si bien esto es sencillo en la superficie, la realidad suele ser más complicada. Los grandes terceros pueden ejercer sus propias políticas con la seguridad de que ya cumplen con los requisitos necesarios, pero puede ser difícil verificar que las medidas específicas implementadas cumplan con los requisitos de la organización o modificar el contrato para cubrir las condiciones específicas de ese acuerdo en particular. En el otro extremo del espectro, algunos socios potenciales pueden ser demasiado pequeños para implementar todos los controles necesarios sin aumentar el precio de su servicio hasta el punto en que ya no tenga sentido comercial continuar.
El “derecho a auditar” es una cláusula contractual crítica si la organización quiere mantener algún control al confirmar que un socio cumple con sus políticas, pero puede ser un desafío tener esto incluido, y aún más difícil hacerlo cumplir.
Las tarjetas de crédito corporativas significan que también es posible firmar contratos sin la participación de equipos legales; por ejemplo, se puede comprar software como servicio (SaaS) para un proyecto pequeño, o emprender otro proyecto que sea lo suficientemente pequeño como para implementarlo sin pasar por a través de la gestión completa del cambio y el proceso de integración de servicios de una organización. A pesar de que la “TI en la sombra” es un problema perenne, las organizaciones a menudo solo buscan software; servicios como estos son mucho más difíciles de identificar y, a menudo, se pasan por alto.
Cumplimiento y gobernanza
Con un contrato vigente, garantizar el cumplimiento es una actividad clave, ya que la empresa necesita saber que el socio se adhiere a las legalidades acordadas. Muchos terceros confiarán en la confirmación de certificaciones como ISO27001 o informes regulares como SOC II Tipo 2. Estos pueden ser suficientes en algunos casos, pero puede haber ocasiones en las que se requieran más detalles relacionados con la forma en que la organización está logrando el cumplimiento. .
El monitoreo del cumplimiento puede ser un desafío, pero si hay terceros en la red de una organización o en sus aplicaciones, podría ser posible monitorear a través de herramientas de administración de eventos e información de seguridad (SIEM) y registros de herramientas de administración de acceso privilegiado (PAM), con actividades revisados para confirmar que no están incumpliendo acuerdos como compartir identificaciones.
Si existe un centro de operaciones de seguridad (SOC), el monitoreo adicional de las actividades de terceros, o el establecimiento de una mayor prioridad en las alertas, puede ser fundamental para identificar el incumplimiento de las políticas de la organización.
Tecnología
La integración de terceros con el patrimonio tecnológico existente de la organización es una parte fundamental de la gestión de riesgos. Sin embargo, esto a menudo se pasa por alto cuando se diseñan sistemas de gestión de identidad y acceso, con una gobernanza de acceso privilegiado para terceros creada que no cumple con los requisitos de control para los empleados de la organización.
Por ejemplo, una aplicación se puede descartar como “fuera del alcance” de los controles, ya que es administrada por un tercero, o no existe la capacidad de extender las herramientas al sistema, ya que se configura y administra de manera completamente independiente.
Muchas organizaciones subcontratan toda la administración de su red a terceros o integran elementos de redes de terceros en ella a través de túneles seguros y otros mecanismos. Esto puede cambiar toda la dinámica de cómo se deben proteger los datos a medida que fluyen a través de la red entre aplicaciones y cómo se modelan las amenazas internas, ya que la empresa ya no tiene garantías sobre la seguridad de todo lo que se transmite en su red. Conceptos como el de confianza cero se vuelven más importantes, ya que no se puede suponer que todo el tráfico de la red es propiedad o está visible para la organización.
Terminación
Una vez que se rescinde un contrato, los datos que ya no son necesarios deben ser eliminados (por el socio) de acuerdo con las políticas de la organización, y se debe proporcionar evidencia de que esto ha sucedido. Idealmente, esto debería hacerse cumplir por contrato, pero a menudo sucede que proyectos más pequeños o de duración limitada que tienen datos compartidos, como ejercicios de análisis de datos pequeños, se llevan a cabo sin contrato debido a que los servicios se compran fuera del sistema oficial de adquisiciones (como se mencionó anteriormente). ).
Asegurarse de que los terceros cierren las conexiones de red correctamente cuando ya no se requiere un servicio también es esencial para proteger tanto la red de la organización como su propiedad intelectual, que aún podría estar alojada con el socio y accesible mucho después de que se haya rescindido el contrato. Las filtraciones de datos pueden ocurrir cuando un tercero no dispone de los entornos de desarrollo o prueba, que pueden incluirse y utilizarse como puente hacia otras organizaciones.
En resumen
Como siempre en el mundo de la seguridad, no existe una panacea que resuelva todos los problemas que surgen de las empresas interconectadas y las cadenas de suministro complejas de la actualidad, y no todos los desafíos requieren la misma solución.
Sin embargo, la evaluación y el conocimiento son herramientas clave: un enfoque integral para sistemas y procesos que considere a las personas, los datos y las aplicaciones que forman parte de cada proceso puede ayudar a identificar áreas problemáticas que están fuera del alcance del control de la organización. y señale dónde esto introduce un riesgo. Con esta información, se pueden negociar e implementar las medidas y controles apropiados.