Es una vieja noticia que la pandemia ha acelerado la adopción de medios digitales, pero quizás aún no sea ampliamente reconocido o aceptado que esto cambiará el paradigma de la seguridad en el corto y mediano plazo. Y solo unas pocas organizaciones que esperan que sus operaciones se vean interrumpidas buscan formas proactivas de administrar el riesgo de sus operaciones cada vez más complejas.
En particular, la adopción de nuevas tecnologías para ayudar a impulsar la eficiencia en todo el negocio está generando ecosistemas de TI más complicados que, en algunos casos, están fuertemente integrados con socios, alianzas y proveedores. Esta zona gris de riesgo queda fuera de las pautas tradicionales de buenas prácticas que conocemos bien. Ahora debemos adaptar nuestros métodos y enfoques para identificar y gestionar este nuevo vector de riesgo.
Con el límite corporativo tradicional ahora cada vez más borroso, expandiéndose profundamente en su panorama de proveedores, tratar de rastrear “quién hace qué y cuándo” con nuestros datos es un desafío cada vez mayor. Ahora nos enfrentamos a una mayor “superficie de ataque”, que presenta muchos riesgos e impactos desconocidos en nuestras operaciones diarias, y nuestra respuesta debe reflejar eso.
Este es un problema independiente de la industria. Afecta a los servicios financieros acelerando la adopción digital para brindar mejores servicios a sus clientes. Del mismo modo, el auge del comercio electrónico y la venta al por menor fuera de las tiendas dentro de los consumidores, la fabricación y la distribución plantea una gran demanda de soluciones impulsadas por la tecnología para optimizar las operaciones. Los niveles de existencias en tiempo real, el software de seguimiento que permite una mayor precisión en la fabricación de extremo a extremo hasta la entrega al cliente son ejemplos de dónde su software se comunica con el software de su proveedor, que se comunica con el software de su proveedor. Todo eso requiere nuevos enfoques para gestionar el riesgo.
Las brechas en la seguridad pueden erosionar el valor de mercado y dañar la reputación de la marca. El ataque a SolarWinds y el ataque de ransomware a la empresa de TI Kaseya, con sede en Florida, se propagó a través de cientos de redes. Esa falta de apreciación del riesgo en el sistema general de extremo a extremo tuvo un impacto material significativo en sus operaciones. La cadena de supermercados Swedish Coop se vio obligada a cerrar los 800 puntos de venta durante cinco días, lo que resultó en una pérdida de ventas de alrededor de 90 millones de coronas suecas (7,2 millones de libras esterlinas) por día, lo que destaca la necesidad de volver a abordar nuestro enfoque de gestión de riesgos y mirar más allá de nuestro propio dominio corporativo. .
Los riesgos desconocidos de este mundo interconectado incluyen servidores conectados a Internet expuestos o abandonados que resaltan los problemas de gestión de activos y la filtración de documentos confidenciales debido a la falta de clasificación y manejo de datos aplicados de manera consistente en múltiples organizaciones. Otros peligros provienen de las credenciales de inicio de sesión predeterminadas y listas para usar, que apuntan a que no se cumplen los estándares de construcción, y el hardware heredado queda fuera del radar de soporte e identifica procesos de desmantelamiento fallidos.
Pueden surgir problemas adicionales si los proveedores no hacen lo que se espera que hagan y no identifican infracciones de las que felizmente no estabas al tanto. Todo esto se suma a la necesidad de responder al creciente enfoque regulatorio en la responsabilidad de la cadena de suministro, que está ejerciendo una mayor presión sobre los recursos ya presionados para abordar el riesgo.
¿Qué tenemos que hacer?
Entonces, ¿cómo ampliamos los procesos de gestión de riesgos para incorporar el panorama de proveedores y optimizar los esfuerzos? Hay cinco áreas clave en las que centrarse:
- Acceso: debemos ser más transparentes y saber “quién” tiene acceso a nuestra red y sistemas. También necesitamos entender “qué” hacen dentro de nuestra red y con nuestros datos y “cómo” acceden a ellos.
- Datos: necesitamos entender “qué” datos están en riesgo. Eso significa comprender la arquitectura completa de extremo a extremo que entra y sale de nuestro propio entorno e identificar cuáles son los puntos de exposición que podrían socavar nuestras operaciones (escaneo de “afuera hacia adentro”).
- Proveedores: necesitamos aumentar la colaboración y tomar medidas proactivas para comprender “cómo” nuestros proveedores administran sus propios estados de TI si están conectados a nosotros (no se trata de “señalar con el dedo”). También debemos madurar las obligaciones comerciales con nuestros proveedores para brindarles una mayor comodidad sobre cómo manejarán nuestros datos (simplemente pedirles que cumplan con la norma ISO no es suficiente).
- Tecnologías: ahora necesitamos aprovechar las técnicas de formación de equipos rojos, el escaneo de superficie de ataque y el “monitoreo continuo de control” para probar la solidez de nuestros controles.
- El negocio: necesitamos comprender cuál sería el impacto material en nuestras operaciones en caso de que nuestros sistemas o los sistemas de los proveedores se vean comprometidos.
Al adaptar nuestro enfoque tradicional para administrar el riesgo, podemos identificar la superficie de ataque en todo el ecosistema de TI y, por proxy, identificar las áreas de debilidad que debemos corregir. Esto también permitirá el uso más eficiente y efectivo de los escasos recursos para enfocarnos en áreas de vulnerabilidad que sustentan nuestras operaciones, permitiéndonos obtener un mayor grado de seguridad en este mundo conectado.
Carl Nightingale es un experto en seguridad cibernética en PA Consulting