Inicio Educación Ciberseguridad Soluciones de terceros: cómo protegerlas

Soluciones de terceros: cómo protegerlas

Por Douglas Wallace, gerente de ventas de distrito, América Latina y el Caribe (excepto Brasil) en Pure Storage

Por

2 agosto, 2024

388

En los últimos años se ha producido un notable aumento de ataques contra la “cadena de suministro digital”, esto es, soluciones de terceros. Ahora son un vector de ataque que los cibercriminales utilizan cada vez más. En 2023 inclusive grandes firmas sufrieron este tipo de ataques. Desde la perspectiva de los hackers, es fácil ver el atractivo de llegar a los objetivos indirectamente a través de proveedores.

Los cibercriminales saben que los grandes objetivos atractivos, como las universidades, tendrán defensas sólidas en torno a sus propios activos. Pero también saben que estas organizaciones probablemente tengan relaciones con docenas o incluso cientos de aplicaciones SaaS y otros proveedores de TIC.

Comenzar por ahí, con soluciones de terceros, proporciona acceso a una multitud de vectores de amenaza que pueden producir resultados significativos a partir de un exploit. Cuando los atacantes obtienen acceso a esos datos y esas redes, pueden lanzar sus ataques de ransomware o simplemente vender el acceso a otros.

La seguridad de la cadena de suministro y de los proveedores es una de las principales preocupaciones de los CISO. La califican como uno de los mayores desafíos de seguridad de la información a los que se enfrentan.

Controlar el SaaS

●Comprometerse con la realidad del nuevo panorama de amenazas. Los CISO y sus equipos tienen mucho por hacer. Y hay una tarea esencial que agregar a la lista: instituir nuevas políticas y procedimientos en torno a la adquisición, auditoría y monitoreo de proveedores externos. Un enfoque ad hoc, o esperar que los proveedores lo protejan, definitivamente no es el mejor camino para seguir.

●Controlar la proliferación de SaaS. Cada aplicación adicional es un vector de ataque potencial. Muchas organizaciones tienen múltiples integraciones con proveedores de SaaS. Una evaluación exhaustiva podría encontrar formas de eliminar algunas aplicaciones innecesarias. Tal vez ciertas aplicaciones carezcan de los beneficios para justificar los nuevos riesgos emergentes.

Otras podrían volverse prescindibles al desarrollar aplicaciones internamente. Finalmente, los ingenieros y el personal que configura sus propias mejoras de productividad con proveedores externos, conocido como “TIC en la sombra”, se suma a la proliferación de SaaS.

●Poner a los proveedores bajo la lupa. Desarrollar procesos para evaluar la postura de seguridad de los terceros conectados a sus redes. Los cuestionarios detallados e incluso las auditorías independientes pueden ser apropiados, pero el proceso debe ser exhaustivo.

Para ayudar, ha aparecido en el mercado una nueva clase de herramientas. Se trata de las plataformas de gestión de riesgos de ciberseguridad de terceros (Third Party Cyber Risk Management, TPCRM). Éstas pueden ayudar a gestionar tanto la evaluación como el seguimiento continuo.

Auditar las soluciones de terceros

●Crear un cumplimiento personalizado. Las auditorías pueden determinar la postura de seguridad y la evaluación de riesgos. Sin embargo, a menudo esta información simplemente se ajustará al cumplimiento utilizando estándares establecidos como SOC 2 e ISO 27001. Pero estas son pautas de referencia que se aplican a todos.

Para los perfiles de riesgo más complejos conviene desarrollar un régimen propio de cumplimiento. Debe abarcar detalles derivados de los procesos comerciales reales para evaluar a los posibles proveedores y monitorear las relaciones en curso.

●Fomentar la colaboración. Las decisiones de adquirir soluciones de terceros a menudo involucran a numerosos departamentos, como TIC, compras e InfoSec. Con tantas partes interesadas, es esencial tener procesos que permitan la participación y, al mismo tiempo, proporcionen una hoja de ruta hacia un conjunto codificado de acuerdos con un número limitado de obstáculos que superar.

●Utilizar un modelo de privilegios mínimos para el acceso a los datos. Muchos flujos de trabajo en la nube carecen de controles de acceso. Eso otorga a los usuarios más acceso del que necesitan para realizar su trabajo.

Esto puede ser una bendición para los piratas informáticos. Así pueden usar un conjunto de credenciales para moverse lateralmente a través de los datos y aumentar su huella. Un modelo de acceso con privilegios mínimos, que restrinja el acceso de los usuarios desde su entorno, podría proteger de los ataques contra soluciones de terceros.

Prepararse contra el ransomware

●Abogar por la regulación. Los estándares, los puntos de referencia y la aplicación de la regulación podrían ayudar a mejorar el cumplimiento. Aún más importante: procura la transparencia en las relaciones con proveedores externos.

●Incentivar a los equipos de desarrollo a “desplazarse a la izquierda, asegurando la derecha”. En la seguridad de “desplazamiento a la izquierda”, las pruebas de seguridad se integran antes en las etapas iniciales del desarrollo. En cambio, la seguridad de “desplazamiento a la derecha” se centra en las pruebas en el entorno de producción con monitoreo. El “desplazamiento a la izquierda” alienta a los equipos a encontrar vulnerabilidades antes y corregir defectos.

No es posible eliminar por completo el riesgo de ransomware mediante ataques a soluciones de terceros. Sin embargo, implementar la combinación adecuada de mejores prácticas y tecnologías modernas puede marcar la diferencia. Esto incluye contar con una plataforma de almacenamiento de datos que garantice su seguridad, mejore la mitigación de riesgos y permita una protección permanente.