¿Cómo abordan los equipos de seguridad de TI los desafíos que plantea el uso cada vez mayor de plataformas y servicios de terceros? Estos cambios en la forma en que se implementa la infraestructura de TI de una organización brindan a los actores malintencionados una superficie de ataque mucho más grande con la que jugar y, una vez que se obtiene el acceso, una gama más amplia de oportunidades para penetrar en la infraestructura de TI de la organización objetivo.
Suponiendo que el equipo de seguridad tenga una comprensión sólida del negocio de la organización y sus procesos internos y externos, un buen punto de partida sería mapear todos los procesos y subprocesos: TI, papel y otros.
El objetivo de este mapeo es identificar los diversos límites entre las aplicaciones y los servicios, incluso cuando los propios terceros utilizan servicios de terceros. Al hacerlo, debería poder ver qué tipo de control debería tener sobre cada servicio y el límite de conexión entre los servicios.
La capacidad de identificar estos controles, o la falta de ellos, junto con el conocimiento comercial de lo que está en juego si un control falla (o no existe) conduce al desarrollo de un panorama de riesgos y la estrategia de gestión de riesgos resultante. Tenga en cuenta que este es un ejercicio solo en papel en esta etapa.
El primer paso es identificar qué está bajo el control directo de la organización, por ejemplo, la infraestructura de TI en el sitio y los dispositivos, como PC, laptops o teléfonos móviles utilizados por los empleados que se proporcionan y mantienen internamente y se rigen por las políticas de seguridad de la organización. Procedimientos y Normas.
El segundo paso es identificar las áreas de infraestructura y las implementaciones de servicios que pueden confiar en la provisión, el soporte y el mantenimiento de terceros, por ejemplo, las propias políticas, procedimientos y estándares de seguridad de terceros.
El tercer paso es identificar aquellas áreas que son esenciales para el funcionamiento de la infraestructura, los servicios y las operaciones de la organización, pero donde no existe un control organizacional sobre la seguridad de esos servicios, por ejemplo, el uso de Internet u otros terceros. -redes de partidos.
Una vez que estas áreas han sido identificadas, documentadas, evaluadas y priorizadas, puede comenzar la evaluación de los controles establecidos y su efectividad. La diferencia entre lo que “debería” estar en su lugar y lo que está en su lugar, junto con la prioridad del riesgo, conduce a un plan de acción correctivo.
Lo que sigue es mi idea de qué controles normalmente estaría buscando. No es exhaustivo y no he entrado en detalles: hay muchas fuentes de información útil, ya sean libros, cursos o búsquedas en Internet.
Primero mire el paso tres donde no tiene control. Las medidas de seguridad que puede tomar se pueden dividir aproximadamente en tres áreas:
- Cifre los datos durante la transmisión, por ejemplo, el cifrado punto a punto entre sistemas y servicios, provoque el cifrado oportunista en los servidores de correo electrónico, cifre el contenido del correo electrónico en los dispositivos finales.
- Controle la salida de datos para que solo se expongan los datos no confidenciales.
- Controle la intrusión de datos: por ejemplo, asegúrese de que todas las interfaces estén actualizadas y realice comprobaciones periódicas del estado de TI para asegurarse de que no haya vulnerabilidades detectables. Asegúrese de que los sistemas de correo electrónico y la configuración del dominio de Internet asociado cumplan con los protocolos SPF, DMARK y DKIM.
Para el segundo paso, confiar en terceros para brindar un nivel de seguridad aceptable para la organización, el control principal es el contrato de servicio.
No solo debe establecer los requisitos de seguridad de la organización, sino también cómo deben calificarse. Simplemente afirmar que el servicio adquirido está certificado según un estándar formal como ISO 27001 no es suficiente. El contrato debe especificar las áreas que debe cubrir la certificación (p. ej., Declaración de aplicabilidad de la norma ISO 27001), debe cubrir todas las áreas que forman parte del servicio prestado o afectan al mismo, y debe poder proporcionar una prueba formal de la vigencia de la certificación.
Otras áreas no cubiertas por las certificaciones formales de terceros podrían incluir procedimientos disciplinarios y de contratación, auditorías internas y contratación de servicios como parte de la prestación de servicios a la organización. Estas áreas deben ser declaraciones de contrato.
El primer paso es, por supuesto, la consideración y evaluación de las directrices, procedimientos y normas de la organización interna, por ejemplo, la revisión de los empleados. ¿Se revisa el currículum de un empleado potencial y se incluye más de una referencia? ¿Todas las políticas de seguridad y los procedimientos y estándares de apoyo están actualizados y se cumplen? ¿Hay suficiente capacitación y educación adicional del personal? ¿Están adecuadamente equipados los departamentos de TI y de seguridad de TI? ¿Se llevan a cabo verificaciones periódicas del estado de TI en la infraestructura interna y las interfaces externas? ¿Se requiere que los contratistas sigan las políticas y procedimientos de la organización? ¿Se ha sometido la TI de la organización a alguna certificación formal, por ejemplo, ISO 27001, Cyber Essentials, etc.? ¿Se siguen otros estándares ISO, como ISO 27004 (medición y análisis de vigilancia), ISO 27005 (gestión de riesgos de seguridad de la información) e ISO 27033 (seguridad de la red)?
Todo esto debería convertirse en una segunda naturaleza para el especialista en seguridad de TI con experiencia.