5 Min. Read

3 pasos para minimizar las vulnerabilidades de la seguridad generadas por terceros

Guy Flechter Guy Flechter Jun 03, 2019

Ninguna organización puede vivir aislada. Por mucho que nos guste pensar que las medidas internas de seguridad implementadas son suficientes para mantenernos seguros, la realidad es que la seguridad interna es solo una pieza del rompecabezas de la seguridad. Todas las organizaciones dependen de otras organizaciones, ya sea un proveedor de correo electrónico, de servidores o la cafetería que provee el servicio de comida para los almuerzos de los viernes. Si los esfuerzos de seguridad no se amplían a las otras organizaciones y los servicios de los que dependes, estás en problemas.

En la última década, varias organizaciones se vieron sorprendidas por vulnerabilidades y violaciones inesperadas en sus cadenas de suministros. Algunas de las empresas más grandes del mundo fueron víctimas de las vulnerabilidades de sus proveedores.

La seguridad de los proveedores debe abordarse de la misma manera que cualquier otro elemento en la seguridad de la organización. Ser descuidado con la seguridad de terceros es lo mismo que dejar las puertas de la oficina abiertas por la noche y poner 1234567 como contraseña para todos. Invertir en seguridad interna y hacer caso omiso a las vulnerabilidades de la seguridad es como poner un candado en la puerta principal, pero dejar la ventana abierta. Las vulnerabilidades son justamente eso: vulnerabilidades. Los proveedores externos pueden ser una vulnerabilidad importante.

Como cualquier otra empresa, AppsFlyer no vive aislada Los productos de AppsFlyer tienen integración con productos de terceros y contratamos proveedores para servicios internos en múltiples departamentos. En muchas formas, la administración de la seguridad de los proveedores tiene un papel esencial en el posicionamiento general de la seguridad de AppsFlyer y, por lo tanto, exige una atención adecuada por parte de nuestro equipo de seguridad.

En este artículo, veremos los pasos y las medidas que deberías tomar antes de celebrar un contrato con un proveedor externo nuevo.
Desde la perspectiva de seguridad, hay 3 pasos que debes realizar:

1. Evaluación de riesgos
2. Priorización, automatización y visibilidad
3. Monitoreo continuo

Empecemos.

 

Prefacio: ¿todos los terceros son iguales?

No.

Distintos proveedores, distintos riesgos. La cafetería que provee el almuerzo de los viernes no presenta el mismo riesgo de seguridad que la empresa que mantiene tu sistema de correo electrónico.

Con recursos de seguridad limitados, es clave saber dónde invertir tus esfuerzos. Saber qué proveedores exigen una evaluación previa más profunda que otros es un paso fundamental al considerar un servicio de terceros nuevo. La evaluación de riesgos es el concepto clave. A medida que tu organización crece y los recursos son cada vez más limitados, la evaluación de riesgos te ayudará a determinar dónde y cómo dirigir tus esfuerzos de seguridad sin agotar tus recursos.

 

1. Evaluación de riesgos

La evaluación de riesgos es un elemento clave en cualquier programa de seguridad de la información. Parte del programa de evaluación de riesgos de cualquier organización es identificar riesgos posibles que pueden surgir a partir de la dependencia de terceros.

Deberás abordar algunas cuestiones importantes para realizar una evaluación de riesgos exhaustiva:

  1. ¿El proveedor tendrá acceso a información sensible?
  2. ¿Qué problema resolverá el proveedor?
  3. ¿La empresa ya tiene algo similar?

No puedo darte un diagrama de flujo si-entonces para cada una de estas preguntas o una escala variable que te permita orientarte. La infraestructura y las necesidades específicas de cada empresa deben determinar el tipo de evaluación de riesgos. A futuro, los procesos de evaluación de riesgos te ahorrarán tiempo y esfuerzos y estas preguntas se responderán con mayor facilidad.
Una vez que hayas establecido las respuestas para estos cuatro interrogantes, podrás orientar tus decisiones y asignar prioridades.

Tus requisitos de seguridad deberían estar estipulados en el contrato legal que firmes con el proveedor. Te ayudará a acelerar el proceso de evaluación de la seguridad del proveedor al centralizar tus requisitos en un formato único.

A lo largo de mi carrera, he visto que muchos proveedores intentan adornar la verdad para ofrecer las respuestas esperadas en un cuestionario de seguridad para proveedores. Debes asegurarte de que la conversación se entable en presencia del equipo de seguridad para que se aborden las preguntas directas necesarias y para tener una discusión abierta y profesional.

Por último, si el proveedor se rehúsa de plano a aceptar determinadas disposiciones o requisitos, puede ser un indicio útil sobre su nivel de compromiso general hacia la seguridad, además de las posibles áreas de riesgo en las que indagar.

2. Priorización de decisiones, automatización del proceso y generación de visibilidad

Ralentizar los procesos, cerrar todas las puertas y hablar en voz baja sobre los procesos de seguridad no es la forma en que hay que hacerlo.

Priorización de decisiones: el abordaje de la seguridad de AppsFlyer es ágil y demostró su utilidad a medida que fuimos creciendo. Al mantener un contacto constante con los distintos departamentos, abordamos las cuestiones de seguridad sin ralentizar los procesos (o, cuando menos, hacemos todo lo posible para no generar un cuello de botella). Las “puertas” deben estar abiertas y alguien debe permanecer de guardia en todo momento.

Por supuesto, esto no significa que abandonemos todos los procesos, pero si determinamos que el riesgo de un proveedor específico es muy limitado, no hay motivos para hacer controles de seguridad adicionales.  

Automatización del proceso: intenta automatizar el proceso todo lo posible. Esto podría implicar la compra de software que te ayude a administrar los procesos de evaluación de riesgos y las relaciones con los proveedores (por supuesto, no olvides controlar al proveedor de dicho software primero). Esto permitirá que tu equipo se expanda y reducirá las tensiones de los distintos equipos que esperan respuestas del equipo de seguridad.

Generación de visibilidad: asegúrate de que los procesos y la lógica detrás de ellos sean claros; no solo a nivel interno para el equipo de seguridad, sino para el empleado o el equipo que solicita la contratación del proveedor, así como también para el propio proveedor. Asimismo, asegúrate de que todas las personas involucradas reciban información actualizada sobre el estado de la solicitud y sobre qué lagunas o problemas existen (si los hubiera).

 

3. Monitoreo continuo

La seguridad es fluida. Nunca es estática. El monitoreo constante y continuo es clave para el buen estado de la seguridad de tu empresa. Las organizaciones evolucionan, se adquieren y transfieren sus datos a otras empresas, cambian sus normas o mudan sus oficinas centrales. Si a un proveedor con el que trabajas lo adquiere otro tercero, por ejemplo, el proceso de control debe comenzar de cero. Básicamente, estarás evaluando a un proveedor nuevo. El agua estancada tienen mal olor. Asegúrate de reevaluar continuamente a los proveedores que ya contrataste.

 

Haz que la seguridad sea parte del ADN de tu organización

El riesgo de terceros es solo uno de muchos elementos en lo que respecta a los esfuerzos de seguridad de tu organización. Poner la seguridad en la primera línea de cada etapa de innovación y crecimiento significa que siempre estarás un paso adelante en la mitigación de riesgos.

Administra los riesgos de terceros, no dejes que estos te controlen a ti.

 

Observa a nuestro CEO Oren Kaniel analizar el riesgo de terceros, uno de los cuatro fundamentos de una plataforma de marketing crucial.