Un enfoque basado en riesgos para tercerizar la seguridad
¿Qué controles de seguridad críticos se pueden subcontratar y cómo las organizaciones, en particular las PyMEs, mantienen la confianza de que se están gestionando de manera eficaz y adecuada?
Comencemos diciendo esto: todos los controles de seguridad pueden ser subcontratados. De hecho, muchas organizaciones hacen exactamente esto, externalizando el centro de operaciones de seguridad (SOC) y todos sus controles preventivos y de detección a empresas de gestión de la seguridad. O bien, subcontratan antivirus y antimalware, o detección y respuesta de intrusiones.
Sin embargo, la responsabilidad de esos controles seguirá correspondiendo al negocio, lo que significa que no importa cuánto subcontrate, aún necesita supervisión y visibilidad suficientes para comprender cómo se administran esos controles y si el servicio que está recibiendo del proveedor es adecuado para su organización.
Para las grandes organizaciones, esto puede ser un desafío en términos de cantidad de proveedores, entender qué es administrado por quién e incluso qué datos están disponibles. Sin embargo, para las pequeñas y medianas empresas (PyMEs), sin el personal interno suficiente para validar los controles, comprender las métricas y los registros, y desafiar los niveles de servicio, es posible que deban confiar en el tercero en todos los niveles, desde la definición del servicio hasta la entrega y garantía.
Construir un registro de riesgos
Para comenzar, un enfoque útil es crear un registro de riesgos, porque administrar los controles que no se alinean con el riesgo que enfrenta su empresa es en última instancia contraproducente. Incluso las PyMEs más pequeñas deberían tener un registro de riesgos, y hay suficientes plantillas en línea para arrancar bien. Estas deberían abarcar desde fallas leves hasta incidentes importantes que podrían destruir la empresa.
Un ejemplo extremo para una organización pequeña podría ser que un atacante obtenga acceso y destruya todos los datos de la cuenta del cliente. Si bien esto puede parecer poco probable para su organización, siempre existe la posibilidad de que ocurra, por lo que vale la pena evaluar. Si la evaluación muestra que su empresa dejaría de funcionar debido a esto, entonces hay varios controles disponibles para mitigar el riesgo, incluidos inteligencia, detección de intrusos, controles de perímetro, respuesta a incidentes y copias de seguridad en línea y fuera de línea, por nombrar solo uno de cada una de las áreas del Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU.: identificar, proteger, detectar, responder y recuperar.
También debe consultar los servicios de prevención de fugas de datos, ya que las multas en virtud del Reglamento General de Protección de Datos (GDPR) son mucho mayores de lo que eran en la Ley de Protección de Datos de 1998. ¿Puede gestionar esto internamente?
Cada una de las cinco áreas de control mencionadas están disponibles como servicios subcontratados, y cada una tiene un alcance e indicadores clave para ayudarlo a comprender qué tan efectivos pueden ser, y si harán lo que sea necesario. Por ejemplo, un firewall (la defensa perimetral clave contra los atacantes) sigue siendo una defensa necesaria. Sin embargo, no le ayudará a detectar ataques de phishing contra su personal, por lo que es posible que también deba considerar la protección contra enlaces o códigos maliciosos en los correos electrónicos, que es donde entran los servicios antimalware y antiphishing, junto con la capacitación sobre concientización, y así sucesivamente.
Definir métricas de seguridad
Pero el desafío en la subcontratación es comprender qué tan bien estos servicios mitigan el riesgo. ¿Qué necesita su empresa? Las grandes empresas con las que he trabajado a menudo tienen cientos de métricas definidas para la seguridad, y la externalización de un servicio solo requería que el tercero proporcionara estas métricas, junto con otras adicionales que indican el estado de seguridad del tercero. Obviamente, esto va a ser difícil para una PyME, por lo que un enfoque apropiado es observar las métricas disponibles. Uno debe considerar si son:
- Configurables: deben poder definir umbrales de alerta;
- Automatizables: para garantizar que se le proporcionen de manera predecible y regular;
- Relevantes: respaldan la seguridad de su organización;
- Utilizables: si usted o el tercero no pueden hacer nada con respecto a una métrica en particular, puede que no sea útil;
- Oportunos: es mucho menos útil conocer una intrusión que ocurrió el año pasado.
Muchos servicios de seguridad están ahora a nivel de productos básicos, por lo que la fijación de precios para un simple firewall, por ejemplo, puede ser relativamente barata. Dicho esto, la administración del firewall es a menudo lo suficientemente simple como para que una PyME pueda instalar y administrar uno por sí misma. Sin embargo, la detección de intrusiones tiene un costo de instalación relativamente bajo, pero los gastos generales son altos en términos de ajuste y mantenimiento de la efectividad, por lo que es un candidato primordial para la subcontratación de una PyME.
Lo mismo se aplica a muchos de los servicios de "identificar, detectar y proteger"; los proveedores de estos pueden tener múltiples clientes en todo el país o en el mundo, y por lo tanto están en posición de detectar tendencias en forma temprana, e incluso pueden brindar protección antes de que los atacantes realicen su movimiento. Los controles en la categoría de "respuesta" tienden a ser más internos, tienden a alinearse con los procesos de negocios y la respuesta del personal, por lo que es posible que no estén mejor ubicados para la externalización. "Recuperar" es otra área en la que terceros brindan servicios rentables, como copias de seguridad de ubicaciones múltiples, hardware de intercambio en caliente o incluso sitios de disponibilidad, si es necesario.
Tomando como ejemplo la protección contra ataques distribuidos de denegación de servicio (DDoS), un servicio que casi siempre se subcontrata, las métricas típicas que espero ver incluyen tiempos de respuesta, degradación del servicio, ancho de banda máximo, capacidad disponible y tendencias a lo largo del tiempo. Cualquier proveedor que no pueda proporcionar esta información lo deja con un riesgo desconocido: ¿el servicio lo está protegiendo realmente?
Porque en algún momento, su auditor o un regulador puede hacer esa pregunta exacta, y si usted no lo sabe, será su culpa.