post

¿Cómo evaluar la ciberseguridad en el home office de sus proveedores? P1

Que tal amigos,

Pues una vez más les vengo a compartir algo con lo que me encuentro entretenido últimamente.

Seguro muchos o más bien la gran mayoría de ustedes se encuentra trabajando desde la (in)comodidad de sus hogares. Y me supongo que así como yo en el momento que fueron forzados a iniciar actividades remotamente se preguntaron qué tan seguros estarían. Obvio primero todos nos preocupamos por nuestras propias compañías. Sin embargo para nosotros que nos dedicamos al tema de Third-Party Risk el pensamiento estaba en nuestros proveedores. Obviamente sin dejar de ser conscientes de que todo empezó en un contexto de urgencia y manteniendo un apetito de riesgo considerablemente alto en muchos casos por saber que muchos de nuestros proveedores no estarían en las mejores condiciones para mantener la triada.

Pues bien, no se para ustedes pero para quien les escribe estamos por entrar en el 5to mes de trabajo remoto y sé que me esperan al menos 2 más como mínimo. En estos 5 meses que han pasado me ha tocado gestionar innúmeros cuestionamientos de tanto compañeros de lado del negocio sobre los posibles riesgos de sus proveedores trabajando 100% remoto, como ver a muchos proveedores no solo en EUA como también de algunos países de LATAM alzar la mano para compartir lo que están haciendo desde la perspectiva de ciberseguridad para mantener un entorno seguro de trabajo remoto para sus empleados y que a la vez atiendan a nuestros requerimientos de seguridad. Algunos casos fueron positivamente ejemplares, mientras que otros no tanto. Sin embargo esto sucedió apenas en las primeras 4-6 semanas de encierro.

¿Qué pasa en la actualidad? ¿Qué esperar en el mediano y largo plazo?

Para la realidad en estos rumbos la segunda pregunta ya se volvió la primera. Me refiero a que ya nos han llegado los primeros casos de proveedores que indiferente al fin de la pandemia han decido mantener el trabajo remoto de manera permanente. ¿Esto que significa? Básicamente el riesgo que muchos ejecutivos hasta hace algunos meses aceptaron desde la mentalidad de que era un riesgo temporal y con sus días contados siempre y cuando se controle la pandemia, se pronto se puede volver una situación permanente. ¿Sería el momento de ajustar el apetito al riesgo? Quizás aún no lo sea de manera generalizada, quizás para algunas regiones o para algunos tipos de proveedores más que otros.

La cuestión está en que independiente de lo que decidan los altos mandos alguna información tenemos que empezar a recopilar y analizar para apoyarlos en su toma de decisiones. Por esta razón tomando como base la publicación especial del NIST 800-46 empecé a hacer algo de brainstorming sobre como empezar a obtener información específica sobre los esquemas de trabajo remoto y que nos permita como equipo evaluar de manera un poco mejor fundamenta los riesgos de cada proveedor. Obviamente contemplando aplicarlo no solo a aquellos interesados en mantener operaciones 100% remotas de manera permanente, pero también aquellos que por las circunstancias de combate a la pandemia y la falta de vacuna seguirán de manera remota en el mediano plazo.

Entonces vayamos al grano. ¿Qué encontraremos en la NIST 800-46? Esta guía del NIST nos proporciona contenido en 3 tópicos principales considerando además no solo el contexto de conectividad de dispositivos operativos, pero también el contexto del BYOD. Les recuerdo que es una guía agnóstica, así que no esperan ver información detallada sobre ningún producto.

    1. Seguridad a nivel solución de acceso remoto: Cubriendo y explicando los 4 principales tipos de soluciones de conectividad remota en uso actualmente.
    2. Seguridad a nivel dispositivo de usuario:  Consideraciones de controles para asegurar los dispositivos en manos de los usuarios, tanto corporativos como personales.
    3. Seguridad en los controles de acceso:  Creo que no hace falta explicar esto.

Mi objetivo es hace una corta serie de publicaciones en blog para cada uno de estos tópicos con los puntos que he estado considerando promover con los analistas de mi equipo.

Cuestiones como la forma en la que levantaremos información que responde a cuestionamientos dentro de cada uno de esos tópicos aún están por verse. Sin embargo les comparto algunas áreas de oportunidad que ya tengo identificadas dentro del programa que gestiono.

    1. Información ya proporcionada por medio de nuestra versión del Standardized Information Gathering : Como parte de nuestro programa ya le solicitamos a nuestros proveedores de manera recurrente el llenado o actualización de sus información en un cuestionario bastante extenso. Es probable que varias informaciones la podremos obtener de ahí.
    2. Documentación adicional: Muchos proveedores acompañan sus respuestas al cuestionario con sus políticas y estándares. Dichos documentos también pueden contener respuestas a lo que estamos buscando.
    3. Hacer cuestionamientos directos a los proveedores dirigidos a este tema específico.

La realidad es que aún y que más del 80% se pueda obtener por medio de 1 y 2, es altamente probable que sigamos con la máxima del “Trust but verify” y terminemos por hacer los debidos cuestionamientos con la finalidad con confirmar los supuestos generados con base a los documentos que ya tenemos en manos.

¿Ustedes que piensan?

Creo que este post ya ha salido más largo de lo que inicialmente pensé pero las ideas siguieron fluyendo.

En los próximos días estaré soltando las continuación.

¡Hasta la pronto!