Autor: Jeff Williams
No hay duda de que vivimos en una era donde la tecnología y las computadoras se han convertido en parte integral del negocio diario, y estos sistemas críticos no están exentos de la necesidad de mantenimiento, soporte y actualizaciones.
Esta tecnología conlleva mayores riesgos para las empresas debido a la ciberdelincuencia y los ciberataques. Octubre es el Mes de la Concientización sobre la Ciberseguridad, por lo que no será la primera ni la última vez que verá un artículo sobre seguridad. En este caso, nos centramos en un aspecto en particular: el uso de empresas de terceros para soportar estos sistemas y los puntos clave a considerar.
Una tendencia común que vemos cuando trabajamos con pequeñas y medianas empresas es que dependen cada vez más de proveedores externos para respaldar sus sistemas informáticos. Este soporte abarca desde el mantenimiento de rutina hasta las necesidades completas de subcontratación de infraestructura, software o hardware. Este no es un escenario inusual. De hecho, un estudio reciente de la industria encontró que más del 50% de las empresas manejan el soporte para varios sistemas de esta manera.
¿Estás viendo?
Si confía en una empresa externa para monitorear la seguridad de sus sistemas, ¿quién los monitoreará?
programa de seguridad de la información
Una cosa que debe recordar es que el uso de una empresa externa debería fortalecer su programa de seguridad de la información. no reemplazar. Tu puedes preguntar, “¿Qué es un programa de seguridad de la información?” En pocas palabras, se trata de una combinación de lo que se documenta y lo que se hace en relación con el sistema.
Desde el mantenimiento del sistema, las expectativas de los empleados, las expectativas de terceros y qué hacer si surge un problema, documentar sus políticas y procedimientos no sólo ayuda a reducir el riesgo general, sino también la probabilidad de que ocurra, y puede facilitar la recuperación de las relaciones sexuales.
Piense en la copia de seguridad y la recuperación de datos. Si una empresa necesita restaurar datos por algún motivo, ¿a qué fecha en el tiempo es aceptable restaurar estos datos? ¿Un día? ¿una semana? ¿Un mes? Esta información debe determinarse y documentarse con antelación. Luego debe transmitirlo a un tercero para verificar que se puede lograr.
Nuestras políticas y procedimientos deben ser lo suficientemente completos para determinar todos los aspectos de nuestros sistemas, incluyendo:
-
Cómo crear un usuario
-
Cómo se eliminan los usuarios
-
A qué tienen acceso estos usuarios
-
Cómo acceder
-
¿Qué puedes hacer con este acceso?
-
Copias de seguridad: frecuencia y tipo
-
Recuperación: ¿hasta dónde debe retroceder para restaurar su información?
-
Respuesta: qué hacer si ocurre un problema
Si un tercero es responsable de alguno de los anteriores, ¿conoce su política al respecto?, ¿la cumple?
comprender su seguridad
Las dos áreas clave en las que nos centramos a la hora de dar a las empresas acceso a nuestros sistemas son:
Sin embargo, sólo porque una empresa pueda demostrar su compromiso con la seguridad no significa que esté libre de problemas. Ahora pasemos al siguiente punto.
entender el acceso
Siempre que permitimos que entidades externas entren en nuestros edificios o sistemas, nosotros, como empresa, necesitamos saber exactamente a qué pueden acceder y cómo. ¿Sé cuándo y cómo esta empresa accede a nuestros sistemas? ¿Hay alguna manera de monitorear esto?
Si la respuesta a cualquiera de estas preguntas es “no”, nuestro negocio corre un riesgo mayor. El cómo, el cuándo y el dónde deben definirse claramente y revisarse periódicamente para garantizar su cumplimiento. Esto no quiere decir que terceros hagan algo malo a propósito, pero como nos enseñó la violación de datos de Target, los terceros que intentan obtener acceso directo a nuestros sistemas pueden no serlo.
entender la responsabilidad
Si trabaja para el Departamento de Defensa, probablemente esté familiarizado con el Programa Federal de Gestión de Autorizaciones y Riesgos (FedRAMP), que proporciona un enfoque estandarizado para la certificación de seguridad de los servicios en la nube. En el centro de FedRAMP se encuentra el concepto de “responsabilidad compartida” entre empresas y terceros. ambos Hay responsabilidad en su relación.
Este concepto debería aplicarse a todas las empresas y las responsabilidades de terceros deberían estar claramente definidas. Con demasiada frecuencia veo situaciones en las que las empresas buscan ayuda de un tercero, sólo para descubrir que ese tercero no maneja “algo”.
Siempre que se utilice un tercero, recomendamos encarecidamente diseñar y comunicar una matriz de responsabilidad. La matriz muestra las actividades principales en filas y las organizaciones participantes en columnas. Para cada parte participante, indique si esa parte es responsable, rinde cuentas, es consultada o informada. Esto elimina la cuestión de quién desempeña qué papel.
vigilancia
Supongamos que investigó la seguridad de su empresa externa, creó una matriz de responsabilidad y tiene todos los acuerdos vigentes. Tu trabajo está hecho, ¿verdad? Absolutamente no. Recuerde, estos siguen siendo sus sistemas y su responsabilidad. Las organizaciones a menudo no tienen idea de cómo están configurados sus sistemas o qué están haciendo terceros. Pregúntate a ti mismo las siguientes preguntas:
-
¿Sabemos qué están cambiando o arreglando en nuestro sistema?
-
¿Aprobamos esto?
-
¿Hay un registro de lo que hicieron?
-
Si necesita cambiar de tercero, ¿tiene suficiente información para hacerlo?
Asegúrese de registrar todos los activos, la configuración de esos activos, el software, los nombres de usuario, las contraseñas y otros elementos que puedan ser compatibles con terceros. Esto no sólo protege su información sino que también lo hace más fácil si necesita a otro tercero.
Bajo revisión
Así como las organizaciones revisan periódicamente sus finanzas y operaciones comerciales, también deben revisar periódicamente a terceros. El hecho de que una empresa cumpla con las expectativas iniciales no significa que siempre funcionará como se espera.
-
¿Están cumpliendo con las expectativas acordadas originalmente?
-
¿Ha habido algún cambio en su negocio que deba tener en cuenta?
-
¿Han aumentado los precios?
-
¿Han cambiado sus políticas?
No crea que cambiar de tercero es su única opción si no cumple con sus expectativas. Hable con ellos para determinar la causa del problema. Como ocurre con todos los aspectos de nuestro negocio, podemos beneficiarnos del uso de terceros para la planificación, ejecución y revisión.
proteja su organización
Jeff Williams lidera los esfuerzos del centro para educar y equipar a los pequeños y medianos fabricantes para protegerse contra la creciente amenaza de los ciberataques. Una de sus principales áreas de atención se relaciona con los requisitos de ciberseguridad descritos en la publicación especial 800-171 del NIST, que está diseñada para proteger los sistemas de seguridad de la información de los contratistas que trabajan con el Departamento de Defensa. Además de prestar servicios a la comunidad manufacturera de Michigan, Jeff participa en la capacitación de otros centros de Manufacturing Extension Partnership (MEP) en todo Estados Unidos. Esta iniciativa permitirá a estos centros brindar servicios de ciberseguridad a fabricantes de todo el estado.
categoría: Ciberseguridad, Industria 4.0, Tecnología