Close Menu
    Blog Industrial

    Centro – ¿Quién vigila a los observadores?

    8 Mins Read Blog Industrial
    Centro - ¿Quién vigila a los observadores?

    14 de octubre de 2022

    Autor: Jeff Williams

    Depositphotos_167851984_L.jpg

    No hay duda de que vivimos en una era donde la tecnología y las computadoras se han convertido en parte integral del negocio diario, y estos sistemas críticos no están exentos de la necesidad de mantenimiento, soporte y actualizaciones.

    Esta tecnología conlleva mayores riesgos para las empresas debido a la ciberdelincuencia y los ciberataques. Octubre es el Mes de la Concientización sobre la Ciberseguridad, por lo que no será la primera ni la última vez que verá un artículo sobre seguridad. En este caso, nos centramos en un aspecto en particular: el uso de empresas de terceros para soportar estos sistemas y los puntos clave a considerar.

    Una tendencia común que vemos cuando trabajamos con pequeñas y medianas empresas es que dependen cada vez más de proveedores externos para respaldar sus sistemas informáticos. Este soporte abarca desde el mantenimiento de rutina hasta las necesidades completas de subcontratación de infraestructura, software o hardware. Este no es un escenario inusual. De hecho, un estudio reciente de la industria encontró que más del 50% de las empresas manejan el soporte para varios sistemas de esta manera.

    ¿Estás viendo?

    Si confía en una empresa externa para monitorear la seguridad de sus sistemas, ¿quién los monitoreará?

    Esto no quiere decir que esté mal utilizar a terceros para diversos aspectos de nuestro negocio, pero existen riesgos asociados cada vez que exponemos nuestros sistemas a entidades externas.Todo lo que tenemos que hacer es mirar los titulares de las noticias. vientos solareso más recientemente Morgan Stanley, vea ejemplos de estos riesgos. ¿Entonces que puedes hacer? Echemos un vistazo a algunos elementos simples que pueden surgir al utilizar empresas de terceros.

    programa de seguridad de la información

    Una cosa que debe recordar es que el uso de una empresa externa debería fortalecer su programa de seguridad de la información. no reemplazar. Tu puedes preguntar, “¿Qué es un programa de seguridad de la información?” En pocas palabras, se trata de una combinación de lo que se documenta y lo que se hace en relación con el sistema.

    Desde el mantenimiento del sistema, las expectativas de los empleados, las expectativas de terceros y qué hacer si surge un problema, documentar sus políticas y procedimientos no sólo ayuda a reducir el riesgo general, sino también la probabilidad de que ocurra, y puede facilitar la recuperación de las relaciones sexuales.

    Piense en la copia de seguridad y la recuperación de datos. Si una empresa necesita restaurar datos por algún motivo, ¿a qué fecha en el tiempo es aceptable restaurar estos datos? ¿Un día? ¿una semana? ¿Un mes? Esta información debe determinarse y documentarse con antelación. Luego debe transmitirlo a un tercero para verificar que se puede lograr.

    Nuestras políticas y procedimientos deben ser lo suficientemente completos para determinar todos los aspectos de nuestros sistemas, incluyendo:

    • Cómo crear un usuario

    • Cómo se eliminan los usuarios

    • A qué tienen acceso estos usuarios

    • Cómo acceder

    • ¿Qué puedes hacer con este acceso?

    • Copias de seguridad: frecuencia y tipo

    • Recuperación: ¿hasta dónde debe retroceder para restaurar su información?

    • Respuesta: qué hacer si ocurre un problema

    Si un tercero es responsable de alguno de los anteriores, ¿conoce su política al respecto?, ¿la cumple?

    comprender su seguridad

    Las dos áreas clave en las que nos centramos a la hora de dar a las empresas acceso a nuestros sistemas son:

    Violación de datos objetivo es un ejemplo perfecto. Al elegir una empresa externa con la que trabajar, no basta con confiar en la palabra de la empresa de que la seguridad está bien. ¿Tiene la empresa una política o declaración de seguridad formal sobre lo que hace para proteger sus sistemas del acceso no autorizado? Si hay una infracción, ¿qué responsabilidad pretende asumir como parte de esa infracción? No tenga miedo de hacer estas preguntas. y pídales que le envíen pruebas de que es seguro. Además, una vez que se proporciona esa información, debe conservarse en sus registros junto con el contrato o acuerdo proporcionado.

    Sin embargo, sólo porque una empresa pueda demostrar su compromiso con la seguridad no significa que esté libre de problemas. Ahora pasemos al siguiente punto.

    entender el acceso

    Siempre que permitimos que entidades externas entren en nuestros edificios o sistemas, nosotros, como empresa, necesitamos saber exactamente a qué pueden acceder y cómo. ¿Sé cuándo y cómo esta empresa accede a nuestros sistemas? ¿Hay alguna manera de monitorear esto?

    Si la respuesta a cualquiera de estas preguntas es “no”, nuestro negocio corre un riesgo mayor. El cómo, el cuándo y el dónde deben definirse claramente y revisarse periódicamente para garantizar su cumplimiento. Esto no quiere decir que terceros hagan algo malo a propósito, pero como nos enseñó la violación de datos de Target, los terceros que intentan obtener acceso directo a nuestros sistemas pueden no serlo.

    entender la responsabilidad

    Si trabaja para el Departamento de Defensa, probablemente esté familiarizado con el Programa Federal de Gestión de Autorizaciones y Riesgos (FedRAMP), que proporciona un enfoque estandarizado para la certificación de seguridad de los servicios en la nube. En el centro de FedRAMP se encuentra el concepto de “responsabilidad compartida” entre empresas y terceros. ambos Hay responsabilidad en su relación.

    Este concepto debería aplicarse a todas las empresas y las responsabilidades de terceros deberían estar claramente definidas. Con demasiada frecuencia veo situaciones en las que las empresas buscan ayuda de un tercero, sólo para descubrir que ese tercero no maneja “algo”.

    Siempre que se utilice un tercero, recomendamos encarecidamente diseñar y comunicar una matriz de responsabilidad. La matriz muestra las actividades principales en filas y las organizaciones participantes en columnas. Para cada parte participante, indique si esa parte es responsable, rinde cuentas, es consultada o informada. Esto elimina la cuestión de quién desempeña qué papel.

    vigilancia

    Supongamos que investigó la seguridad de su empresa externa, creó una matriz de responsabilidad y tiene todos los acuerdos vigentes. Tu trabajo está hecho, ¿verdad? Absolutamente no. Recuerde, estos siguen siendo sus sistemas y su responsabilidad. Las organizaciones a menudo no tienen idea de cómo están configurados sus sistemas o qué están haciendo terceros. Pregúntate a ti mismo las siguientes preguntas:

    • ¿Sabemos qué están cambiando o arreglando en nuestro sistema?

    • ¿Aprobamos esto?

    • ¿Hay un registro de lo que hicieron?

    • Si necesita cambiar de tercero, ¿tiene suficiente información para hacerlo?

    Asegúrese de registrar todos los activos, la configuración de esos activos, el software, los nombres de usuario, las contraseñas y otros elementos que puedan ser compatibles con terceros. Esto no sólo protege su información sino que también lo hace más fácil si necesita a otro tercero.

    Bajo revisión

    Así como las organizaciones revisan periódicamente sus finanzas y operaciones comerciales, también deben revisar periódicamente a terceros. El hecho de que una empresa cumpla con las expectativas iniciales no significa que siempre funcionará como se espera.

    • ¿Están cumpliendo con las expectativas acordadas originalmente?

    • ¿Ha habido algún cambio en su negocio que deba tener en cuenta?

    • ¿Han aumentado los precios?

    • ¿Han cambiado sus políticas?

    No crea que cambiar de tercero es su única opción si no cumple con sus expectativas. Hable con ellos para determinar la causa del problema. Como ocurre con todos los aspectos de nuestro negocio, podemos beneficiarnos del uso de terceros para la planificación, ejecución y revisión.

    proteja su organización

    El Centro está aquí para proteger su organización. Nuestros expertos han realizado una evaluación de su negocio en relación con el Marco de ciberseguridad del NIST y han diseñado un programa de ciberseguridad que ofrece los resultados requeridos. Tenga un plan para proteger su información y responder a los ciberataques. Comience hoy enviando un correo electrónico a [email protected] o llamando al 888.414.6682.

    Conozca a nuestros expertos: Jeff Williams Gerente de Programa, Ciberseguridad
    Williams_J-web.jpgJeff Williams lidera los esfuerzos del centro para educar y equipar a los pequeños y medianos fabricantes para protegerse contra la creciente amenaza de los ciberataques. Una de sus principales áreas de atención se relaciona con los requisitos de ciberseguridad descritos en la publicación especial 800-171 del NIST, que está diseñada para proteger los sistemas de seguridad de la información de los contratistas que trabajan con el Departamento de Defensa. Además de prestar servicios a la comunidad manufacturera de Michigan, Jeff participa en la capacitación de otros centros de Manufacturing Extension Partnership (MEP) en todo Estados Unidos. Esta iniciativa permitirá a estos centros brindar servicios de ciberseguridad a fabricantes de todo el estado.

    Desde 1991, el Centro de Tecnología de Fabricación de Michigan ha ayudado a las pequeñas empresas de Michigan a competir y crecer. A través de servicios personalizados diseñados para satisfacer las necesidades de nuestros clientes, desarrollamos líderes empresariales más eficaces, impulsamos la innovación de productos y procesos, impulsamos la excelencia operativa en toda la empresa, hacemos crecer nuestros negocios y fomentamos estrategias creativas para aumentar la rentabilidad.encuéntranos en www.el-centro.org.

    categoría: Ciberseguridad, Industria 4.0, Tecnología

    Share.

    Entradas relacionadas