Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Mejores prácticas de seguridad para la gestión de proveedores externos

Las organizaciones pueden gestionar riesgos utilizando tecnologías de seguridad de la información existentes, tales como filtros web y NGFW.

Estaba realizando una evaluación de riesgo para una empresa pequeña varios meses antes de que la brecha de Target se hiciera pública.

Mientras escaneaba el perímetro externo de la red de la empresa, descubrí un servidor web que estaba controlando sus sistemas de calefacción, ventilación y aire acondicionado. El servidor web estaba plagado de vulnerabilidades y permitía un fácil acceso a los sistemas internos de la empresa. Contacté a la empresa y les di a conocer lo que había encontrado, y recomendé que el sistema fuera desconectado de internet inmediatamente. Mi contacto en la empresa no entendió el riesgo al principio, pero con el tiempo quitó el sistema de internet. Hablamos de nuevo después de que el incidente de Target se hizo público sobre el papel que el contratista de climatización jugó en la brecha. La compañía finalmente se dio cuenta de lo cerca que había llegado de volverse una estadística de una violación de datos.

Este problema de los sistemas de climatización es solo un pequeño ejemplo de un problema que ha crecido rápidamente hasta alcanzar proporciones épicas en seguridad de la información. Con demasiada frecuencia, los proveedores que necesitan acceso remoto para el mantenimiento y el apoyo a los sistemas internos de sus clientes no consideran las implicaciones de seguridad. Una y otra vez, hemos visto a los proveedores construir sus sistemas con su comodidad y la facilidad de mantenimiento en mente. Incluso a veces sus sistemas son construidos con software que ya no es soportado, por lo que está lleno de vulnerabilidades y es imposible de remendar.

Tal vez lo peor es que los proveedores utilizan procesos de negocios inseguros, pobremente concebidos, para gestionar estos sistemas. Es común encontrar proveedores usando la misma contraseña de administrador en sistemas instalados en todos los sitios de sus clientes. Pondrán notas Post-it alrededor de sus cubículos con contraseñas de los sistemas de una empresa.

Estas situaciones suenan sombrías, pero afortunadamente esta es una zona en la que los profesionales de seguridad de la información pueden utilizar las tecnologías y tácticas existentes para hacer mejoras dramáticas a la gestión de proveedores externos sin gastos adicionales. Eso es lo que vamos a discutir en este consejo.

Hay cuatro pasos clave para mejorar la seguridad de la gestión de los proveedores externos:

Estandarizar metodologías de acceso remoto

Cada proveedor utiliza un método diferente para acceder a sus dispositivos en una red. Algunos utilizan Cisco WebEx, o una herramienta de conferencia web similar, mientras que otros prefieren una conexión VPN de sitio a sitio. Puede llegar a ser difícil manejar todos estos tipos de tecnologías de acceso remoto de forma segura, por lo que la organización necesita definir algunas metodologías de acceso remoto que va a permitir. Esto simplificará el ambiente y permitirá realizar de manera más fácil inventarios de las conexiones realizadas a la red de la organización.

El acceso remoto en compartimientos podría haber limitado el ataque a Target a solo sus sistemas de aire acondicionado, y eso probablemente habría sido mucho menos grave.

Detectar y bloquear las tecnologías de acceso remoto no autorizado

Más herramientas de acceso remoto basadas en web estén disponibles en la web todos los días, y los proveedores se aprovechan de ellas. No asuma que un proveedor siempre utilizará el mismo puerto o protocolo; es necesario un monitoreo activo de cómo los proveedores y socios acceden a la red. Los equipos de seguridad de la información pueden monitorear y bloquear las conexiones no autorizadas utilizando las herramientas existentes, como filtros web o firewalls de siguiente generación (NGFW). Estos sistemas por lo general tienen categorías de aplicaciones actualizadas, incluyendo herramientas de acceso remoto, que pueden ponerse en la lista negra. Los sistemas de detección de intrusiones (IDSes) también se pueden sintonizar para buscar este tipo de conexiones, alertando sobre aquellas que se inicien desde el interior del perímetro de la red. Las herramientas de gestión de estaciones de trabajo pueden buscar software de acceso remoto instalado en las computadoras de la organización y luego desinstalarlo.

Separar el acceso remoto en zonas protegidas con firewalls

La construcción de una red segura es similar a la construcción de un submarino. Los submarinos están compartimentados para que la inundación puede ser contenida y no se permita que se extienda a todas las zonas del buque. Una red segura se puede construir con el mismo tipo de mentalidad de diseño. Un proveedor debe obtener acceso remoto a solo un segmento específico de la red que se mantiene separada por un firewall de otros activos de la red. Esto limita el daño que se puede hacer si el proveedor se ve comprometido. Target no debe de haber seguido este método de acceso, ya que sus sistemas de punto de venta eran accesibles a través de sus sistemas de climatización. El acceso remoto en compartimientos podría haber limitado el ataque a Target a solo sus sistemas de aire acondicionado, y eso probablemente habría sido mucho menos grave.

Contratos y auditoría

Los proveedores que tienen acceso a la red de una organización deben ser obligados a firmar contratos u otros acuerdos que obliguen su cumplimiento de las políticas de seguridad de la organización. Debe haber un lenguaje en estos acuerdos que permitan a la organización el derecho de auditar al proveedor sobre el cumplimiento de estas políticas de seguridad. Esto puede ser difícil de ejecutar en algunas organizaciones, ya que requiere que los equipos de seguridad de la información tengan un asiento en la mesa durante las compras y discusiones de contrato, pero hay un largo camino para establecer el tono de la discusión acerca de la gravedad de seguridad de la información en la organización. También puede ser beneficioso para los proveedores que se les exija pasar por el entrenamiento sobre conciencia de seguridad de la organización.

Es fundamental que las organizaciones gestionen el riesgo que implica el acceso remoto para proveedores externos. Target sin duda no será la última empresa que es víctima de este tipo de amenaza de seguridad. Las organizaciones pueden gestionar estos riesgos utilizando tecnologías de seguridad de la información existentes, tales como filtros web y NGFW, para hacer cumplir las metodologías de acceso remoto estándares. También pueden limitar cualquier daño de que un  proveedor se vea comprometido al compartimentar la red y limitar el acceso de proveedores. Por último, los contratos pueden exigir el cumplimiento del proveedor de las políticas de seguridad de la información a través de auditorías y sanciones potenciales.

Para algunas organizaciones, la implementación de estos cambios parecerá una tarea de enormes proporciones. Sin embargo, tomando una lección de Target, es mucho mejor trabajar ahora para asegurar a los proveedores externos, antes de que ocurra una violación, que trabajar horas extras después para limpiar una brecha que se podría haber evitado.

Sobre el autor: José Granneman es un experto deSearchSecurity.com en la gestión de seguridad de la información. Cuenta con más de 20 años de experiencia en tecnología, centrado principalmente en la tecnología de la información en el campo de salud. Es un activo autor independiente y presentador en los campos de tecnología de la información para salud y seguridad de la información. Con frecuencia es consultado por los medios de comunicación y entrevistado sobre diversos temas de tecnología de información relacionada con salud y seguridad. En los últimos diez años, se ha centrado en cumplimiento y seguridad de la información en entornos de nubes, con muchas implementaciones diferentes en las industrias de servicios médicos y financieros.

Este artículo se actualizó por última vez en junio 2014

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Guía Esencial

Guía Esencial: Mejores prácticas para el gobierno de TI en las empresas

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close