Ninguna empresa es una isla. En un mundo conectado, un negocio no puede funcionar sin múltiples relaciones con terceros -proveedores externos, contratistas, afiliados, socios y otros.
Eso puede ser algo muy bueno para hacer crecer un negocio. Pero puede ser una cosa muy mala para la seguridad. Mientras que la información privilegiada descuidada todavía tiende a ser vista por los expertos como el eslabón más débil en la cadena de seguridad, el contratista externo (con su propio grupo de personal interno potencialmente descuidado) ahora comparte ese punto, creando lo que se llama un tanto eufemísticamente un importante “punto de daño”.
Ron Raether y Scot Ganow, abogados en Faruki Irlanda & Cox, señalaron en un reciente white paper, para NetDiligence, que mientras que los servidores de seguridad, las credenciales de usuario y las contraseñas seguras siguen siendo importantes, la protección que proporcionan es incompleta.
El explosivo número de los puntos de acceso en línea a las empresas significa que “nuestra fortaleza amurallada de firewalls y similares ahora tiene cientos y miles de puertas. Estas puertas están custodiadas por centinelas que permiten que cualquier variable de paquetes (imaginemos un fotochek de empleado sin una foto) pase a través de esa pared”, escribieron en el artículo titulado “Traidores entre nosotros: El riesgo de los empleados, contratistas y terceros en la era de la Internet de las cosas, y por qué la seguridad en profundidad sigue siendo fundamental para la gestión del riesgo“.
La brecha de seguridad de alto perfil, en diciembre pasado, del retailer Target, habilitada por un ataque de phishing de correo electrónico a un contratista del sistema de calefacción, aire acondicionado y refrigeración, es solo un ejemplo: Un empleado de ese contratista hizo clic en un enlace malicioso, lo cual condujo al compromiso de millones de tarjetas de crédito.
Paul Trulove, vicepresidente de gestión de productos de SailPoint, señala que amenazas similares son “muy comunes, especialmente dentro de los sectores de comunicaciones y de TI. Apenas el mes pasado, AT&T reveló que la información personal de sus clientes de telefonía móvil, se ha visto comprometida por uno de sus proveedores terceros”, comenta. “La brecha permitió a empleados de un proveedor de servicios acceder a información de las cuentas de cliente, incluyendo fechas de nacimiento y números de Seguro Social”, agrega.
Este no es un problema nuevo. MacDonnell Ulsch, CEO y analista jefe de Investigación de Riesgos de Zero Point, escribió hace casi un año en SearchSecurity que, “casi sin excepción, un proveedor tercero o afiliado está involucrado”, en un ataque cibernético exitoso.
Hay una variedad de razones para que ocurra el daño. Jody Westby, directora general de Global Cyber Risk, señala que una de las principales es que muchas empresas no se han centrado en la seguridad en los contratos con socios de terceros. “La mayoría de las empresas apenas han comenzado a poner sus brazos alrededor de la gestión de los problemas de seguridad asociados con las funciones de outsourcing de TI y de procesos de negocios, con un alcance del tamaño de los brazos de estos”, anota.
“Las empresas descubren que tienen poco poder de negociación al solicitar medidas de seguridad de estos proveedores. El mercado de terceros floreció y aprovechó la oportunidad antes de que sus clientes piensen en requerir medidas de seguridad como parte del trato. Pero la realidad es que los proveedores de terceros son ricos blancos “, agrega.
Otra razón es que no siempre se hace seguimiento del acceso de terceros como se hace con los empleados regulares. “Con base a la longevidad de una relación y las interacciones personales, los niveles de confianza en terceros algunas veces satisfacen o exceden el nivel de confianza del personal interno”, escribe Ulsch.
Trulove está de acuerdo. “Ellos no son empleados asalariados, por lo que a menudo no pasan por Recursos Humanos al entrar en una organización, y no se realiza un seguimiento a través de cualquier sistema centralizado”, anota. “Irónicamente, muchos de los contratistas tienen el mismo acceso que un empleado permanente -o un acceso aún más profundo en los casos en que se subcontrata una función de TI”, añade.
Una tercera razón es que los foráneos, en general, traen su propio hardware y software con ellos, el cual fue, y seguirá siendo, utilizado en otras redes que no pueden haber estado seguras -algo que los expertos llaman “falta de higiene”.
Ese problema puede ser exacerbado por la realidad de que las empresas se centran más en el precio que en la seguridad cuando externalizan servicios. James Arlen, consultor senior de seguridad en Leviathan Security Group, lo llama una “brecha de madurez”, donde las empresas subcontratan a proveedores que son “potentes, ingeniosos y baratos… pero son el eslabón débil a través del cual ocurren cosas malas”.
Y de acuerdo con Trulove, el uso de terceros está aumentando. Citó estadísticas que muestran que los trabajadores contratados han aumentado en menos de la mitad del 1% al 2,3% desde la década de 1980; y que el 42% de los empleadores tiene la intención de contratar a trabajadores temporales o contratados este año -hasta un 14% en los últimos cinco años.
¿Cómo pueden las empresas reducir esos riesgos? Hay un número de maneras. Entre los fundamentos están cambiar las contraseñas en todos los dispositivos conectados de una empresa, y que sus contratistas compren y utilicen autenticación tanto basada en el riesgo como en factor múltiple -el tipo de cosas que Arlen llama “Infosec 101”.
Es evidente que hay una mejor seguridad que eso, señala, “pero no estamos haciendo un buen trabajo con las cosas básicas que hemos visto en detalle durante los últimos 15 años”.
Más allá de los conceptos básicos, los expertos anotan que es obligatorio que las empresas presten mucha más atención a sus contratos con terceros -Acuerdos de Nivel de Servicio (SLA) o acuerdos de Asociados comerciales (BAA).
Ulsch escribió que esos contratos deben cumplir, como mínimo, con los siguientes componentes:
- Seguridad de la información;
- Privacidad de la información;
- Análisis de amenaza y riesgo;
- Rango de obligación de cumplimiento;
- Mecanismos de aplicación;
- Acceso a la auditoría interna y requisitos de divulgación;
- Gestión de prácticas corruptas externas.
Raether y Ganow recomiendan que un BAA debería exigir a los contratistas terceros “cumplir con el mismo marco de seguridad impuesto en la compañía”. Y, “en su caso, las empresas deben garantizar el derecho a auditar a sus contratistas externos y, a continuación, a completar realmente tales auditorías”.
Trulove ofreció varias recomendaciones para lo que él llama una “estrategia de gestión de la identidad basada en la de gobernanza”, que incluye:
1. Revisión continua de a qué información pueden acceder los contratistas, para asegurarse de qué es apropiada para el trabajo que están haciendo. Para ello, una empresa necesita un sistema que permita una visibilidad centralizada en ese acceso.
2. Debido a que los contratistas suponen un riesgo de seguridad mayor para la red, crear un modelo de identidad del riesgo para comprender mejor dónde están los puntos candentes. Detalles como si este contratista está trabajando con un competidor son críticos.
3. Tras la rescisión de un contrato, limpiar el entorno de acceso. Simplemente cortar el acceso de red no es suficiente. Poner un sistema automatizado en lugar de finalizar todos los accesos al igual que lo haría para un empleado. Durante el trabajo, capture la duración y la naturaleza del contrato, de modo que el acceso expire automáticamente”.
Aún con todo eso, Ulsch señala que proteger la integridad de la información sigue siendo la principal responsabilidad de la empresa. “Aunque diversas regulaciones podrían mantener a los terceros como responsables, nunca asuma que la obligación de cumplimiento es asignable a otra empresa”, escribe.
Por último, Arlen señala que una debilidad importante en los BAA o SLA es que demasiado a menudo están “enfocados en una regulación específica de cumplimiento -ya sea PCI o HIPAA- lo cual no es en sí mismo una cosa de ‘seguridad’, sino más bien un ‘cubre-espaldas en esas formas específicas’.
“La solución que necesitamos es el meta-cumplimiento -la seguridad real en lugar del teatro que huele a seguridad”, finaliza.
Taylor Armerding, CSO (EE.UU.)