5 minute read
Seguridad estratégica corporativa
Riesgos de ciberseguridad en proveedores
Auditoría y monitorización continua (CA&CM) Las estrategias basadas en la orientación completa del negocio a las necesidades de los clientes han provocado un incremento considerable en el volumen de datos recogidos sobre ellos. Esta tendencia, sumada a la mayor dependencia de los proveedores como estrategia de optimización de costes, entraña nuevos retos para la ciberseguridad y la privacidad a los que las empresas deben hacer frente.
Advertisement
Con el paso de los años, la tecnología ha pasado de ser un área de inversión accesoria, con poco aporte de valor en la organización, a convertirse en un eje esencial, dando lugar a nuevos modelos de negocio basados o soportados en las TIC. Con el incremento de este nivel de dependencia, y motivadas por la optimización de costes, muchas empresas han recurrido a la externalización. Este desarrollo, además, ha permitido un incremento exponencial en el volumen de información recopilada para soportar los procesos y la toma de decisiones. Por otro lado, a medida que los modelos de negocio se han ido orientando hacia el cliente, también ha crecido el volumen y la diversidad de información sobre ellos. En la actualidad, las empresas se ven sujetas a un contexto con mayores niveles de incertidumbre y a un incremento en su exposición a los riesgos —tanto tecnológicos como legales y reputacionales— derivados del uso de la información. En concreto, destacan por su relevancia los siguientes condicionantes para la gestión del riesgo tecnológico: » Los requerimientos regulatorios son mayores, como resultado de un aumento en la tipología de información recopilada sobre los clientes. » Aumento en el número y criticidad de procesos operados por proveedores, lo que implica una mayor dependencia. » Ausencia de visibilidad y capacidad de supervisión sobre los procesos o recursos tecnológicos operados por proveedores con impacto en la empresa. » Falta de madurez los modelos de supervisión del riesgo a un entorno distribuido, en el que la cadena de valor está soportada por diversos proveedores. » No suele existir un criterio claro y estandarizado sobre cómo supervisar el riesgo en los proveedores, salvo por la definición de requerimientos en el contrato, lo que resulta insuficiente. Teniendo en cuenta estas circunstancias, se vuelve necesario desarrollar modelos de supervisión que no requieran una excesiva madurez para su implementación, pero que controlen de forma efectiva los riesgos a los que la empresa está sujeta, incluyendo aquellos resultantes de la externalización.
/ AUDITORÍA Y MONITORIZACIÓN CONTINUA Para lograr una supervisión efectiva de proveedores, debe definirse una estrategia que cumpla con los siguientes requerimientos mínimos: » Priorización. En muchos casos, una gestión completa y homogénea de todos los proveedores no es asumible, por lo que debe determinarse cuáles requieren mayor atención. » Visibilidad. Dependiendo de la criticidad de cada proveedor, existirá un nivel mínimo de visibilidad que este deberá proporcionar para garantizar una adecuada supervisión. » Colaboración. Este es un factor crítico a la hora de garantizar una gestión de los riesgos introducidos por actores externos. » Automatización. A medida que aumentan los actores que se han de supervisar y la complejidad de esta tarea, recurrir a la automatización es vital para asegurar que sea abarcable. » Flexibilidad. Cada proveedor se sitúa en un contexto distinto, por lo que la empresa debe definir estrategias que permitan gestionar el riesgo en entornos muy heterogéneos. » Seguimiento. La empresa debe desplegar procesos que ofrezcan una garantía mínima sobre el cumpli-
CDA
Objetivos de Negocio
CCM
Procesos de Negocio
Reglas de Negocio
Procesos de gestión de información
Analítica de Datos Objetivos de Ciberseguridad
Actividades de Ciberseguridad
Controles
KPI
CRMA
Contexto interno Contexto externo
Mapa de riesgos
Análisis de riesgos
KRI
FIGURA 1 _ Elementos clave de supervisión en CA&CM.
miento de los requerimientos del contrato y la adecuada gestión por parte del proveedor. Considerando estos condicionantes y requerimientos, utilizar procesos de auditoría y monitorización continua (CA&CM) ofrece una alternativa eficiente y efectiva para integrar la supervisión de proveedores en los procesos de análisis y tratamiento de riesgos internos. CA&CM requiere la implantación de tres procesos: aseguramiento continuo de datos (CDA); monitorización continua de controles (CCM) y monitorización y evaluación continua de riesgos (CRMA). Estos procesos se soportan en los elementos clave de supervisión recogidos en la Figura 1 (sombreados en rojo). Estos elementos clave se deben definir partiendo de elementos necesarios para la gestión del riesgo (sombreados en gris). Estos elementos clave de supervisión ofrecen mayor nivel de adaptación y permiten integrar resultados procedentes de fuentes heterogéneas, para mostrar una visión agregada que garantice la priorización y tratamiento de aquellos riesgos de mayor relevancia para la organización, independientemente de sobre qué actor se materialicen. Con estos elementos de supervisión se crea una capa de abstracción sobre los ecosistemas tecnológicos analizados, pertenecientes a los diversos actores involucrados en la cadena de valor. De esta manera, se crearán conjuntos de reglas de análisis, actividades de ciberseguridad, controles, KPI y KRI para cada uno de los actores, lo que garantizará la cobertura de objetivos y riesgos comunes por todos ellos. Estos elementos de supervisión deberán implantarse, medirse y reportarse. Para ello, se define una estrategia de ejecución de la supervisión basada en principios ágiles de gestión. Esta estrategia está basada en la ejecución de las siguientes fases: » Preparación. Desarrollo de los elementos de los que depende el modelo y de las estructuras necesarias para la ejecución, similares a las utilizadas en Scrum. » Planificación. Se identifican y detallan todos los elementos claves de supervisión que se utilizarán en la iteración. » Ejecución. Se genera el aporte de valor al aseguramiento, implantando elementos clave de supervisión. » Revisión. Presentación de resultados a las partes interesadas. » Retroalimentación. Identificación de puntos de mejora del modelo. » Refinamiento. Fase opcional que cubre la definición y detalle de nuevos elementos de supervisión. A medida que se vayan ejecutando iteraciones deberá incrementarse su madurez según una estructura de cuatro niveles: » Inicial. Se cubre un alcance muy limitado para favorecer la familiarización. » Acoplamiento. Se va expandiendo a más procesos y proveedores. » Maduración. Se refinan los elementos clave de supervisión para garantizar que aporten valor al aseguramiento de riesgos de ciberseguridad. » Consolidación. Se mejora el modelo para que se mantenga alineado con las necesidades de la empresa. De esta manera, se obtiene una estrategia que va incrementando sus capacidades a medida que crece la madurez y capacidad de supervisión de la empresa; es posible así elegir hasta qué punto integrar cada uno de los elementos clave en cada uno de los ecosistemas tecnológicos, ya sean propios o de proveedores. El desarrollo completo de este modelo puede encontrarse en el estudio publicado por ISMS-CSA sobre supervisión basada en CA&CM.
Pablo Castaño
Miembro del CTO de Cloud Security Alliance y Analista de Ciberseguridad
BANCO SANTANDER
bancosantander.es
