Confianza cero para gestionar la seguridad de la cadena de suministro

O por qué lo cuestionarios a proveedores no son suficientes.
El concepto de confianza cero (zero-trust) fue utilizado por primera vez por John Kindervag en 2009 (a la sazón consultor de Forrester) y se basa en que la confianza puede ser una vulnerabilidad del sistema y, por ello, la seguridad debe ser diseñada con la estrategia de "Nunca confiar, siempre verificar".
Aunque suene excesivo tenemos que pensar que era el momento de aúge de las redes de robots que convertían los equipos en zombies para hacer con ellos lo que querían. Kindervag, al fin y al cabo lo que proponía era que, por el mero hecho de que una solicitud de conexión viniera de un equipo en el que un usuario se había autenticado no podíamos inferir que la solicitud había sido realizada por dicho usuario y que, por tanto, era legítima, puesto que podía ser consecuencia de algún malware instalado en el equipo.
Este concepto de confianza cero ha evolucionado desde entonces y goza ahora mismo de su mejor salud, habiendo evolucionado hacia otros ámbitos de la ciberseguridad. Esta entrada, de hecho, busca explorar su aplicación en el mundo de la gestión de riesgo de terceros (en línea con lo propuesto por el World Economic Forum recientemente). El planteamiento del World Economic Forum es que "no se puede continuar simplemente confiando en que tu proveedor es seguro - tiene que verificarlo pero, ¿cómo?"
"Más que asumir que una compañía o producto con el que estás trabajando es seguro, un enfoque tipo confianza cero requiere la verificación de todos los activos, cuentas de usuario o aplicaciones", Dmitry Samarstev (BI.ZONE)
Evidentemente, esto supone que nos enfrentamos a un dilema: Por una parte lo ideal parece ser verificar a todos los proveedores y terceros en general; pero por otro lado, no disponemos los recursos para abordar la tarea.
En nuestra opinión, ambos enfoques son compatibles aplicando un enfoque basado en el impacto potencial del tercero. ¿A qué nos referimos? Aplicar la filosofía de confianza cero a aquellos proveedores y productos con un impacto potencial superior a nuestro umbral de tolerancia al riesgo. ¿Y qué hacemos con el resto? El resto pueden someterse a otro tipo de validaciones más ligeras: auditorías a distancia o documentales o incluso declaraciones responsables para los menos críticos.
De esta manera, cuánto menor sea nuestra apetito por el riesgo más extensivos serán nuestros procesos de auditoría de terceros y, al revés.
Corolario 1: Utilizar sólo cuestionarios de auto-evaluación no es aceptable. Si nos limitamos a enviar cuestionarios a los terceros, no estaremos realizando ningún tipo de evaluación. Los proveedores tienen un gran incentivo a contestar afirmativamente las cuestiones planteadas puesto que son conscientes de que, de no hacerlo, no podrán trabajar con nosotros. En nuestra opinión, esta es la peor opción posible porque transmite una falsa sensación de seguridad al resto de la organización que conduce, indefectiblemente, a tomar malas decisiones puesto que no conocemos realmente el nivel de seguridad de dichos terceros.
Corolario 2: El apetito por el riesgo define la amplitud de las evaluaciones, y no al revés. No debemos dejarnos influir por nuestra capacidad de realizar auditorías para establecer las evaluaciones a terceros, sino que debemos establecer nuestras necesidades en función del riesgo que queramos asumir. Pero, ¿qué pasa si no puedo hacer más auditorías? En nuestra opinión, lo importante es que el tercero venga auditado, no que lo audite el usuario. ¿Qué quiere esto decir? Por ejemplo, que si el tercero nos presenta una calificación de seguridad emitida por LEET Security sabremos que el servicio ha sido auditado por un tercero independiente y podemos saber qué ha sido auditado gracias a la metodología de calificación pública con la que se puede mapear cualquier marco de control y/o estándar aplicable.
Colorario 3: Los cuestionarios no siempre son veraces y dignos de confianza. Por ejemplo, el proceso para que un servicio obtenga una calificación de ciberseguridad de LEET Security se inicia con la cumplimentación, por parte del cliente, de un completo cuestionario. Este cuestionario es la base, pero funciona sólo como una referencia, pues cada uno de los puntos es posteriormente auditado. Aún así, es nuestra experiencia que alrededor del 80% de los cuestionario son respondidos siempre de manera afirmativa, aun cuando no siempre es del todo cierto y el cliente sabe que será auditado.
En resumen

 

1.        Es ineludible aplicar la filosofía de "Nunca confiar, siempre verificar" a nuestra cadena de suministro según nuestro apetito por el riesgo.
2.        Pensemos que existen más opciones que nuestros propios recursos para llevar a cabo las evaluaciones (auditorías compartidas, calificaciones, etc.)
3.        No generemos una falsa sensación de seguridad basando nuestras evaluaciones exclusivamente en auto-evaluaciones. Nos jugamos demasiado.

All you need is LEET!

 

Recibe nuestras notificaciones desde este enlace