Las violaciones son inevitables debido a la asimetría de los ataques: controles de alfombra versus guerra de guerrillas. Las empresas, independientemente de su tamaño, han sido violadas. Durante años, los líderes de seguridad han hablado sobre el mito de la doctrina de Protección infalible y las razones para mejorar la detección, respuesta y recuperación. Abordamos la necesidad de inteligencia sobre amenazas, búsqueda avanzada de amenazas, respuesta a través de ejercicios prácticos y SIEM (información de seguridad y gestión de eventos) y SOAR (orquestación, automatización y respuesta de seguridad) estrechamente integrados para contener rápidamente las infracciones.
Sin embargo, la mentalidad de Assumed Breach va más allá de los perímetros digitales erosionados: profundiza en la cadena de suministro de software, hardware y servicios. A medida que la superficie de ataque crece exponencialmente con una mayor digitalización y adopción de la nube, el riesgo de terceros se convierte en una preocupación creciente, y aquí es donde la línea se vuelve borrosa.
La subcontratación significa quitarse parte de la responsabilidad y aceptar los riesgos consiguientes, ¿o no? Si bien los líderes de seguridad a menudo hablan de la gobernanza como “hacer bien las cosas correctas”, ¿cómo podemos garantizar que las cosas se hagan realmente correctamente sobre el terreno?
La desafortunada verdad de que los humanos son el eslabón más débil atormenta a todas las organizaciones porque los servicios subcontratados son administrados por personas que tal vez no se sientan tan convencidos como usted acerca de su ciberseguridad. En resumen, lo que falta es piel en el juego.
Es posible que llegue a una etapa en la que sea necesario tomar una decisión, ya sea internamente o aplicar más controles y supervisión. Pero esto va en contra de la intuición de la propuesta de valor fundamental de la subcontratación. Esta es una decisión difícil de tomar. También plantea una pregunta fundamental: ¿por qué subcontratar y adoptar una estrategia que dé prioridad a la nube? ¿Fueron evidentes los riesgos inherentes y realmente se aceptaron los riesgos residuales?
Muchos prefieren quedarse con su pastel y comérselo. Algunos prefieren que las respuestas estén en ceros y unos. Pero es necesaria una cultura madura para internalizar una mentalidad de Supuesta Incumplimiento.
No importa el número de descuidos, fundamentalmente existirá ese riesgo residual adicional que conlleva la subcontratación. Si el compromiso de un proveedor es puramente transaccional, no tiene nada que ver con el juego y no hay sentido de urgencia: puede hacer lo mínimo si su obligación recae en el proveedor de servicios y no en su empresa.
¿Dónde deja esto a los profesionales de la ciberseguridad? Si bien es necesario, hay mucho que hacer con herramientas de postura de terceros y descuidos adicionales. A menos que prefiera gastar muchos más costos y esfuerzos de los que realmente gasta simplemente en la contratación interna, necesitará un marco RACI (responsable, responsable, consultado, informado) sólido y una doctrina sólida de gestión de riesgos en la que todos crean para gestionar y aceptar un mayor nivel de riesgo residual.
El éxito en la optimización de riesgos y los controles de ciberseguridad depende, ante todo, de un marco RACI sólido que se extienda a la aceptación de riesgos, la gestión de incidentes y la recuperación. La evaluación de riesgos debe tener en cuenta que un incumplimiento con el proveedor es inevitable y el propietario del riesgo debe estar bien informado de dicha inevitabilidad.
Al comprender esta inevitabilidad, siempre asuma que su proveedor ha sufrido un incumplimiento y concéntrese en la capacidad de gestionar dichos riesgos. También es importante delimitar a los proveedores para evitar el movimiento lateral hacia su organización, apuntando a sus joyas de la corona.
En última instancia, el éxito de la ciberseguridad en esta era no es la capacidad de prevenir una vulneración, sino la capacidad de interrumpirla, evitando un impacto significativo en la organización, y esto depende de una mentalidad madura para aceptar la inevitabilidad de las vulneraciones más allá del debido cuidado. , garantizando funciones y responsabilidades claras, teniendo un régimen sólido de aceptación y gestión de riesgos, y centrándose en la capacidad de interrumpir con éxito dichas violaciones.
Seguridad, confianza cero