Es probable que el ecosistema de terceros de su organización sea más grande que nunca, lo que aumenta su vulnerabilidad ante el ransomware, la exposición de credenciales y datos, las interrupciones tecnológicas, los ataques de denegación de servicio y otras amenazas. Si ha leído los últimos titulares relacionados con violaciones de seguridad, no le sorprenderá que los ataques a sus socios, proveedores y prestadores de servicios puedan tener consecuencias devastadoras para su reputación y sus resultados financieros. Afortunadamente, el Instituto Nacional de Estándares y Tecnología (NIST) ofrece orientación práctica sobre cómo manejar los ciberataques que afectan a su organización y a sus terceros.
Aplicación del marco de gestión de incidentes NIST SP 800-61 al riesgo de terceros
La Guía para la gestión de incidentes de seguridad informática del NIST, SP 800-61, establece cuatro fases fundamentales que los equipos de seguridad deben tener en cuenta en sus programas de gestión de incidentes. A continuación se resumen cada una de las fases, con notas adicionales sobre dónde entra en juego la gestión de riesgos de terceros. Asegúrese de consultar la publicación del NIST para obtener una guía completa y detallada.
Preparación
- Planes de comunicación: Comience por crear listas de contactos, planes de comunicación y procedimientos de escalamiento. Asegúrese de incluir a terceros clave en sus planes de comunicación y recopile información sobre sus contactos de emergencia y vías de escalamiento. Esto también será útil en la fase 2: Detección y análisis.
- Instalaciones: Establecer salas de guerra internas e instalaciones de almacenamiento seguras.
- Tecnología: Asegúrese de que los equipos de respuesta tengan acceso a hardware (ordenadores portátiles, servidores, dispositivos de copia de seguridad) y software (por ejemplo, analizadores de paquetes, analizadores de protocolos, software forense, seguimiento de incidencias e imágenes de instalaciones limpias para la restauración y recuperación) para el análisis de incidentes.
- Documentación: Documentar los recursos de análisis de incidentes, incluyendo listas de puertos, tecnología (por ejemplo, sistemas operativos y aplicaciones en uso), diagramas de red, líneas de base de la actividad de red esperada y mucho más.
- Prevención: Implemente software de seguridad para el host, la red y el malware. Realice evaluaciones de riesgos internas y externas y establezca un programa de formación en materia de seguridad.
Detección y análisis
- Vectores de ataque: tenga en cuenta todas las vías que pueden utilizar los atacantes para llegar a su organización (por ejemplo, ataques a aplicaciones web, phishing, suplantación de identidad, uso indebido, pérdida o robo de equipos, etc.). Asegúrese de mapear sus conexiones y relaciones con terceros y cuartos como parte de este proceso.
- Señales de un incidente: Busque precursores de posibles incidentes futuros e indicadores de incidentes que ya se han producido. Aquí es donde los servicios de supervisión de riesgos de terceros resultan útiles para analizar fuentes públicas y privadas de inteligencia sobre amenazas.
- Análisis de incidentes: Intente determinar si realmente se ha producido un incidente
investigando la precisión de los precursores e indicadores descritos en el paso anterior. La norma NIST SP 800-61 establece varias recomendaciones para facilitar y hacer más eficaz el análisis. - Documentación de incidentes: Implemente un sistema de seguimiento de incidencias para registrar toda la información pertinente sobre cada incidente. Las plataformas de gestión de riesgos de terceros suelen ofrecer funciones de gestión de documentos para el seguimiento de incidencias de los proveedores.
- Priorización de incidentes: debido a las inevitables limitaciones de recursos, el NIST recomienda priorizar los incidentes en función de su impacto funcional, su impacto en la información y su capacidad de recuperación. Clasificar a sus proveedores y distribuidores para su supervisión y evaluación en la parte frontal puede ayudarle a estar preparado para responder adecuadamente cuando se produzcan incidentes.
Contención, erradicación y recuperación
- Contención: aquí es donde los equipos de seguridad intentan «detener la hemorragia» y minimizar el impacto de un incidente. Las tácticas de contención varían según el tipo de incidente y pueden incluir la suspensión de una cuenta de usuario errónea, el bloqueo del tráfico de red, la puesta en cuarentena de sistemas, el redireccionamiento de los atacantes a un entorno aislado y otras acciones. Para decidir el curso de acción hay que sopesar varios criterios, como el daño potencial, la necesidad de preservar las pruebas, la disponibilidad del servicio, los recursos disponibles y otros.
- Recopilación de pruebas: Aunque es necesaria para resolver el incidente, la recopilación de pruebas también es fundamental para informar cualquier procedimiento legal posterior. Es importante obtener asesoramiento legal sobre los requisitos de recopilación y conservación de pruebas para garantizar que estas sean admisibles en los tribunales.
- Identificación de atacantes: Aunque la norma NIST SP 800-61 hace hincapié en la necesidad de centrarse en la contención, la erradicación y la recuperación, la guía indica algunas formas de identificar potencialmente a los hosts atacantes. Entre ellas se incluyen la validación de las direcciones IP de los hosts atacantes, la investigación en motores de búsqueda, las bases de datos de incidentes y la supervisión de los canales de comunicación de los atacantes. Las soluciones de supervisión de riesgos de terceros pueden ayudar en estas tareas.
- Erradicación y recuperación: La erradicación es el proceso de eliminar el malware, desactivar las cuentas comprometidas y mitigar las vulnerabilidades explotadas, mientras que la recuperación es el proceso de restaurar los sistemas para que vuelvan a funcionar con normalidad. Los proveedores externos de gestión de riesgos suelen ofrecer servicios de reparación para ayudar a resolver los problemas de seguridad.
Actividad posterior al incidente
- Identificar las lecciones aprendidas: Organice una sesión informativa para revisar el incidente, cómo se gestionó y cómo mejorar la gestión de incidentes en el futuro. Los informes resultantes pueden utilizarse para la comunicación interna y la formación, así como para actualizar los procesos documentados.
- Aprovechamiento de los datos sobre incidentes: datos como el número de incidentes, el tiempo dedicado a gestionarlos y las evaluaciones objetivas y subjetivas de los mismos pueden utilizarse para varios fines, entre ellos identificar debilidades sistémicas en materia de seguridad y justificar inversiones adicionales. Una aplicación para la gestión de riesgos de terceros es identificar controles adicionales que deben tenerse en cuenta en las evaluaciones de riesgos de los proveedores.
- Creación de una política de conservación de pruebas: El último paso consiste en definir una política para conservar las pruebas de incidentes basada en su posible uso en casos legales, políticas más amplias de conservación de datos y restricciones de costes. Una plataforma de gestión de riesgos de terceros puede ayudar a almacenar, etiquetar y catalogar las pruebas y la documentación relacionadas con terceros específicos.
Contabilización de terceros en su estrategia de gestión de incidentes
¿Está listo para tener en cuenta a los proveedores y distribuidores en su planificación para la gestión de incidentes? Comience por plantearse dos preguntas sencillas:
- ¿Hay alguna organización externa conectada a su red? ¿Podrían ser una fuente de infección por malware?
- ¿Algún tercero tiene tus datos en sus entornos? ¿Podrías verte afectado por una infección de ransomware que secuestrara sus almacenes de datos y copias de seguridad?
Si ha respondido afirmativamente a alguna de estas preguntas, es fundamental tener en cuenta el riesgo de terceros en su proceso de gestión de incidentes, tal y como se describe en el resumen anterior del NIST 800-61.
Al mismo tiempo, asegúrese de incorporar preguntas sobre los procesos de gestión de incidentes en sus evaluaciones de riesgos de terceros. Comience con preguntas generales durante la búsqueda y selección de proveedores. Por ejemplo, ¿cuenta el proveedor potencial con un plan de respuesta ante incidentes? A continuación, incluya preguntas sobre sus estrategias específicas de prevención, detección y respuesta ante ataques en las evaluaciones posteriores. Las evaluaciones de riesgos inherentes deben revelar cualquier debilidad notable antes de la incorporación.
Por último, complemente sus evaluaciones periódicas con un seguimiento externo continuo para identificar posibles exposiciones e incidentes de terceros antes de que afecten a su organización.
Garantizar la resiliencia y la disponibilidad en respuesta a infracciones de terceros
Cada vez dependemos más de los productos y servicios de terceros, pero en muchos casos no hemos adaptado nuestros controles y procesos de gestión de incidentes para incluir escenarios hipotéticos relacionados con incidentes y violaciones de seguridad de terceros. Como mínimo, sus prácticas de gestión de riesgos de terceros deben centrarse en mantener la resiliencia y la disponibilidad ante infecciones de malware, exposición de datos, accesos ilícitos o cadenas de suministro comprometidas (por ejemplo, SolarWinds y otros).
Para obtener más información sobre este tema, vea la versión bajo demanda de mi seminario web, Cómo prepararse para el próximo ataque de terceros, o consulte el Servicio de respuesta a incidentes de terceros de Prevalent, que puede ayudarle a descubrir, evaluar y remediar rápidamente los riesgos derivados de las infracciones de los proveedores.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
