La Nota Económica

Mejores prácticas para mitigar los riesgos asociados al acceso de terceros

Picture of La Nota Económica

La Nota Económica

Categoría: Noticias
Ciberseguridad.

En los últimos años el mundo se ha enfrentado a diversos cambios que implican la hiperconexión y por lo tanto ser más digitales. De repente el trabajo híbrido o remoto se convirtió en una realidad y ahora los líderes de ciberseguridad de la región pueden estar preguntándose «¿Cuán seguro es mi entorno?».

En los últimos años el mundo se ha enfrentado a diversos cambios que implican la hiperconexión y por lo tanto ser más digitales. De repente el trabajo híbrido o remoto se convirtió en una realidad y ahora los líderes de ciberseguridad de la región pueden estar preguntándose «¿Cuán seguro es mi entorno?».

Es claro que los proveedores y otros socios «de confianza» se conectan a diferentes entornos, los responsables de TI son conscientes de ello. Pero si pueden decir con confianza cuándo se conectan los empleados y qué hacen cuando se conectan, ¿pueden informar con una certeza similar sobre la actividad de terceros?

Actualmente, las leyes cada vez son más rigurosas, las empresas deben ser capaces de informar sobre lo que hacen los proveedores con sus datos y hasta qué punto su infraestructura tecnológica se ajusta a sus obligaciones legales.

Los riesgos

Proveedores de varias industrias suelen acceder a la red de una empresa diferente cada semana y algunas organizaciones consideran que esos accesos conducen directamente a una brecha. Consultores, proveedores de servicios, contratistas y muchos otros acceden rutinariamente a sistemas que se encuentran a pocos saltos laterales de las áreas sensibles.

Una auditoría inadecuada de las cuentas de terceros puede dar lugar a una serie de problemas. Puede que introduzcan malware directamente o una cuenta huérfana es utilizada semanas o meses después por un actor de amenazas. Es demasiado fácil, especialmente cuando una cuenta no se utiliza, que un malintencionado obtenga acceso a los sistemas controlados por el proveedor y explote sus vulnerabilidades, moviéndose de nodo en nodo, de recurso en recurso, obteniendo el control sobre los activos y estableciéndose como un «insider» autorizado.

Las VPN se utilizan habitualmente como método seguro de acceso de terceros, pero los privilegios que conceden restan controles vitales a la función de seguridad. “El malware puede seguir aprovechándose de las sesiones de los proveedores porque la cuenta de terceros tiene un acceso innecesariamente privilegiado. El principio del mínimo privilegio se aplica tanto a las agencias externas como a los empleados. Las mejores prácticas, como la gestión de contraseñas y la auditoría de sesiones, son fundamentales”, afirma Josué Ariza, Gerente de Territorio de BeyondTrust.

Los objetivos

Por difícil que pueda parecer, lo ideal aquí es aplicar una política, exigir y hacerla cumplir son, por supuesto, dos cosas diferentes, pero se debe encontrar una manera de asegurar que las contraseñas de los proveedores se roten con regularidad y que no se hayan visto comprometidas. Un sistema privilegiado de gestión de contraseñas es una opción.

Debe implementarse un acceso controlado y muy visible a la red de entrada, regido por modelos de acceso con mínimos privilegios. Los vendedores no suelen necesitar acceso de administrador para realizar sus tareas. También ayuda utilizar un modelo “just in time” concediendo privilegios de acceso a medida que se necesitan y asegurándose de que caducan en cuanto dejan de ser necesarios. Toda la actividad debe ser totalmente supervisada y auditable para permitir una sólida capacidad forense en caso de que se produzca una infracción.

La solución

Los equipos de TI deben ser capaces de controlar, gestionar y auditar el acceso y la actividad de cualquier cuenta de red, ya sea propiedad de un empleado o de un agente externo. Ariza comenta que “las soluciones deben, naturalmente, integrarse en los flujos de trabajo y las operaciones empresariales, por lo que no deben obstaculizar el rendimiento de las personas o los sistemas. Pero, como mínimo, deben permitir a los equipos de seguridad aplicar las mejores prácticas de mínimos privilegios, como lo hace la herramienta Zero trust”.

Las soluciones deben facilitar la automatización de la autenticación segura y la gestión de contraseñas. Las políticas de contraseñas deben poder ser controladas por el equipo de TI y aplicarse automáticamente después, y el sistema también debe cambiar automáticamente las contraseñas de los usuarios y las claves SSH (protocolo de red que permite acceso remoto a través de una conexión cifrada) con regularidad para prevenir o mitigar los ataques.

Los mercados actuales están llenos de competidores y la competencia es buena para todos. Que las compañías se queden fuera del mercado por una propuesta de valor obsoleta es una cosa, pero quebrar debido al coste alto de una violación de datos causada por un socio comercial al que se le dio un acceso innecesariamente amplio a la red… Pareciera una tragedia pero es una acción que todas las organizaciones requieren evitar.

Picture of La Nota Económica

La Nota Económica

Amazon Prime Day 2025 hoy: El 87% de los 1.000 dominios asociados a Amazon Prime Day se han catalogado como maliciosos

Imagen Check Point Scams
Solo en junio de 2025, aparecieron más de 1000 dominios recién registrados que se asemejan a los de Amazon. Mientras...

La Nota Económica en entrevista con Kazuyoshi Kato, gerente general de Daiichi Sankyo Colombia

Kazuyoshi Kato
“Confianza, ejemplo y cooperación son la base de un liderazgo sostenible” Kazuyoshi Kato, o simplemente Kazu, como lo llama su...

El 38 % de las Fintech colombianas ya desarrolla su propia inteligencia artificial, mostrando la madurez del ecosistema

Foto de familia
Con más de 410 Fintech locales activas en el país, el ecosistema no solo crece en volumen, sino que acelera...

Artesanías de Colombia llega al Museo Nacional

IMG-20250708-WA0004
El Museo Nacional de Colombia celebra su aniversario 202 en este mes de julio con la reapertura de la Tienda...

Cada fin de semana será un homenaje a las mejores del mundo

Movich - Familia
Las cazuelas saltaron de los hogares colombianos al estrellato. Conoce y degusta en Ébano Bogotá, uno de los mejores platos...

Scotiabank es reconocido como el Mejor Banco en Pagos y Recaudación en América Latina

Scotiabank (1)
  Colombia se destaca por sus fortalezas en recaudación, con una gama de soluciones adaptada a las necesidades de las empresas...

Más productos
La Nota

La Nota educativa

La Nota Empresarial

Eventos La Nota

Contacto

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus.
Teléfonos:
E-mail: