La Nota Económica

Mejores prácticas para mitigar los riesgos asociados al acceso de terceros

Picture of La Nota Económica

La Nota Económica

Categoría: Noticias
Ciberseguridad.

En los últimos años el mundo se ha enfrentado a diversos cambios que implican la hiperconexión y por lo tanto ser más digitales. De repente el trabajo híbrido o remoto se convirtió en una realidad y ahora los líderes de ciberseguridad de la región pueden estar preguntándose «¿Cuán seguro es mi entorno?».

En los últimos años el mundo se ha enfrentado a diversos cambios que implican la hiperconexión y por lo tanto ser más digitales. De repente el trabajo híbrido o remoto se convirtió en una realidad y ahora los líderes de ciberseguridad de la región pueden estar preguntándose «¿Cuán seguro es mi entorno?».

Es claro que los proveedores y otros socios «de confianza» se conectan a diferentes entornos, los responsables de TI son conscientes de ello. Pero si pueden decir con confianza cuándo se conectan los empleados y qué hacen cuando se conectan, ¿pueden informar con una certeza similar sobre la actividad de terceros?

Actualmente, las leyes cada vez son más rigurosas, las empresas deben ser capaces de informar sobre lo que hacen los proveedores con sus datos y hasta qué punto su infraestructura tecnológica se ajusta a sus obligaciones legales.

Los riesgos

Proveedores de varias industrias suelen acceder a la red de una empresa diferente cada semana y algunas organizaciones consideran que esos accesos conducen directamente a una brecha. Consultores, proveedores de servicios, contratistas y muchos otros acceden rutinariamente a sistemas que se encuentran a pocos saltos laterales de las áreas sensibles.

Una auditoría inadecuada de las cuentas de terceros puede dar lugar a una serie de problemas. Puede que introduzcan malware directamente o una cuenta huérfana es utilizada semanas o meses después por un actor de amenazas. Es demasiado fácil, especialmente cuando una cuenta no se utiliza, que un malintencionado obtenga acceso a los sistemas controlados por el proveedor y explote sus vulnerabilidades, moviéndose de nodo en nodo, de recurso en recurso, obteniendo el control sobre los activos y estableciéndose como un «insider» autorizado.

Las VPN se utilizan habitualmente como método seguro de acceso de terceros, pero los privilegios que conceden restan controles vitales a la función de seguridad. “El malware puede seguir aprovechándose de las sesiones de los proveedores porque la cuenta de terceros tiene un acceso innecesariamente privilegiado. El principio del mínimo privilegio se aplica tanto a las agencias externas como a los empleados. Las mejores prácticas, como la gestión de contraseñas y la auditoría de sesiones, son fundamentales”, afirma Josué Ariza, Gerente de Territorio de BeyondTrust.

Los objetivos

Por difícil que pueda parecer, lo ideal aquí es aplicar una política, exigir y hacerla cumplir son, por supuesto, dos cosas diferentes, pero se debe encontrar una manera de asegurar que las contraseñas de los proveedores se roten con regularidad y que no se hayan visto comprometidas. Un sistema privilegiado de gestión de contraseñas es una opción.

Debe implementarse un acceso controlado y muy visible a la red de entrada, regido por modelos de acceso con mínimos privilegios. Los vendedores no suelen necesitar acceso de administrador para realizar sus tareas. También ayuda utilizar un modelo “just in time” concediendo privilegios de acceso a medida que se necesitan y asegurándose de que caducan en cuanto dejan de ser necesarios. Toda la actividad debe ser totalmente supervisada y auditable para permitir una sólida capacidad forense en caso de que se produzca una infracción.

La solución

Los equipos de TI deben ser capaces de controlar, gestionar y auditar el acceso y la actividad de cualquier cuenta de red, ya sea propiedad de un empleado o de un agente externo. Ariza comenta que “las soluciones deben, naturalmente, integrarse en los flujos de trabajo y las operaciones empresariales, por lo que no deben obstaculizar el rendimiento de las personas o los sistemas. Pero, como mínimo, deben permitir a los equipos de seguridad aplicar las mejores prácticas de mínimos privilegios, como lo hace la herramienta Zero trust”.

Las soluciones deben facilitar la automatización de la autenticación segura y la gestión de contraseñas. Las políticas de contraseñas deben poder ser controladas por el equipo de TI y aplicarse automáticamente después, y el sistema también debe cambiar automáticamente las contraseñas de los usuarios y las claves SSH (protocolo de red que permite acceso remoto a través de una conexión cifrada) con regularidad para prevenir o mitigar los ataques.

Los mercados actuales están llenos de competidores y la competencia es buena para todos. Que las compañías se queden fuera del mercado por una propuesta de valor obsoleta es una cosa, pero quebrar debido al coste alto de una violación de datos causada por un socio comercial al que se le dio un acceso innecesariamente amplio a la red… Pareciera una tragedia pero es una acción que todas las organizaciones requieren evitar.

Picture of La Nota Económica

La Nota Económica

Bogotá será el epicentro latinoamericano del debate farmacéutico en mayo de 2025

FOTO ASINFAR 2
XLVI Asamblea Anual de ALIFAR y Foro Latinoamericano de la Industria Farmacéutica se celebrarán en Colombia. Del 26 al 29...

La compañía Legis, en alianza con la Universidad Ceipa, crean en Colombia la primera carrera de Derecho con soporte en IA 

Sede CEIPA Barranquilla
Este miércoles 14 de mayo, la Fundación Universitaria CEIPA y Legis presentarán en sociedad el primer programa de Derecho que...

La Batalla silenciosa de la Banca: migrando de lo visual a lo transaccional

FA-Banca
Por Pablo Pereyra Portugal, Chief Revenue Officer de 2innovate Desde hace más de una década, las instituciones financieras han abrazado...

Desafíos y oportunidades para la inversión extranjera en Colombia

INVERSION EXTRANJERA
En 2024 se estimó una reducción del 8% en la IED global, lo que refleja incertidumbre en la economía mundial...

Empleo formal en jaque: la urgencia de proteger la flexibilidad laboral en Colombia

Natalia Urrego
Por Natalia Urrego Reyes. Directora de Comunicaciones y Asuntos Corporativos – Acoset. La más reciente alerta sobre la pérdida de...

La Nota Económica en entrevista con Oscar Mauricio Moreno. CEO de F&M Technology – eBill

Mauricio Moreno
Colombia sigue avanzando en la transformación digital de su sistema tributario, apostando por la modernización fiscal con medidas como la...

Más productos
La Nota

La Nota educativa

La Nota Empresarial

Eventos La Nota

Contacto

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus.
Teléfonos:
E-mail: