Llegamos a ustedes gracias a:



Columnas de opinión

El problema con las evaluaciones de terceros

Si deja que un cliente realice pruebas de seguridad en contra de sus aplicaciones y de su red, se comerá muchos dolores de cabeza.

[16/01/2017] Cuando se trata de seguridad más es siempre mejor ¿no cierto?

Eso suena muy bien en teoría; pero en la práctica, puede causar problemas. Por ejemplo, siempre me he resistido a permitir que cualquiera de nuestros más de 20 mil clientes realice otras evaluaciones a nuestras medidas de seguridad. Cada cierto tiempo revalúo esa política, pero ahora la estoy siguiendo. Les explicaré porqué.

Trouble Ticket

En cuestión: Los clientes potenciales, a menudo, quieren hacer evaluaciones de seguridad independientes. 

Plan de acción: Manténgase firme en contra de la práctica y explique la razón por la cual no es una buena idea.

Mi equipo pasa más del 20% de su tiempo llenando cuestionarios, realizando revisiones del contrato relacionadas con la seguridad, respondiendo a solicitudes de información y participando en reuniones de compromiso de ventas para abordar la seguridad y la privacidad. Repetidamente, encontramos que los potenciales clientes quieren realizar evaluaciones de seguridad de nuestras aplicaciones e infraestructura, usando ya sea sus propios recursos o los de otros. Sería solo cuestión de que ejecuten una herramienta como Nessus, Qualys o Nmap.

Mi respuesta es no. El prospecto luego dice algo como "¿Qué está tratando de esconder?" o "¿Cómo podemos confiar en usted?" o "Usted deberían recibir una evaluación gratuita" o "No podemos avanzar sin nuestra propia evaluación".

Tengo mis razones, por supuesto, pero primero necesito explicar que, como parte de muestro programa de gestión de riesgos, realizamos evaluaciones internas y de terceros de manera regular de nuestras dos aplicaciones e infraestructura. Los terceros con los que trabajamos son firmas de renombre limitadas por estrictas declaraciones de trabajo y acuerdos de no divulgación (NDA). Siempre programamos la actividad para las horas libres y la anunciamos a los departamentos relevantes, porque las actividades de evaluación pueden resultar en problemas de desempeño u otras anomalías.

Luego, le doy a los prospectos un resumen ejecutivo discutiendo el compromiso, que incluye resultados de alto nivel y la conclusión de si las defensas fueron penetradas. También les muestro el 

SSAE 16 SOC 1, SOC 2, PCI y otros informes de cumplimiento. En la mayoría de los casos, las empresas están satisfechas. 

Pero, a menudo, tengo que explicar la filosofía detrás de esa posición. En mi experiencia, permitir una evaluación externa una vez, puede abrirle la puerta a evaluaciones no anunciadas que resultan en una respuesta ante incidentes innecesaria. Cuando esperamos una evaluación de terceros, suprimimos nuestra respuesta. Sabiendo que una evaluación está en progreso, un intento de acceso no autorizado se atribuye a las pruebas de penetración, por lo que no compartimos inteligencia con la comunidad de seguridad, bloqueamos el rango de direcciones IP de la IP intrusa y, reportamos el incidente a la aplicación de la ley o contactamos con el proveedor de servicio de internet asociado con el rango de direcciones IP para reportar el abuso. Si no sabemos que se está realizando una evaluación, cualquiera de esas respuestas podría ser vergonzosa para nuestro cliente o para el tercero que lleva a cabo la evaluación.

Asimismo, cuando tiene miles de clientes podría encontrarse suprimiendo la respuesta ante incidentes prácticamente todo el tiempo, lo cual difícilmente conduce a una mejor seguridad.

Otra cuestión es que, debido a que muchos de nuestros clientes son pequeños negocios con recursos limitados, están inclinados a contratar las firmas más baratas para llevar a cabo evaluaciones de terceros, y es probable que estas no tengan experiencia. No tengo tiempo para investigar a un montón de terceros, especialmente si están offshore, como ocurre cuando el costo es una alta prioridad. Hace muchos años, antes de que aprendiera a simplemente decir que no, dejé que un cliente realizará una evaluación a través de un tercero, solo para darme cuenta después que este había tercerizado el trabajo. El resultado fue una interrupción causada por un ataque de denegación del servicio sin previo aviso, que requirió que le paguemos a los clientes por violar nuestros acuerdos de servicio. Otra vez, un cliente que identificó algunos problemas de seguridad sensibles los reveló en un foro público, lo que afectó a nuestra marca.

También le digo a nuestros clientes, "mira, nuestra aplicación procesará muchos de sus datos sensibles, incluyendo información financiera, de salud y de identificación personal. Sé que quiere ser diligente en asegurar la seguridad de esa información, pero si le permitimos hacer sus propias pruebas, tendríamos que dejar que todos nuestros clientes tengan el mismo privilegio. ¿Realmente quiere que tengamos una política de escaneo abierta?"

Quizás su situación es lo suficientemente diferente como para permitir a los clientes llevar a cabo sus propias evaluaciones de su seguridad. Sin embargo, si lo hace, espero que tenga un programa estricto para investigar a sus clientes o sus vendedores, realizar controles de referencias, abordar asuntos legales, preparar declaraciones de trabajo y NDAs, programar y rastrear actividades de evaluación, y monitorear esa actividad. Si no, creo que está buscando problemas.

El diario de esta semana está escrito por un verdadero administrador de seguridad, "Mathias Thurman", cuyo nombre y empleador han sido ocultados por obvias razones. Contáctelo a la siguiente dirección de correo electrónico: mathias_thurman@yahoo.com.