
[17/12/2022] El experimentado CISO, Mike Manrod, conoce el valor de una buena evaluación de proveedores de ciberseguridad. Recuerda que en un trabajo anterior heredó un vaporware muy caro en virtud de un acuerdo de servicios a largo plazo. Su predecesor había comprado una "innovadora" plataforma beta de gestión de identidades y accesos, pero no había realizado ningún análisis del producto, limitándose a aceptar las afirmaciones del proveedor sobre su eficacia. Fue un fracaso.
A la inversa, como CISO en su actual empresa Grand Canyon Education, Manrod puso a su equipo a evaluar un producto de seguridad de aplicaciones web supuestamente "brillante", solo para descubrir mediante pruebas que su validación del lado del cliente era fácil de eludir y, por tanto, subvertir el producto. Esa prueba básica les salvó de cometer un error caro. "Las startups se están transformando, y a veces vuelven a la mesa de dibujo. No hay nada malo en ello, pero si nosotros, como responsables de seguridad, compramos algo que aún no está listo, la culpa es nuestra", afirma.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Un programa de evaluación maduro comienza con una comprensión clara de un problema y de las soluciones que pretenden resolverlo, afirma Manrod. Un equipo inmaduro, por el contrario, puede perseguir productos sin más motivo que el de que un ejecutivo haya visto algo que le gustó en una conferencia, sin definir antes una necesidad empresarial clara al respecto.
Además, un equipo de evaluación maduro entiende y revisa una amplia gama de soluciones antes de limitarse a las que satisfacen las necesidades definidas por la empresa, afirma Manrod. Las organizaciones maduras también confían más en las pruebas, en lugar de creer a pies juntillas los argumentos de marketing de un proveedor. Por ejemplo, un equipo de pruebas avanzado reproduciría exactamente las tácticas, técnicas y procedimientos (TTP) de un atacante para intentar eludir la herramienta.
No existe un marco universal para investigar a los proveedores de ciberseguridad
Las características más importantes de un programa maduro -formatos de evaluación estándar y procesos repetibles- son prácticamente inexistentes en el sector, lo que obliga a los compradores a desarrollar sus propias listas de comprobación y hojas de cálculo para cada nuevo tipo de solución que estén considerando. Según Chenxi Wang, experto en ciberseguridad y socio director de la empresa de capital riesgo Rain Capital, que actualmente financia 13 nuevas empresas de ciberseguridad, como Living Security y JupiterOne, esto provoca dificultades tanto para el comprador como para el vendedor.
"No existe un marco universal que la gente utilice para evaluar a sus proveedores de seguridad, lo cual es una pena porque la gente replica el trabajo a través de muchos proveedores, productos y servicios diferentes. Y yo estoy en ambos lados de esta cuestión: evalúo empresas con fines de inversión. Luego, una vez que invertimos, estamos en el lado de la venta", afirma. "Me encantaría que hubiera marcos y normas universales. Eso facilitaría mucho el trabajo del lado vendedor: saber qué priorizar y cómo comunicárselo a los clientes".
Parte del problema de estandarizar las evaluaciones de los servicios de seguridad viene de la resistencia de vendedores y probadores, sugiere Simon Edwards, fundador de SE Labs, proveedor británico de evaluación de productos de seguridad. Los vendedores, señala, no quieren críticas porque les cuestan compradores, mientras que los probadores le dicen que en general no les gustan las normas porque limitan, aunque Edwards cree que las normas no son restrictivas según su experiencia. "Otro punto a destacar es que probar productos de seguridad es realmente difícil", añade, debido a la cantidad de tipos de soluciones que hay para resolver un mismo problema, y a las muchas formas en que pueden configurarse e implantarse los productos.
Una evaluación madura del proveedor se ajusta a las necesidades de la empresa
Un proceso de evaluación maduro comienza con la alineación empresa-producto. Por ejemplo, según Edwards, los requisitos del antivirus para los terminales de cajeros automáticos bancarios se centran más en el cumplimiento de normativas, mientras que el antivirus de la portátil de un empleado debe proteger de forma exhaustiva frente a amenazas continuas y cambiantes como el phishing, y las "descargas dudosas" procedentes de casi cualquier lugar de Internet. Esto debe quedar claro en la fase de evaluación de requisitos.
Este nivel de análisis también ayuda a formular las preguntas para determinar los tipos de proveedores, lo que a su vez puede revelar hasta qué punto el proveedor satisface las necesidades de la empresa, afirma Adrián Sanabria, conocido probador de productos y director de gestión de productos del proveedor de gestión de riesgos de la cadena de suministro, Tenchi Security. "¿Resolverá la solución los problemas reales que usted ha identificado? Al hacerlo, ¿reducirá la carga del equipo de seguridad, o requerirá nuevas habilidades y les generará más trabajo?".
A un alto nivel, Sanabria establece los requisitos de evaluación y los indicadores de rendimiento resultantes en torno al esfuerzo menos costoso, la interoperabilidad y la integración y los gastos generales, con métricas de éxito como el tiempo de obtención de valor, la proporción de mano de obra, el costo real del producto y la fiabilidad.
Adaptar la evaluación de proveedores a las normas existentes
Aunque no existen metodologías y procesos estandarizados para evaluar a los proveedores de ciberseguridad, los programas maduros utilizan normas y marcos reconocidos por el sector para establecer requisitos y realizar pruebas en función de ellos. Pero estos marcos no son uniformemente prescriptivos. Por ejemplo, SE Labs sigue la norma AMTSO Testing Protocol para soluciones antimalware, y utiliza lo que Edwards denomina pruebas de cadena de ataque completa, que van más allá del marco ATT&CK de MITRE.
Elegir un marco con antelación es importante para alinear los objetivos empresariales y técnicos, añade Manrod. "El proceso no empieza con la selección de un proveedor. Comienza con una estrategia anclada en algo como el marco ATT&CK de MITRE", afirma. "Si se trata de prevenir ataques contra el correo electrónico, las identidades o los sitios web, hay que determinar las necesidades de cada entorno. Esto le llevará a su categoría de producto. Los requisitos funcionales se definen a partir del marco de ataque y defensa, y luego se ajustan a la tarea exacta que realizará el producto".
Las organizaciones maduras basan sus evaluaciones en marcos adaptados a sus negocios, como NIST CSF, ISO, SOC 2 y otros. A Deloitte, por ejemplo, se le pide a menudo que recopile certificaciones SOC 2 e ISO para socios de seguridad críticos que sus clientes están considerando. Estas solicitudes suelen proceder de clientes reacios al riesgo en sectores como la energía y las finanzas, y muchos de ellos son internacionales, afirma Sharon Chand, responsable de cadena de suministro segura del grupo de ciberriesgos de Deloitte.
Los marcos abordan distintos ámbitos de la seguridad, como proteger, detectar, identificar, responder/recuperar, prosigue. Por tanto, asignar las evaluaciones a estos dominios ayudará a la organización a centrarse en qué tipo de resultados se necesitan de esos servicios de seguridad. Por ejemplo, añade: "¿Estoy comprando un firewall o un producto de confianza cero? ¿O estoy comprando un resultado en torno a una mayor seguridad de mi entorno de control protegido?".
Evaluar al proveedor de ciberseguridad, no solo el producto
Los programas maduros también disponen de medios para evaluar la estabilidad del proveedor. Si el proveedor tiene su sede en un foco político, podría haber interrupciones del servicio, señala Richard Steinnon, que investigó a 2.800 proveedores de seguridad para el Security Yearbook 2022. Un proveedor también debe mostrar crecimiento, por lo que aconseja a los compradores que consulten los informes de los inversores, sigan los antecedentes de liderazgo del fundador o director general y consulten a sus homólogos.
La certificación de proveedores forma parte de un proceso de evaluación maduro. Pero si es el único proceso de evaluación existente, aceptar la palabra del proveedor sin revisiones ni pruebas es un indicador de un proceso de evaluación inmaduro, sostienen los expertos.
Ian Poynter, un CISO establecido que lleva a cabo numerosas evaluaciones de productos de ciberseguridad para clientes corporativos, dice que la certificación se reduce a preguntas y respuestas. "Con un cliente reciente, empezamos con una lista de treinta proveedores del sector. La redujimos a tres y les enviamos una larga lista de preguntas que respondieron durante nuestra demostración".
La forma en que los proveedores responden a las preguntas también es reveladora del proveedor, señala. Por ejemplo, si el proveedor no contesta a la mitad de las preguntas, es señal de que el producto no cumple las normas o de que no responderá como proveedor de servicios. Sin embargo, si esto ocurre con muchos proveedores, podría indicar que las percepciones del comprador no están alineadas con lo que son capaces de hacer los productos de ese espacio, añade Poynter.
Comprobar la eficacia y seguridad del proveedor
Los programas maduros cuentan con procesos para probar la eficacia de los productos, según Sanabria. La profundidad del programa de evaluación depende de la criticidad del servicio de seguridad que se adquiera. Por ejemplo, si un producto es realmente crítico, las pruebas irían más allá de los requisitos funcionales e incluirían pruebas de equipo rojo contra el propio servicio.
Las organizaciones maduras disponen de estas competencias en su seno o tienen fácil acceso a ellas a través de terceros, sugiere Manrod. La clave de un proceso de pruebas maduro, añade, es "probar bajo sus términos con sus casos de uso reales para demostrar si el producto cumple o no su estrategia". La prueba merece la pena. Si su EDR supone un gran gasto, ¿cuánto más cuesta utilizar los conocimientos internos o contratar a un consultor por un día para asegurarse de que su gasto es el adecuado?".
Basado en el artículo de Deb Radcliff (CSO) y editado por CIO Perú