Con organizaciones de todo el mundo que enfrentan una escasez de habilidades sin precedentes, y con el mundo del trabajo aún recuperándose después de la interrupción de la pandemia, no es raro que las empresas busquen soporte externo en proveedores externos.

Pero con esta mayor dependencia de los proveedores, contratistas, autónomos y otros trabajadores externos, las organizaciones sin darse cuenta se vuelven más vulnerables a los ataques cibernéticos. Para hacer el trabajo para el que han sido contratados, estas entidades de terceros necesitan acceso a todas las partes relevantes de la organización para la que trabajan; estas pueden estar en múltiples departamentos, en diferentes ubicaciones y por períodos de tiempo variables. tiempo. El asunto se complica aún más por el hecho de que estos proveedores probablemente requerirán procesos de incorporación diferentes a los de los empleados internos, o necesitarán el mismo acceso que los empleados de tiempo completo, y es posible que empleen un nivel de seguridad diferente, quizás más bajo, que la empresa a la que pertenecen. he venido a trabajar para. Todos estos aspectos dificultan el seguimiento de todos los proveedores externos, para obtener una visión integral de quién tiene acceso a qué y quién va y viene, dónde y cuándo.

De hecho, según una encuesta de la Instituto Ponemon, el 66 % de las empresas no tienen idea de cuántas relaciones con terceros tienen en sus libros o cómo se administran, aunque el 61 % informó tener una infracción atribuible a un tercero. Además, Kasperskyanual Informe de economía de seguridad de TI descubrió que los incidentes de terceros fueron el tipo de violación de datos empresariales más costoso en 2021.

En 2022, ya ha habido numerosas violaciones de datos de terceros. En febrero, por ejemplo, el gigante manufacturero Toyota se vio obligada a cerrar algunas operaciones en Japón después de que uno de sus principales proveedores de plástico sufriera una violación de datos. Dado que el tercero tenía acceso a las plantas de fabricación de Toyota, se requirió el cierre para proteger los datos, aunque la violación también afectó algunas operaciones de las subsidiarias de Toyota, y la producción de automóviles tuvo que reducirse, lo que afectó los resultados de Toyota.

La gestión de terceros puede ser complicada, pero descuidarla crea una gran cantidad de riesgo, entonces, ¿qué pueden hacer las organizaciones?

Gobernanza de acceso de terceros

Algunas empresas pueden tener hasta miles de relaciones con terceros, lo que significa que se necesita una gran cantidad de trabajo para inventariar e incorporar proveedores externos y sus identidades, incluidas las no humanas, como lo han hecho incluso los dispositivos y bots de IoT de terceros. identidades que se incorporarán y que potencialmente ponen en peligro el ecosistema de una empresa.

El primer problema aquí es que las herramientas tradicionales de gobierno y administración de identidades (IGA) están diseñadas para administrar solo las identidades de los empleados, por lo que los equipos de administración de acceso a identidades (IAM) y seguridad de TI han tenido que improvisar cuando se trata de administrar los datos más digitalizados y en constante crecimiento de hoy en día. mano de obra de terceros. Este proceso no es sostenible.

Es por eso que es vital instituir un programa efectivo de control de acceso de terceros, que ayude no solo a administrar la carga de trabajo adicional del mercado actual, sino también a manejar las identidades digitales. A continuación se presentan cinco pasos proactivos que las organizaciones pueden tomar para reducir el riesgo, garantizar la seguridad del acceso de terceros y mejorar el estado de la gobernanza de terceros.

5 pasos para reducir el riesgo

1. Evalúa tu situación actual

El primer paso para reducir el riesgo de una infracción por parte de un tercero es conocer las medidas de seguridad que emplean sus proveedores externos. Uno de los mayores desafíos con las identidades de terceros es que no pasan por el mismo nivel de escrutinio que los empleados de tiempo completo y el personal interno, lo que significa que, en la mayoría de los casos, sus identidades no forman parte del directorio de autenticación e identidad corporativa. .

Si bien muchas empresas cuentan con soluciones de administración de identidades, la mayoría de las soluciones no están diseñadas para administrar la complejidad de controlar las identidades de terceros. Es importante comenzar entonces, estableciendo si su organización sí tener una fuente centralizada de incorporación de organizaciones de terceros. A continuación, verifique si el acceso de identidad de terceros está deshabilitado y revocado inmediatamente después de la fecha de terminación o finalización, o si se deja demorar. ¿El acceso de terceros está incluso regulado en su organización y, de ser así, qué controles existen para limitar el acceso que las identidades de terceros pueden solicitar y acceder? Finalmente, confirme si su sistema IAM proporciona una descripción general del riesgo de todos los tipos de identidades.

2. Consolidar organizaciones de terceros

Una vez que haya evaluado su situación actual, puede comenzar a establecer un programa de gestión del ciclo de vida de la identidad para terceros mediante la consolidación de terceros en un sistema de registro. Aquí, la información pertinente sobre la organización de terceros se captura y registra antes de pasar a otorgar acceso a las identidades de terceros.

Este paso puede comenzar elaborando una lista de las relaciones actuales con terceros; recurrir a los equipos de adquisiciones es una buena idea, ya que muchos terceros tienen relaciones contractuales. Sobre el tema de los contratos, es importante revisar el lenguaje contractual para abordar las responsabilidades de terceros en la administración del acceso a la identidad para las personas que se unen, se mudan y se van. Exigir a terceros que también divulguen las infracciones rápidamente le permite tomar medidas inmediatas para reducir las consecuencias. A continuación, designe un patrocinador dedicado para facilitar y agilizar las comunicaciones con cada tercero, asegurándose de que todo lo relacionado con ese proveedor esté en un solo lugar y que no haya cables cruzados.

Si bien este paso puede llevar mucho tiempo y ser un desafío, es invaluable para construir una base exitosa para cualquier programa de gobernanza.

3. Establezca un proceso de incorporación consciente de los riesgos

Crear un flujo de trabajo para examinar e incorporar usuarios de terceros para garantizar que sean quienes dicen ser es esencial para una buena gobernanza. Por ejemplo, al proporcionar un portal de autoservicio donde los terceros pueden solicitar acceso y proporcionar la documentación requerida, ayuda a recopilar información para la investigación y la verificación de identidad. También acelera los procesos de aprovisionamiento, lo que reduce las llamadas telefónicas administrativas y los correos electrónicos que normalmente ralentizan el proceso, lo que permite a los usuarios volverse productivos rápidamente.

Este método también ayuda a garantizar que el proceso de incorporación siga el concepto de privilegio mínimo. Los usuarios de terceros, que a menudo se conocen como acceso 'suficiente', solo necesitan que se les conceda el acceso apropiado para completar sus roles asignados, nada más. Al hacer que las definiciones de roles sean específicas para las tareas reales, en lugar de duplicarlas a partir de un formato similar, los terceros solo tendrán acceso a lo que necesitan, cuando lo necesitan.

4. Haga que las políticas y los controles estén definidos y refinados

Optimizar continuamente las políticas y los controles para identificar posibles infracciones y reducir los falsos positivos puede reducir significativamente las cargas de trabajo y los riesgos administrativos. Si tanto los administradores de la organización como los de terceros prueban las políticas y los controles regularmente, ejecutando revisiones de acceso periódicas y certificaciones continuas mensual o semanalmente, por ejemplo, pueden ver dónde los usuarios pueden estar sobreaprovisionados o dónde puede haber cuentas inactivas que contengan información confidencial. que hay que quitar.

También es importante establecer controles de cumplimiento para toda la fuerza laboral, particularmente porque varios marcos regulatorios y auditores ahora se están enfocando en el acceso de terceros, por ejemplo, Sarbanes-Oxley (SOX), que incluye controles específicos para administrar el riesgo de terceros.

Una buena manera de hacer esto es llevar todo el acceso de terceros bajo el mismo proceso de cumplimiento que los empleados, lo que garantiza la coherencia en toda la fuerza laboral y permite que los equipos de seguridad mitiguen los riesgos y las infracciones rápidamente, sea quien sea el usuario.

5. Implementar la gobernanza convergente

Convergido La gobernanza es una forma segura de aumentar la madurez de la ciberseguridad. Al usar una plataforma que reúne toda la administración y gobierno de identidad, la administración de acceso privilegiado y el gobierno de acceso de terceros, las organizaciones obtienen una visibilidad completa de toda su fuerza laboral y obtienen otro nivel de seguridad al revocar inmediatamente el acceso a los sistemas si se justifica. Los equipos de seguridad pueden otorgar acceso basado en el tiempo desde el principio y eliminar el acceso cuando finaliza el contrato de un tercero.

El tiempo es ahora

A medida que crece la integración de proveedores externos, incluidos contratistas y autónomos, así como bots automatizados y otros servicios que no son empleados, es vital que las organizaciones tomen medidas proactivas para abordar y aplicar un programa de control de acceso de terceros. Al seguir los cinco pasos anteriores, aunque hay más por hacer, las empresas están en camino de poder retener con confianza los servicios de terceros, reducir el riesgo en sus entornos de TI, dondequiera que trabajen los equipos, y ser capaces de administrar y obtener visibilidad sobre todas las identidades en su sistema.

chris owen

Chris es actualmente responsable de ayudar a impulsar la innovación de productos, la hoja de ruta, los mensajes de lanzamiento al mercado y la inteligencia competitiva de Saviynt.

Ha adquirido una gran experiencia en gestión de acceso e identidad (IAM) y gestión de acceso privilegiado (PAM) durante una carrera de 15 años en varios puestos técnicos y de liderazgo en Quest/One Identity, CyberArk, BeyondTrust y Centrify.

Chris comenzó su carrera como líder técnico de uno de los proyectos de transformación más grandes de Europa en ese momento.

¿Qué estás buscando?

Cómo reducir el riesgo de acceso de terceros

chris owen

Netcall fortalece sus divisiones de salud y sector público.

Rebelión de las máquinas.

Transformar los enfoques de los centros de datos para hacer frente a la crisis climática.

El reciclaje de baterías es un problema que ya no nos podemos permitir...

Cómo la tecnología puede proporcionar un futuro sostenible para el suministro...

Abordar el 'síndrome de la pajilla de plástico'.

Cómo las organizaciones pueden beneficiarse de un entorno de nube sostenible.

Cómo las empresas pueden promover la sostenibilidad utilizando la tecnología.

Creemos que te gustará:

Iniciar sesión en su cuenta

Crear una cuenta TBTech