La peor diligencia es la que no se hace… ¿qué sabes de tus proveedores de productos o servicios de seguridad?

La debida diligencia o “due diligence” es un proceso financiero, técnico, administrativo y legal que se refiere a un proceso de investigación y análisis exhaustivo que se realiza antes de llevar a cabo una transacción comercial importante. Su objetivo principal es evaluar la información y los datos relevantes para tomar decisiones informadas y mitigar los riesgos asociados con la operación.

Cuando me ofrecí a escribir este blog, no tenía una idea clara de lo que podría abordar en estos párrafos, sin embargo, dada la cantidad de brechas de seguridad (cuando un ataque resulta en el robo de información) provocadas por productos y servicios de terceros, considero que es importante tomarse en serio lo que se conoce como “Information security in supplier relationships” (Seguridad de la información en relaciones con proveedores), tal como se describe  en el punto A.5.19 de los controles ISO 27002. Ese particular control establece el proceso de “due diligence” de la siguiente manera: “Los procesos y procedimientos deberán ser definidos e implementados para gestionar los riesgos de seguridad de la información asociados con el uso de los productos o servicios del proveedor.” (por ejemplo, mediante análisis de mercado, referencias de clientes, revisión de documentos, evaluaciones in situ, certificaciones, vulnerabilidades, ciclo de desarrollo de productos, etc).

Pienso que existe una escasez de información sobre cómo llevar a cabo estas evaluaciones, principalmente debido a que estamos sujetos a la narrativa proporcionada por los fabricantes. Una forma que nos puede ayudar a primera instancia es comprender el ciclo de desarrollo de un producto y toda la operación que hay detrás de ello. En realidad, cuando nos disponemos a adquirir un producto que viene en hardware, no hace mayor diferencia la parte física, seamos honestos, el producto real es el código, sin el software, ese hardware no sería más que un pisapapeles. En el campo de ciberseguridad, hay un proceso llamado “Product Security” (Seguridad del producto), que tiene como objetivo “asegurar que los productos y servicios desarrollados por la empresa para sus clientes externos cumplan con los objetivos de confidencialidad, integridad y disponibilidad”.  

La pregunta que debería hacerme es la siguiente: ¿Qué información debo conocer de la empresa que desarrolla un producto y/o solución? En las siguientes líneas te doy algunas pautas:

1. Tienen un CPSO (Chief Product Security Officer). El objetivo principal es garantizar que la seguridad sea una prioridad en todo el ciclo de vida del producto y que los clientes puedan confiar en la integridad y seguridad de los productos que utilizan. Esta persona tiene un objetivo diferente a un CISO, un argumento como que “tenemos un CISO” no es válida para el objetivo del “due diligence” que estamos ejecutando.
2. Cuenta la empresa con un PSIRT (Product Security Incident Response Team). Este equipo se encarga de abordar de manera proactiva y reactiva los problemas de seguridad que puedan afectar a los productos o servicios que están bajo su responsabilidad.
3. ¿Tienen un programa de “Bug Bounty” implementado? Es crítico que terceros prueben la seguridad del producto desde una visión de un atacante, el cual no conoce como se desarrolla el producto. ¿Como puedo saber si mi chaleco antibalas es bueno si no lo pruebo?
4. ¿Cuáles certificaciones de seguridad han obtenido? Por ejemplo: Common Criteria (ISO/IEC 15408), FIPS 140-2, Trusted Platform Module (TPM). En el caso de servicios SaaS: SOC2, GDPR, CSA STAR, FedRAMP.

El siguiente punto es validar como está el fabricante a nivel de vulnerabilidades, aquí tenemos que ser claros en lo siguiente, hay productos para las masas y productos para empresas, por lo cual no hay una comparación que valga en este caso. La forma más fácil de hacer esta investigación es a través de portales como https://www.cvedetails.com/ , el cual es potenciado por “SecurityScorecard” que es una empresa que hace evaluaciones de riesgo de terceros. ¿Cuál es la información de interés de esta página?:

1. El top 50 del año 2023. (https://www.cvedetails.com/top-50-vendors.php?year=2023)
2. El top 50 histórico. (https://www.cvedetails.com/top-50-vendors.php)
3. Vulnerabilidades con score >9. (Vulnerabilidades criticas)

Es de vital importancia considerar que no se trata simplemente de aplicar “fixes” (correcciones) o actualizar el Sistema Operativo, nos toca rezar para que esto no se convierta luego en una amenaza a la operación, debido a perdida de disponibilidad de los servicios causada por un mal funcionamiento después de la actualización. Es esencial tener en mente la continuidad operativa en todo momento.

En caso de que no encuentres suficientes elementos para tomar una decisión puedes mirar como considera el mercado la solución, producto o servicio. La estrategia de “Best of Breed” es una excelente opción, la misma busca identificar y adquirir las mejores soluciones individuales en cada categoría o departamento, incluso si provienen de diferentes proveedores. Cada solución es elegida por su excelencia en su campo particular y se integra con otras aplicaciones y sistemas existentes para formar una suite completa y cohesionada

Por último y no menos importante es la evaluación de la empresa que suministra o implementa el producto o servicio. Existe una diferencia significativa entre una empresa que se dedica a vender incluso los elementos más básicos, como tornillos, a una empresa que se especializa en una vertical de tecnología. Las empresas que se dedican a una vertical están altamente especializadas, y en ciberseguridad tienen especialistas que cubren desde los aspectos administrativos hasta los técnicos. Algunos de los puntos de evaluación hacia los integradores tenemos:

1. Certificaciones agnósticas de la industria: ISC², ISACA, CSA, etc.
2. Certificaciones técnicas de los productos.
3. ¿Qué soluciones de protección de su portafolio utilizan para salvaguardad sus sistemas e información? Recuerda casa de herrero, cuchillo de palo.
4. Años de experiencia entregando servicios de seguridad agnósticos y técnicos.

Espero que estos pensamientos y análisis te sean de utilidad en el proceso de evaluación de tecnologías o servicios para alojar, procesar o proteger tus datos. Al final lo que buscamos es mantenernos alejados del adagio de Robert Muller, Ex Director del FBI: “Hay dos tipos de empresas: las que han sido pirateadas y las que lo serán”. Que no sea debido a un tercero, que tu organización o empresa entre en esa categoría.