La gran renuncia afecta duramente a todas las empresas, pero puede ser aterrador cuando los profesionales de seguridad se van en masa. Hay más riesgos que los obvios en juego, y los CISO deben gestionarlos todos. Una lista de verificación puede ayudar a garantizar que no se cometan errores y que los arrepentimientos no sean costosos.

“A medida que las empresas enfrentan mayores tasas de rotación de empleados, también deben considerar el hecho de que los exempleados altamente calificados se van con conocimientos institucionales clave e información confidencial”, advierte Todd Moore, director global de productos de encriptación de Thales, una empresa con sede en Francia. proveedor multinacional de sistemas y servicios eléctricos para los mercados aeroespacial, de defensa, transporte y seguridad.

“Esto aumenta potencialmente el riesgo de violaciones de datos y otros incidentes cibernéticos, que se amplifica aún más cuando los gerentes humanos supervisan la organización y la protección de los datos”, agrega Moore.

No deje nada al azar o al descuido trabajando con una lista de verificación.

La lista de verificación

“Los CISO ya deberían estar monitoreando y actualizando los derechos de acceso de todos los empleados y administrar el acceso del administrador periódicamente y tener una lista de tareas y procedimientos implementados cuando los empleados se van”, dice Ahmad Zoua, gerente senior de proyectos en Guidepost Solutions, una empresa global de seguridad y cumplimiento. y consultora de investigaciones.

Este artículo asume que usted ya ha tomado la medidas de rutina. Si no lo ha hecho, arregle lo básico primero. Nos centraremos solo en los pasos adicionales necesarios para dar de baja al personal de seguridad.

Aquí está la lista compilada a partir de los consejos de muchos CISO y otros profesionales de la seguridad:

1. Calcula bien la despedida. Algunos serán "despedidos de inmediato, otros menos", pero los CSO/CISO deben tener "un protocolo establecido junto con la sensibilidad, el acceso a los sistemas y el conocimiento, etc. del puesto", dice Timothy Williams, vicepresidente de la firma de seguridad global Pinkerton. En todos los casos, es "importante tratar al empleado que se va con dignidad [y] tratar de asegurarse de que el resto del departamento vea que se trata de manera profesional y adecuada, de nuevo en consonancia con la sensibilidad del puesto del empleado que se va", dijo. agrega.
2. Prepárate para el Gran Boomerang. Haz todo lo posible para que el último adiós sea una buena inversión. Asegúrese de que su personal de seguridad no tenga conflictos externos y que cualquier persona que se vaya no dude en regresar algún día. “Creo que la Gran Renuncia incluirá un Gran Boomerang. Pero lo que es más importante, luche duro para mantener el talento que tiene y sea el tipo de jefe que desearía haber tenido antes en su carrera: asegúrese de que su personal sepa que aprecia sus contribuciones a su éxito conjunto”, dice James Arlen, CISO en Aiven. , un proveedor de tecnologías de datos de código abierto gestionados para la nube.
3. Obtenga ayuda de su equipo de seguridad. Si ha manejado la noticia de la salida de un miembro del personal con gracia y dignidad para que no haya malos sentimientos ni motivación para hacer daño, “su personal existente trabajará tan duro como usted para asegurarse de que haya cubierto la situación”. bases aquí porque ahora esto no es realmente un problema de seguridad, es un problema de cumplimiento”, dice Arlen.
4. Realice las comprobaciones de amenazas internas. Su equipo de Insider Risk debe realizar un análisis retrospectivo de 6 meses sobre la actividad del empleado, "en busca de comportamientos sospechosos o mal manejo de los datos protegidos de la empresa", dice Ken Deitz, vicepresidente y director de seguridad/CISO de Secureworks. El equipo de Riesgos internos también debe revisar el análisis retrospectivo con el gerente del empleado para asegurarse de que no se pase por alto nada desde una perspectiva empresarial. “Nadie sabrá cómo es la normalidad para el empleado mejor que el líder local”, dice Deitz. Use ese conocimiento para revisar cada rincón y grieta en busca de evidencia de una posible amenaza.
5. Realice una auditoría de último día. El equipo de Riesgos internos debe realizar una breve auditoría de último día para “asegurarse de que todos los accesos se han cancelado correctamente, y que todos los bienes han sido devueltos”, según Deitz.
6. Revisa los silos. “Las tecnologías de acceso heredadas, especialmente las soluciones en silos como las VPN, brindan demasiado acceso y, con demasiada frecuencia, se desconectan de los procesos de RRHH o de desvinculación”, dice Jason Garbis, director de productos de Appgate. No olvide revisar también esas aplicaciones de comunicación como Microsoft Teams y Zoom.
7. Notificar a otras partes afectadas. “Notifique a la mesa de ayuda, al equipo de seguridad y al equipo de sistemas e instalaciones de su organización que el empleado ya no está en la empresa”, dice Greg Crowley, CISO de eSentire, una empresa de detección y respuesta administrada. "Además, notifique a los proveedores externos clave, incluidos los servicios administrados de terceros, que el empleado ya no es un contacto autorizado para la cuenta". Aconseja seguir esas notificaciones con "una auditoría de los últimos 3 días de actividad de la cuenta para detectar comportamientos sospechosos o indicadores de creación de cuentas de puerta trasera".
8. Elimine los permisos de red BYOD y limpie los dispositivos. ¡Basta de charla!
9. Deshabilitar/denegar permisos de acceso físico. Esto significa recopilar tokens de acceso físico, insignias, claves físicas, aplicaciones, memorias USB, copias de seguridad, unidades externas y cualquier PIN y datos biométricos, y realizar una copia de seguridad forense de las unidades en los sistemas de trabajo y las unidades externas del empleado, informa Adam Perella, gerente de Schellman, un asesor global independiente de cumplimiento de seguridad y privacidad.
10. Transferir la propiedad de los datos. Los datos no estructurados han sido un desafío único para que las empresas controlen, "especialmente en el cambio al trabajo desde casa, donde los empleados pueden almacenar archivos en lugares diferentes e inesperados", dice Grady Summers, vicepresidente ejecutivo de productos en SailPoint. Los empleados salientes deben tener la tarea de localizar todo tipo de datos no estructurados y transferir la propiedad a los empleados restantes. “Creo que el cambio al almacenamiento de documentos basado en SaaS ha ayudado aquí. La mayoría de los servicios permiten reasignar fácilmente el acceso a un administrador al momento de la terminación”, agrega Summers.
11. Revisa todos los códigos. “Asegúrese de que ningún script o dependencia de código personalizado dependa de la cuenta existente del empleado saliente. Los servicios deben ejecutarse con cuentas de servicio aprobadas”, dice Brian Wilson, CISO de SAS. Eso incluye verificar también otros códigos, credenciales y certificados. Asegúrese de proteger las credenciales de raíz de la nube, las credenciales del repositorio de código fuente, los certificados de registro de dominio y "cualquier otra cuenta o sistema que no esté vinculado al inicio de sesión seguro (SSO) que pueda tener un nombre de usuario y contraseñas de cuentas individuales para administrar", dice Bryan Harper. , gerente de Schellman.
12. Cierra la puerta trasera. “Asegúrese de que no queden puertas traseras ni caballos de Troya en los sistemas y software de producción. Realice una evaluación (búsqueda de amenazas) si hay sospechas o inquietudes. Preste mucha atención a los puntos de acceso al perímetro, ya que el personal de seguridad a menudo conoce las vulnerabilidades de los informes de seguridad anteriores”, dice Brian Wrozek, director de seguridad de la información y vicepresidente de Optiv.
13. Sistemas de Seguridad Seguros. Eso parece un hecho, pero "el descubrimiento de SIEM, EDR, firewalls, etc., particularmente si la persona pertenece a varios grupos y grupos siguientes, suele ser un desafío", dice Raj Dodhiawala, presidente del proveedor de seguridad con privilegios de confianza cero. remediante.
14. Buscar y guardar configuraciones. Las herramientas de seguridad tienen datos configurados como SIEM o reglas de firewall, así como controles relacionados diseñados para hacer que las organizaciones sean resistentes a los ataques cibernéticos. Los CISO deben asegurarse de que estos se conozcan, conserven y mantengan en consonancia con las políticas y los controles. “Si no lo son, deberían comenzar a implementar métodos para guardar y/o configuraciones de control de versiones”, dice Dodhiawala.
15. Verifique los datos de incidentes y registros. “Se sorprenderá de cuánto hay en registros de eventos, registros de dispositivos y registros de aplicaciones. Además de cortar el acceso a estos datos, los datos en sí deben protegerse”, dice Dodhiawala.

Mirar de nuevo

Después de todo eso, asuma que hay agujeros negros en sus procesos. Cuando crea que ha cubierto todo, mire de nuevo con la suposición de que se ha perdido algo.

“En teoría, como CISO o ejecutivo de seguridad, ha hecho bien su documentación y tiene algún tipo de sistema de seguimiento de administración de acceso para todas aquellas cosas que no forman parte de su ámbito de SSO nominal”, dice Arlen. “Pero seamos realistas, probablemente no tengas eso, y ahora necesitas encontrar todos los lugares donde hayas dejado algún tipo de acceso”.

• Coinsmart. El mejor intercambio de Bitcoin y criptografía de Europa.
• Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. ACCESO LIBRE.
• CriptoHawk. Radar de altcoins. Prueba gratis.
• Fuente: https://www.darkreading.com/edge-articles/ciso-checklist-for-offboarding-security-staff