Las tendencias emergentes en ciberseguridad son un área amplia, tanto en lo que se refiere a cómo proteger mejor a las empresas, como a la forma de enfocar la elaboración de políticas públicas. El refuerzo de la ciber protección de la cadena de suministro y la armonización de los marcos normativos a este respecto son uno de los aspectos prioritarios, ya que sólo somos tan fuertes como nuestro eslabón más débil.
A continuación traducimos el post publicado en el blog de Tech Accord sobre el tema «Alineación de mejores prácticas para la seguridad de la cadena de suministro en estándares y marcos normativos».
Según un reciente estudio realizado por el Foro Económico Mundial, el 39 % de las organizaciones encuestadas en 2022 se habían visto afectadas por un ciber incidente de terceros. En otras palabras, fueron «daños colaterales» de un ciberataque a empresas a través de su cadena de suministro. Cada vez más, los actores de amenazas se dirigen a proveedores pequeños y medianos que pudieran utilizar prácticas de ciberseguridad menos sólidas, con el objetivo subrepticio de luego acceder a los sistemas de un objetivo previsto entre su clientela. Al penetrar en el sistema del proveedor, un atacante podría poner en peligro a cualquier organización que utilice el producto o servicio, incluidas grandes empresas, organismos públicos e incluso infraestructuras críticas o servicios esenciales.
Estos incidentes muestran la interdependencia de las empresas y la creciente necesidad de abordar la ciberseguridad de la cadena de suministro en su conjunto, identificando y reforzando los eslabones más débiles. También existe una creciente preocupación regulatoria por la seguridad de la cadena de suministro que se está traduciendo en propuestas que van desde la comunicación o la divulgación de vulnerabilidades, hasta restricciones u obligaciones para los proveedores en virtud de diversos estándares y marcos normativos.
¿Cómo pueden las empresas proteger mejor su cadena de suministro para reducir riesgos y facilitar una respuesta más ágil?
Los enfoques tradicionales en la gestión de riesgos de la cadena de suministro pueden presentar limitaciones, ya que no aumentarían la ciber protección, no son generalizados en su planteamiento de diversificación y seguridad de la cadena de suministro, suponen una pérdida de tiempo y dinero, y carecen de contexto de ciber riesgo. Es importante destacar que las pequeñas y medianas empresas de las cadenas de suministro pueden tener dificultades en aplicar prácticas responsables de ciberseguridad, incluido el cumplimiento de estándares reconocidos. A continuación, se presenta una selección de las mejores prácticas en protección de cadena de suministro, algunas de las cuales se han extraído del informe de RSAC ESAF «How Top CISOs are Transforming Third-Party Risk Management«, basado en entrevistas a directores de seguridad de la información (CISO), así como en la propia experiencia de Telefónica.
Un procedimiento de gestión de riesgos de seguridad de terceros, asociado a los contratos y a la selección de proveedores, permitirá determinar: i) la capacidad de un proveedor para aplicar las medidas y competencias técnicas y organizativas apropiadas para garantizar un nivel adecuado de seguridad en todos sus servicios; ii) si el nivel de experiencia de un proveedor y la madurez de la tecnología utilizada por éste son suficientes para prestar los servicios solicitados en función del riesgo; iii) el país de origen y la ubicación geográfica del proveedor y de los activos que respaldarán el servicio y que podrían plantear amenazas específicas y/o estar sujetos a requisitos jurisdiccionales o de cumplimiento específicos.
También es necesario estandarizar el enfoque de la gestión de riesgos, con una estrategia conjunta de contratación y seguridad basada en un principio de corresponsabilidad de empleados y proveedores en el cumplimiento de los requisitos de ciberseguridad preestablecidos, incluso en materia de diversificación. Se necesitan indicadores de gestión que se comprueben periódicamente (incluso con auditorías) para supervisar e identificar puntos de mejora sobre los que actuar a lo largo de todo el ciclo de vida del proveedor, incluso en el momento de la finalización de contrato. Entre los elementos clave de una estrategia de este tipo figuran los siguientes:
- Centrarse en un conjunto de requisitos de seguridad prioritarios basados en una evaluación del riesgo, una lista corta en lugar de sobrecargar al proveedor, y garantizar el seguimiento, la supervisión y el cumplimiento.
- Reducir el impacto de los incidentes de terceros mediante acciones discretas como la diversificación de la cadena de suministro, la aplicación de políticas de confianza cero, el desarrollo de planes de respuesta a incidentes, la realización de pruebas y la exigencia de notificación temprana de incidentes por parte de los proveedores.
- Asociarse activamente con los proveedores para ayudarles a mejorar sus programas de seguridad, ofreciéndoles mecanismos de servicio y formación para protegerse de los incidentes o responder a ellos cuando se produzcan. Los incidentes de terceros ocurrirán, por lo que prepararse para gestionar el impacto en la empresa debe ser una prioridad fundamental.
- Considerar la posibilidad de aprovechar tecnologías emergentes como blockchain para el intercambio de información y la gestión de activos con el fin de minimizar las consecuencias de los ciber incidentes de terceros, así como la inteligencia artificial y la analítica avanzada para escalar las capacidades de detección y respuesta ante incidentes.
- Añadir incentivos y medidas coercitivas a los contratos, estableciendo requisitos para los proveedores basados en normas internacionales (por ejemplo, ISO 27001 Seguridad de la información, ISO 27701 Privacidad, ISO 22301 Seguridad y resiliencia).
- Establecer procesos para aumentar la implicación de los líderes empresariales en la gestión de los ciber riesgos de terceros. Hacerlo debe ser una prioridad en los niveles más altos.
¿Cómo pueden los responsables políticos garantizar mejor la protección de las cadenas de suministro en un mundo globalizado?
La globalización de la cadena de suministro de las empresas plantea nuevos retos para garantizar una gestión eficaz de los riesgos en consonancia con los intereses de la seguridad nacional, lo que puede exigir requisitos a medida.
El objetivo debe ser lograr unos requisitos armonizados en todos los mercados, basados en las mejores prácticas empresariales y en estándares internacionales. Muchos de los esfuerzos realizados en el pasado para armonizar los requisitos y las evaluaciones no han logrado alcanzar un acuerdo y, lamentablemente, han aumentado la complejidad del cumplimiento, incrementando así el riesgo. Como resultado, está resultando difícil y costoso para los contratistas principales de servicios específicos comprender y gestionar los riesgos de múltiples subcontratistas.
El recién aprobado Reglamento (UE) 2022/2554 sobre la resiliencia operativa digital en el sector financiero (DORA), aplicable a partir de enero de 2025, pondrá a prueba la protección de la cadena de suministro. Incluye disposiciones sobre contratos, estándares de seguridad, gestión de riesgos, derechos de acceso, inspección y auditoría de proveedores, formación y sensibilización del personal en materia de riesgos y resiliencia y estructuras de gobernanza para la gestión de la seguridad, entre otras.
Además, para mantener la resiliencia y la competitividad de las cadenas de suministro, la diversificación es clave. Las decisiones que restringen los componentes críticos de proveedores específicos deben ser proporcionadas y basarse en hechos y riesgos, ya que la exclusión de proveedores tiene un alto impacto en los costes y puede repercutir en el servicio, la resiliencia y el desarrollo del mercado.
Un enfoque cooperativo y coordinado entre todas las partes interesadas es el mejor medio para que los gobiernos eleven el nivel de ciberseguridad, evitando el exceso de notificaciones, y generando al mismo tiempo una práctica común eficiente basada en la confianza, especialmente en la cadena de suministro. Por último, como expone la Cámara de Comercio Internacional en su informe sobre ciberseguridad, la mejora de la cooperación entre las distintas partes interesadas para luchar contra la ciberdelincuencia y la aplicación de normas para un comportamiento responsable de los estados son elementos esenciales para reducir los ciberataques y, por tanto, aumentar la seguridad.