Mejores prácticas de gestión de riesgos en la cadena de suministro cibernética (C-SCRM)

Aunque su organización invierta importantes recursos en su programa de seguridad informática, puede seguir siendo un enorme reto proteger su cadena de suministro cibernética contra las filtraciones de datos de terceros, los ataques de ransomware y otros riesgos de seguridad. Esta tarea se vuelve aún más difícil a medida que su cadena de suministro se vuelve más compleja o depende en gran medida de asociaciones en el extranjero.

¿Cómo puede obtener visibilidad de los riesgos que plantean las terceras, cuartas y enésimas partes de su cadena de suministro ampliada, garantizando al mismo tiempo que sus proveedores disponen de los controles de seguridad necesarios para proteger su negocio? Este artículo le ayudará a empezar compartiendo algunas de las mejores prácticas para crear un programa de gestión de riesgos de la cadena de suministro cibernética (C-SCRM) más eficaz y eficiente.

¿Qué es la gestión de riesgos en la cadena de suministro?

La gestión de riesgos de la cadena de suministro cibernética (C-SCRM) es el proceso de identificar, analizar y mitigar vulnerabilidades, exposiciones de datos y otras brechas de seguridad que amenazan la capacidad de una organización para suministrar productos y servicios de tecnología de la información (TI) o de tecnología operativa (OT).

Gestionar el riesgo cibernético en su cadena de suministro requiere no sólo proteger a su organización contra ataques directos, sino también mitigar el riesgo de filtraciones de datos de terceros y de Nth-party que podrían interrumpir su negocio.

El riesgo de la cadena de suministro es ahora una preocupación a nivel directivo para muchas organizaciones. No es de extrañar, teniendo en cuenta las siguientes estadísticas de un reciente estudio de Prevalent:

• El 45% de las organizaciones ha sufrido una violación de la privacidad o de los datos de terceros en los últimos 12 meses.
• El 54% de los encuestados informó de una interrupción de la cadena de suministro
• El 55% denunció una infracción relacionada con la falta de supervisión por terceros.

Un programa C-SCRM eficaz puede ayudar a su organización a tomar decisiones informadas y a seleccionar proveedores que se tomen en serio la ciberseguridad y el cumplimiento normativo.

Ejemplos de riesgos cibernéticos en la cadena de suministro

ransomware

El ransomware es un software malicioso que impide el acceso a los sistemas informáticos comprometidos, cifra los archivos de los sistemas o amenaza con la liberación de datos confidenciales robados a menos que se pague dinero al atacante. Aunque el ransomware existe desde hace décadas, los avances tecnológicos han permitido a los delincuentes alcanzar nuevos niveles de escala y sofisticación. En lugar de dirigirse principalmente a las PYME para extorsionar pequeñas sumas, como hacían en el pasado, los atacantes se dirigen ahora a las grandes corporaciones que son los ejes de las cadenas de suministro mundiales.

No es ninguna sorpresa que el ransomware haya sido uno de los principales temas de actualidad. Un ejemplo relacionado con C-SCRM es la brecha de Kaseya del año pasado, que provocó ataques de ransomware contra miles de empresas a través de la herramienta de monitorización y gestión remota (RMM) de la compañía.

Vulnerabilidades del software

Utilizar software con vulnerabilidades conocidas o tener poca visibilidad de las prácticas de seguridad de un proveedor de software puede dejar a su organización vulnerable a importantes interrupciones, violaciones de datos y tiempos de inactividad. Tomemos, por ejemplo, la brecha de SolarWinds, que dejó a miles de organizaciones y entidades gubernamentales expuestas a actores maliciosos durante meses.

Acceso informático físico y virtual

El acceso físico y virtual a las TI es uno de los canales más obvios a través de los cuales pueden producirse compromisos en la cadena de suministro. Numerosas empresas han sido pirateadas por contratistas que inicialmente parecían tener bajos niveles de riesgo perfilado. Sin embargo, como estos contratistas tenían acceso físico a las instalaciones y a los sistemas de TI, los actores maliciosos podían aprovecharlos como caballos de Troya para acceder a los clientes de la empresa.

Credenciales robadas

Los ciberdelincuentes no suelen robar datos directamente cuando explotan las cuentas de correo electrónico o las redes de una empresa. En su lugar, venden nombres de usuario y contraseñas comprometidos en la web oscura a cambio de Bitcoin u otras criptomonedas. Esto reduce el riesgo para el delincuente, ya que puede monetizar inmediatamente las credenciales robadas sin entrar en las cuentas individuales.

Recientemente, los grupos de ransomware que operan en la web oscura han empezado a publicar información sobre sus víctimas para presionarlas a pagar un rescate. La vigilancia de estos foros y blogs puede proporcionar una alerta temprana de posibles violaciones de datos que pueden afectar a los datos compartidos a lo largo de su cadena de suministro.

Infracciones

Según un estudio reciente de Prevalent, el 55% de las organizaciones informaron de una infracción de cumplimiento relacionada con la falta de supervisión de terceros. Se espera cada vez más que las organizaciones protejan la información de identificación personal (PII) dentro de su propia organización y garanticen proactivamente que terceros protejan los datos de los clientes y otra información confidencial. Las normativas aplicables incluyen CCPA, GDPR, CMMC, PCI DSS y varias otras.

Mejores prácticas de gestión de riesgos en la cadena de suministro cibernética (C-SCRM)

La búsqueda de soluciones que se adapten a los requisitos funcionales y empresariales de su organización ya lleva bastante tiempo. Evaluar la postura de ciberseguridad de un proveedor potencial introduce complejidad e incertidumbre adicionales en el proceso de contratación y selección.

Por eso es esencial comenzar su relación con un proveedor potencial realizando la diligencia debida previa al contrato en línea con sus RFI, RFP y otros procesos de RFx. En esta primera fase de la relación con el proveedor, debe buscar información sobre ciberseguridad:

• Historial de violaciones de datos y divulgaciones, para ayudar a determinar si el proveedor es vulnerable a ciberataques.
• Tecnologías de cuarta parte en uso, para obtener visibilidad sobre el riesgo de concentración de tecnología y descubrir tecnologías periféricas que podrían proporcionar canales traseros a su organización.

La incorporación de estos conocimientos a su proceso de RFx garantizará no sólo que la solución seleccionada sea adecuada para su propósito, sino también que el proveedor que la respalda no exponga a su organización a riesgos innecesarios.

Introducir requisitos de seguridad en los contratos con proveedores

Muchas organizaciones no tienen en cuenta que pueden imponer controles de ciberseguridad en los contratos. Los acuerdos de nivel de servicio y otros acuerdos contractuales pueden exigir a terceras y cuartas partes que implanten o mantengan controles de ciberseguridad para proteger los datos sensibles de su organización.

Comprender el riesgo de proveedor perfilado, inherente y residual

Comprender los diferentes tipos de riesgo de los proveedores puede permitirle tomar decisiones basadas en datos sobre cómo aplicar los cuestionarios de riesgo de los proveedores, así como comparar con precisión a los proveedores en función del riesgo medible. En Prevalent, clasificamos el riesgo de los proveedores en tres tipos:

• Riesgo perfilado: El riesgo perfilado se aplica a la categoría de producto o servicio que un proveedor proporciona a su organización. Por ejemplo, un proveedor de servicios gestionados (MSP) con acceso a su entorno informático plantea mucho más riesgo perfilado que un contratista de limpieza.
• Riesgo inherente: El riesgo inherente es la cantidad de riesgo que supone un proveedor antes de implantar los controles de seguridad requeridos por su organización. El riesgo inherente se calcula para empresas concretas basándose en evaluaciones de riesgos y datos de supervisión de riesgos.
• Riesgo residual: El riesgo residual es el riesgo que permanece después de que un proveedor haya tomado medidas correctoras o paliativas. Su equipo de gestión de riesgos deberá determinar si los riesgos residuales son aceptables o no.

Utilizar cuestionarios y repositorios de riesgos de proveedores

Los cuestionarios de riesgo para proveedores pueden proporcionar visibilidad sobre los controles de ciberseguridad de un proveedor y ayudar a evitar infracciones de la normativa. Puede acelerar drásticamente el proceso de diligencia debida del proveedor adaptando sus cuestionarios en función del riesgo inherente y asignando las respuestas a las normativas de ciberseguridad aplicables a su organización.

También debería considerar la posibilidad de segmentar los cuestionarios en función del sector, el nivel de servicio y/o el nivel de acceso al sistema. Por ejemplo, un proveedor de software podría requerir un cuestionario sustancialmente diferente al de un contratista de HVAC in situ. El uso eficaz de los cuestionarios de riesgo para proveedores puede simplificar el cumplimiento, agilizar la incorporación de proveedores y proporcionar visibilidad de la cadena de suministro ampliada.

El uso de una plataforma de gestión de riesgos de terceros puede ayudar a automatizar el proceso y reducir el tiempo necesario para evaluar a los proveedores. Además, suscribirse a una red de inteligencia de riesgos de proveedores es una forma rentable de acceder a miles de evaluaciones ya realizadas y añadir escala al abastecimiento, la selección, la incorporación y la puntuación de riesgos inherentes.

Consejo adicional: Cuando diseñe sus cuestionarios de evaluación de riesgos de proveedores, incluya preguntas sobre las cuartas y enésimas partes para obtener visibilidad de los riesgos más profundamente en la cadena de suministro. Incluso si su tercero tiene controles de ciberseguridad sólidos, uno de sus proveedores podría desencadenar una violación de datos que, en última instancia, afecte a su organización.

Practique la supervisión continua en toda su cadena de suministro cibernético

Practicar la supervisión continua de terceros puede ayudarle a identificar nuevas vulnerabilidades, violaciones de datos y otros riesgos de seguridad que afecten a los proveedores. La supervisión le permite estar al tanto de los riesgos que puedan surgir entre las evaluaciones periódicas basadas en cuestionarios. Una solución sólida de supervisión de riesgos cibernéticos puede proporcionar inteligencia de foros delictivos, páginas cebolla, foros de acceso especial a la web oscura, feeds de amenazas, sitios de pasta, comunidades de seguridad, repositorios de código, bases de datos de vulnerabilidades y otras fuentes.

Además de proporcionar una alerta temprana de posibles incidentes que podrían afectar a su organización, la supervisión continua puede validar si los controles indicados en las respuestas de evaluación de un proveedor se aplican y funcionan según lo previsto.

No se olvide de la Cuarta y la Enésima Fiestas

A diferencia de lo que ocurre con los bienes físicos, puede ser difícil hacer un seguimiento de cómo se almacena y comparte la información de su organización a lo largo de toda la cadena de suministro. Cada organización en su cadena de suministro cibernético probablemente trabaja con docenas, o incluso cientos de empresas de software, contratistas de TI subcontratados y otros terceros - varios de los cuales podrían tener acceso a la información de su empresa. Lo último que un CISO o CIO quiere oír es que la organización ha estado expuesta a una violación de datos debido a la negligencia de un proveedor de Nth-party.

A continuación se indican algunas de las mejores prácticas que puede utilizar a la hora de evaluar y mitigar el riesgo de cuarta parte.

Identifique a los proveedores de misión crítica en su cadena de suministro cibernético

La creación de un programa eficaz de C-SCRM requiere priorizar en qué riesgos de proveedores centrarse. La organización media trabaja con innumerables terceras, cuartas y enésimas partes. Encontrar todos los riesgos en la cadena de suministro ampliada de cada proveedor es imposible. Cuando trabaje para obtener visibilidad en su cadena de suministro cibernética de cuarta y enésima parte, empiece por centrarse en los proveedores más importantes en función de sus puntuaciones de riesgo inherentes. A la hora de priorizar, tenga en cuenta:

• ¿Qué nivel de acceso tiene el proveedor a datos regulados como PII, PFI, PHI y, en su caso, información clasificada o no clasificada controlada?
• ¿Es el vendedor un proveedor de software? Si es así, ¿dónde aloja los datos de la organización y qué controles de seguridad tiene el centro de datos?
• ¿Dispone el proveedor de su propio programa de gestión de riesgos de la cadena de suministro cibernética? En caso afirmativo, ¿puede elaborar un informe sobre el riesgo de su cadena de suministro cibernética?
• ¿Basa la organización sus programas de seguridad de la información y gestión de riesgos de terceros en marcos ampliamente aceptados?

Mapee su cadena de suministro cibernético ampliada

La creación de un mapa completo de su cadena de suministro, con sus dependencias y niveles de riesgo, puede permitirle obtener la visibilidad que necesita para tomar decisiones eficaces de mitigación de riesgos. En primer lugar, debe asegurarse de que está recopilando los datos necesarios. Las preguntas relativas a la cuarta y la enésima parte de su cadena de suministro ampliada deberían ser habituales en todos los cuestionarios de evaluación de riesgos de proveedores.

Una vez que conozca bien su ecosistema de terceros y cuartos, podrá identificar a los proveedores que puedan presentar puntos únicos de fallo o niveles inaceptables de riesgo para la seguridad de la información. A continuación se ofrecen algunas sugerencias de medidas correctoras si se considera que una cuarta o enésima parte es de alto riesgo:

• Solicitar la actualización de su contrato con el tercero en cuestión para limitar el intercambio de datos o el acceso a la infraestructura informática con el cuarto tercero de alto riesgo.
• Solicitar información adicional sobre los controles de seguridad y la infraestructura de la cuarta parte.
• Considerar la posibilidad de recurrir a proveedores alternativos cuando se renueven los contratos.
• Trabajar con el departamento interno asociado al tercero para aplicar salvaguardias y limitar el intercambio de datos sensibles.
• Llevar a cabo una supervisión continua de la cuarta parte para reducir el riesgo de un compromiso que pueda afectar en última instancia a su organización.

Reevaluar periódicamente el riesgo de los proveedores

Los riesgos surgen y evolucionan constantemente, por lo que no basta con limitar a los proveedores críticos a una única evaluación de riesgos puntual. Asegúrese de reevaluar el riesgo en varios puntos a lo largo del ciclo de vida del contrato para garantizar que el riesgo residual no ha superado los niveles aceptables. He aquí algunas cuestiones a tener en cuenta:

• ¿Su programa C-SCRM lleva a cabo evaluaciones de riesgos durante todo el ciclo de vida del contrato o sólo una vez al principio?
• ¿Se determinan el alcance y la cadencia de las evaluaciones de riesgos basándose en las conclusiones sobre riesgos del proceso de incorporación de proveedores?
• ¿Es capaz de integrar eficazmente los cambios en el perfil de riesgo residual de los proveedores en su flujo de trabajo más amplio de gestión de riesgos de terceros?
• ¿Evalúa el riesgo de la cuarta y la enésima parte como parte de sus evaluaciones de riesgo estándar?

Implantar un plan de respuesta a incidentes de proveedores

Premeditatio malorum - latín para "la premeditación de los males y problemas que pueden acechar". O, para decirlo más claramente: ¡prepárese para lo peor! Los ciberataques a proveedores no deseados ocurrirán. Sin embargo, el nivel de preparación de su organización para esos eventos puede significar la diferencia entre una interrupción grave y una perturbación leve.

La gestión eficaz de incidentes (GI) y la C-SCRM van de la mano. Por ejemplo, identificar a las terceras, cuartas y enésimas partes permite una gestión eficaz de los incidentes, teniendo en cuenta que hasta la mitad de los incidentes se originan en los proveedores. Los contratos con proveedores y subcontratistas deben incluir requisitos de notificación de incidentes o fallos en un plazo determinado (por ejemplo, 24 horas) tras la identificación de un incidente grave. La validación de los procesos y contactos de MI de sus proveedores, junto con pruebas periódicas, puede ayudar a garantizar la preparación operativa para responder y resolver incidentes.

Mantener la diligencia durante la incorporación

Muchas empresas dedican mucho tiempo a la diligencia debida de los proveedores, a los cuestionarios de riesgos y a determinar los requisitos de cumplimiento, pero no planifican el final de la relación, que es cuando se producen muchos riesgos de seguridad. Por eso, la desvinculación de los proveedores es tan importante como su incorporación. Si no se consigue dar de baja a los proveedores y asegurarse de que se han destruido los datos confidenciales y de que se ha revocado el acceso a TI, se pueden producir:

• Problemas de cumplimiento si un contrato ha expirado y el proveedor sigue teniendo acceso a los sistemas informáticos.
• Posibles violaciones de datos si un proveedor ha almacenado IPI o PHI de sus empleados o clientes.
• Amenazas internas cuando los empleados de los contratistas conservan el acceso a datos y sistemas.

Recursos C-SCRM

Existen varios recursos de gestión de riesgos de la cadena de suministro cibernética que puede consultar a la hora de crear o evaluar su programa. Entre los recursos más destacados figuran los publicados por el Instituto Nacional de Normas y Tecnología (NIST) y otras agencias gubernamentales, organismos reguladores y grupos de la industria privada. He aquí algunos recursos útiles:

Publicación especial 800-161 r1 del NIST: Prácticas de gestión de riesgos de la cadena de suministro de ciberseguridad para sistemas y organizaciones

NIST SP 800-161 es un marco de gestión de riesgos de la cadena de suministro cibernética que puede ayudar a su organización a construir y madurar su programa C-SCRM. NIST 800-161 proporciona una guía detallada sobre cómo incorporar un programa C-SCRM en su estrategia más amplia de gestión de riesgos empresariales y cubre los factores críticos de éxito para la construcción de un programa C-SCRM eficaz. Los controles del NIST 800-161 se dividen en 20 familias que van desde el control de acceso hasta los incidentes y la respuesta.

Marco de exposición al riesgo C-SCRM del NIST

El Apéndice A del NIST SP 800-161 Rev 1 incluye un marco de exposición al riesgo con orientaciones detalladas para identificar posibles escenarios de amenaza para la cadena de suministro. El NIST define un escenario de amenaza como "un conjunto de eventos discretos de amenaza asociados con una fuente específica de amenaza potencial o existente identificada o con múltiples fuentes de amenaza, parcialmente ordenadas en el tiempo." El Marco de Exposición al Riesgo del NIST le permite identificar y asignar riesgos a varios escenarios de amenazas a la cadena de suministro, e incorporar estos hallazgos en su enfoque más amplio de evaluación de riesgos de terceros.

Plantillas C-SCRM del NIST

El Apéndice D del NIST 800-161 r1 proporciona varias plantillas para documentar su programa C-SCRM, incluidos planes de implantación, iniciativas de cumplimiento, objetivos estratégicos, funciones y responsabilidades, e hitos de implantación. Estas plantillas son muy valiosas para esbozar un nuevo programa C-SCRM o para mejorar su programa existente con documentación de apoyo.

Directrices del NIST sobre la seguridad de la cadena de suministro de software

El NIST publicó su Guía para la cadena de suministro de seguridad del software en respuesta a los requisitos de la Orden Ejecutiva (OE) 14028 Sección 4E sobre la mejora de la ciberseguridad de la nación. El documento está dirigido a las agencias federales, pero muchas de las mismas prácticas pueden ser empleadas por las empresas que buscan mitigar los riesgos cibernéticos en sus cadenas de suministro extendidas.

Medidas de seguridad para "EO-Critical Software" (software crítico para la Tierra)

Security Measures for EO Critical Software es otro documento del NIST creado en respuesta a la Orden Ejecutiva 14028. El NIST define el software crítico para el OE como:

... cualquier software que tenga, o dependa directamente de, uno o más componentes con al menos uno de estos atributos:

• está diseñado para ejecutarse con privilegios elevados o gestionar privilegios;
• tiene acceso directo o privilegiado a la red o a los recursos informáticos;
• está diseñado para controlar el acceso a los datos o a la tecnología operativa;
• desempeña una función crítica para la confianza; o,
• opera fuera de los límites normales de confianza con acceso privilegiado. (Fuente)

El documento de medidas de seguridad está destinado principalmente a los organismos federales, pero puede ser fácilmente reutilizado por entidades del sector privado. El documento identifica las categorías de software que deben considerarse "críticas para la OE", lo que puede ayudarle a señalar a los proveedores potencialmente de alto riesgo durante la fase de elaboración de perfiles y clasificación por niveles.

Directrices del NIST sobre normas mínimas para la verificación del software por parte de los desarrolladores

Este documento del NIST establece directrices específicas para que los organismos federales verifiquen la seguridad del software utilizado. Incluye las siguientes técnicas de verificación que deben constituir la base para la identificación de riesgos:

• Modelización de amenazas para identificar problemas de seguridad a nivel de diseño
• Pruebas automatizadas para garantizar la coherencia y minimizar el esfuerzo humano
• Escaneo estático de código para detectar errores
• Herramientas heurísticas para buscar posibles secretos codificados
• Uso de controles y protecciones integrados
• "Casos de prueba de "caja negra
• Casos de prueba estructurales basados en código
• Casos de prueba históricos
• Fuzzing
• Escáneres de aplicaciones web, si procede
• Dirección del código incluido (bibliotecas, paquetes, servicios)

Guía C-SCRM del HHS

El Departamento de Salud y Servicios Humanos de EE.UU. publicó una presentación sobre la maduración de un programa C-SCRM. La presentación ofrece una visión general de alto nivel de las mejores prácticas de C-SCRM basadas en el NIST y cubre controles específicos y familias de controles que deben implementarse como parte de un programa holístico de C-SCRM.

¿Le preocupa la gestión de riesgos de la cadena de suministro cibernética? Prevalent puede ayudarle.

El riesgo cibernético de terceros está creciendo exponencialmente. Prevalent proporciona una plataforma fácil de usar que le permite automatizar los cuestionarios de evaluación de riesgos de los proveedores, asignar puntuaciones de riesgo a los proveedores, supervisar el riesgo y los cambios a lo largo del tiempo, y gestionar e informar sobre el riesgo de los proveedores. El uso de una plataforma TPRM dedicada puede automatizar el ciclo de vida de la gestión del riesgo de los proveedores y permitir que su equipo se centre en reducir el riesgo de la organización. Para ver cómo Prevalent puede ayudarle a gestionar el riesgo de la cadena de suministro, solicite una demostración hoy mismo.

---

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.