El ritmo de las violaciones de datos y las intrusiones en los sistemas informáticos se está acelerando a un ritmo alarmante. Estamos asistiendo a avances sin precedentes en la sofisticación de los atacantes. Al mismo tiempo, los últimos y más importantes avances tecnológicos han generado una mayor eficiencia y eficacia para las organizaciones y sus cadenas de suministro.
Sin embargo, los proveedores de la cadena de suministro son igualmente vulnerables a los ataques avanzados. El creciente nivel de acceso e integración dentro de los entornos de las organizaciones anfitrionas puede presentar riesgos y nuevas vías potenciales de compromiso. Por lo tanto, para gestionar estos riesgos, las organizaciones anfitrionas deben adaptar sus procedimientos de seguridad para incluir a los proveedores, socios e incluso clientes. Además, para proteger la cadena de suministro
en la medida de lo posible, deben evaluar minuciosamente a su propio personal, sus procesos y su tecnología.
Cómo se producen las infracciones en la cadena de suministro
Hay muchas formas en las que se puede producir una violación de la cadena de suministro. Un fabricante de software podría sufrir una violación a través de un malware que modifique el código fuente, que luego se distribuiría a las empresas que utilizan el software. Este mismo escenario se produjo con SolarWinds
en 2020-2021.
Otro vector de compromiso habitual podría ser el robo de las credenciales de un proveedor que otorgan acceso remoto a una empresa con la que colaboran o a la que prestan asistencia, lo que a su vez conduce a la infiltración en la red de la empresa desde una fuente ya de confianza (la red del proveedor). Una y otra vez, hemos visto cómo el acceso de confianza se vuelve en nuestra contra, ya sea por parte de proveedores, socios u otros terceros con los que las organizaciones trabajan habitualmente.
Es hora de que hagamos un mejor trabajo a la hora de proteger nuestras redes y activos frente a organizaciones que, aunque sean fiables hasta cierto punto, pueden seguir representando un riesgo significativo para nuestras organizaciones por el simple hecho de estar conectadas o de proporcionarnos software o servicios. Pero, ¿cómo?
Una solución en dos pasos
1. Gestión de riesgos de proveedores
En primer lugar, necesitamos una gestión de riesgos más eficaz para los proveedores y prestadores de servicios que empleamos en nuestros entornos o que utilizamos para prestar servicios empresariales (como los proveedores de servicios en la nube, por ejemplo). Definir los proveedores y prestadores de servicios críticos (así como los socios) es un punto de partida, y luego debemos evaluar cuidadosamente con qué tipos de activos y datos interactuarán las organizaciones y soluciones de terceros.
2. Segmentación de redes
En segundo lugar, debemos mejorar la segmentación de las redes y los puntos de conectividad para cualquier tercero asociado, con el fin de prevenir mejor la entrada y el movimiento lateral de los atacantes. Algunos escenarios de acceso remoto para asociados «de confianza» permiten un acceso casi total a los sistemas una vez que las conexiones han sido autenticadas correctamente. A todos los terceros se les debe conceder acceso solo a los activos que necesitan, siguiendo la filosofía clásica de «necesidad de saber». Los segmentos de red (VLAN o subredes) deben configurarse en función de los tipos de datos y los modelos de acceso, con controles adecuados, como cortafuegos y detección de intrusiones, para controlar todo el tráfico que entra y sale del entorno.
Próximos pasos para reducir el riesgo de terceros
Ahora que más organizaciones que nunca se centran en la cadena de suministro, es el momento de analizar detenidamente qué productos y servicios de terceros tenemos, a qué pueden acceder los proveedores externos y qué tipo de comportamientos muestran los proveedores y prestadores de servicios en el día a día de la actividad empresarial. Dado que la cadena de suministro se encuentra hoy en día en el punto de mira de los adversarios, no hay mejor momento que ahora para centrarse en el riesgo de terceros y la seguridad de la cadena de suministro.
Para obtener más información sobre mis recomendaciones para asegurar las relaciones con terceros, vea el seminario web bajo demanda «Qué significa realmente tomarse en serio el riesgo de terceros».
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
