Guía del NCSC para la ciberseguridad de la cadena de suministro y la gestión de riesgos de terceros

Utilice estas mejores prácticas para abordar los requisitos de las 5 fases de orientación del Centro Nacional de Ciberseguridad del Reino Unido.

Personal de Mitratech
Personal de Mitratech Abril 12, 2023 9 minutos de lectura
Decorative image

Tras el continuo aumento de ciberataques de gran repercusión derivados de las vulnerabilidades de la cadena de suministro, el Centro Nacional de Ciberseguridad del Reino Unido (NCSC), dependiente del GCHQ, ha publicado unas directrices actualizadas para ayudar a las organizaciones a evaluar eficazmente la ciberseguridad de sus cadenas de suministro y ganar confianza en ella.

La última guía, publicada en octubre de 2022, tiene como objetivo ayudar a las organizaciones a implementar los 12 principios de seguridad de la cadena de suministro del NCSC publicados originalmente en enero de 2018, señalados en la ilustración a continuación (cortesía del Centro Nacional de Ciberseguridad, una parte de GCHQ).

Las orientaciones se dividen en las cinco etapas siguientes:

  1. Antes de empezar
  2. Desarrollar un enfoque para evaluar la ciberseguridad de la cadena de suministro
  3. Aplicar el enfoque a las nuevas relaciones con los proveedores
  4. Integrar el enfoque en los controles de suministro existentes
  5. Mejorar continuamente

En este artículo se examinan las cinco etapas de las últimas directrices del NCSC y se indican los pasos de las mejores prácticas para aplicarlas.

NCSC Supply Chain Cyber Security Guidance Etapa 1: Antes de empezar

Según las directrices del NCSC, el objetivo de la fase 1 es "adquirir conocimientos sobre el enfoque de su propia organización en materia de gestión de riesgos de ciberseguridad". Esta fase inicial de planificación incluye los siguientes pasos.

Comprender los riesgos a los que se enfrenta su organización

Según un estudio reciente del sector, el 45% de las organizaciones han sufrido una violación de datos o privacidad de terceros en los últimos 12 meses. Responda a estas preguntas clave:

  • ¿Puede su organización seguir siendo resistente ante una ciberinterrupción de la cadena de suministro?
  • ¿Puede identificar el objetivo de un ciberatacante? ¿Son los datos?
  • ¿Puede identificar la vía de ataque más probable para un ciberatacante?

Si la respuesta a alguna de estas preguntas es "no", entonces debe evaluar los puntos débiles de su cadena de suministro cibernético y elaborar un plan para mitigar esos riesgos.

Determinar quién debe participar en las decisiones sobre ciberseguridad de la cadena de suministro

Entre los participantes pueden figurar representantes de los equipos de compras y abastecimiento, gestión de riesgos, seguridad y TI, jurídico y cumplimiento, y privacidad de datos. La razón por la que deben participar tantos equipos como parte del proceso de gestión de riesgos cibernéticos de la cadena de suministro es que cada departamento tiende a centrarse en los riesgos que le importan. Por ejemplo:

  • Los equipos de seguridad informática y privacidad deben determinar qué controles existen para proteger los datos y el acceso a los sistemas, si se ha producido una violación del proveedor, cuál ha sido el impacto y si existe un riesgo indebido por parte de terceros.
  • Es posible que los equipos de contratación quieran saber si el historial financiero o crediticio del proveedor suscita alguna preocupación, o si el proveedor arrastra algún problema de reputación.
  • Los equipos jurídicos y de cumplimiento de la normativa querrán saber si el proveedor ha sido señalado en relación con la privacidad de los datos, el medio ambiente, los aspectos sociales y de gobernanza, el soborno o las sanciones.
  • Los equipos de gestión de riesgos querrán saber si el proveedor se encuentra en una región propensa a sufrir catástrofes naturales o inestabilidad geopolítica.

En primer lugar, establezca una matriz RACI para definir quién lo es en la organización:

  • Responsable de la gestión de riesgos
  • Responsable de los resultados
  • Consultado con
  • Se le mantiene informado sobre el proceso y los resultados

Por último, consiga la aprobación de los altos ejecutivos y el consejo de administración:

  • Presentar una visión consolidada de la exposición actual al riesgo de la cadena de suministro para la organización.
  • Comunicar la situación actual del riesgo y los esfuerzos de reducción
  • Determinar dónde se necesita apoyo ejecutivo

Evaluar los riesgos

Una forma habitual de clasificar el riesgo es mediante un "mapa de calor" que mide el riesgo en dos (2) ejes: Probabilidad de ocurrencia e impacto para las operaciones. Naturalmente, los riesgos con una puntuación alta en ambas escalas (por ejemplo, el cuadrante superior derecho) deben priorizarse más que los riesgos con una puntuación más baja.

Guía NCSC Fase 2: Desarrollar un enfoque para evaluar la ciberseguridad de la cadena de suministro

La guía de la Etapa 2 dice que "Cree un enfoque repetible y coherente para evaluar la ciberseguridad de sus proveedores". Esta etapa implica:

  • Saber qué activos debe proteger la organización;
  • Definir cuáles deben ser los controles de seguridad ideales para proteger el activo.
  • Determinar cómo evaluar a los proveedores y gestionar los incumplimientos.

Antes de crear el perfil de seguridad del proveedor, considere los riesgos inherentes a los que expone a la empresa. Tenga en cuenta este marco a la hora de calcular el riesgo inherente:

  • Importancia crítica para el rendimiento y las operaciones de la empresa
  • Ubicación(es) y consideraciones legales o reglamentarias relacionadas
  • Nivel de dependencia de cuartas partes (para evitar el riesgo de concentración)
  • Experiencia en procesos operativos o de cara al cliente
  • Interacción con datos protegidos
  • Situación económica y salud
  • Reputación

Con la información obtenida de esta evaluación de riesgos inherente, su equipo puede establecer automáticamente niveles y perfiles de proveedores, establecer cláusulas contractuales específicas para hacer cumplir las normas, fijar niveles adecuados de diligencia adicional, determinar el alcance de las evaluaciones en curso y definir medidas correctoras en caso de incumplimiento.

Para realizar un seguimiento del cumplimiento de los requisitos de seguridad, considere la posibilidad de estandarizar las evaluaciones con respecto a Cyber Essentials, ISO u otros marcos de control de seguridad de la información comúnmente adoptados.

Guía NCSC Fase 3: Aplicar el enfoque a las nuevas relaciones con proveedores

En la fase 3, las directrices del NCSC recomiendan incorporar "nuevas prácticas de seguridad a lo largo del ciclo de vida de los contratos de los nuevos proveedores, desde la adquisición y selección del proveedor hasta el cierre del contrato". Esto implica supervisar el cumplimiento de las disposiciones contractuales y concienciar al equipo de sus responsabilidades durante el proceso.

Estas orientaciones exigen que las organizaciones sean conscientes de los riesgos en cada etapa del ciclo de vida del proveedor, lo que incluye:

  • Llevar a cabo la diligencia debida previa al contrato, obteniendo información sobre la ciberseguridad o el historial de violaciones de datos de los posibles proveedores antes de tomar decisiones de selección.
  • Puntuación y categorización de los proveedores para saber cómo clasificarlos y qué diligencia debida es necesaria.
  • Validación de los resultados de la evaluación con datos de cibervigilancia en tiempo real
  • Seguimiento centralizado de todos los contratos y atributos contractuales relacionados con la seguridad
  • Medición de la eficacia de los proveedores, incluidos los indicadores clave de rendimiento, los indicadores clave de rendimiento y los acuerdos de nivel de servicio con respecto a las medidas de cumplimiento para garantizar que los proveedores cumplen los requisitos contractuales.
  • Poner fin a las relaciones de forma que se garantice el cumplimiento de los contratos, la destrucción de los datos y la comprobación de los puntos finales.

Realice evaluaciones de la ciberseguridad de los proveedores en el momento de la incorporación, la renovación del contrato o con cualquier frecuencia requerida (por ejemplo, trimestral o anual). Asegúrese de que las evaluaciones están respaldadas por capacidades de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas.

A continuación, rastree y analice continuamente las amenazas externas a terceros mediante la supervisión de Internet y la web oscura en busca de ciberamenazas y vulnerabilidades. Las fuentes de supervisión deben incluir: foros delictivos; páginas cebolla; foros de acceso especial de la web oscura; feeds de amenazas; sitios de pegado de credenciales filtradas; comunidades de seguridad; repositorios de código; bases de datos de vulnerabilidades; y bases de datos de violaciones de datos. Correlacione todos los datos de supervisión con los resultados de la evaluación y centralícelos en un registro de riesgos unificado para cada proveedor, agilizando las iniciativas de revisión de riesgos, elaboración de informes y respuesta.

Orientación de la NCSC Fase 4: Integrar el enfoque en los contratos de proveedores existentes

En la fase 4, el NCSC recomienda revisar "los contratos existentes en el momento de la renovación, o antes si se trata de proveedores críticos". Las directrices presuponen cierto nivel de gestión del ciclo de vida de los contratos y de los indicadores clave de rendimiento (KPI) e indicadores clave de rendimiento (KRI).

Gestión del ciclo de vida de los contratos

Centralizar la distribución, el debate, la conservación y la revisión de los contratos con proveedores, de modo que todos los equipos pertinentes puedan participar en las revisiones de los contratos para garantizar que se incluyen las cláusulas de seguridad adecuadas.

Entre las prácticas clave que deben tenerse en cuenta en la gestión de los contratos con proveedores figuran las siguientes:

  • Almacenamiento centralizado de contratos
  • Seguimiento de todos los contratos y sus atributos, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en funciones.
  • Capacidades de flujo de trabajo (basadas en el usuario o en el tipo de contrato) para automatizar el ciclo de vida de la gestión de contratos.
  • Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de los contratos
  • Debate centralizado sobre los contratos y seguimiento de los comentarios
  • Almacenamiento de contratos y documentos con permisos basados en funciones y registros de auditoría de todos los accesos.
  • Seguimiento del control de versiones que permite editar contratos y documentos fuera de línea.
  • Permisos basados en funciones que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.

Gestión de KPI y KRI

Una parte importante de la revisión de los contratos es la medición de los indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI). Para que la revisión de los KPI y KRI contractuales sea eficaz, clasifícalos así:

  • Las mediciones de riesgo ayudan a comprender el riesgo de hacer negocios con un proveedor, así como las mitigaciones asociadas.
  • Las mediciones de las amenazas se solapan en cierta medida con las del riesgo y ofrecen una visión más completa y validada del riesgo
  • Las mediciones de conformidad definen si los proveedores cumplen los requisitos de sus controles internos
  • Las mediciones de cobertura responden a la pregunta: "¿Tengo cobertura total de mi huella de proveedores y están escalonados y tratados en consecuencia?".

A continuación, asegúrese de vincular los resultados a las cláusulas del contrato para garantizar una gestión completa del proceso.

Por último, asegúrese de que su equipo sabe qué tipo de información debe ver el consejo. Este enfoque debería permitir a su equipo:

  • Presentar una visión consolidada de la exposición actual al riesgo de la cadena de suministro para la organización.
  • Comunicar el estado actual de los proveedores críticos que apoyan los principales esfuerzos de la empresa.
  • Mostrar el riesgo inherente y residual de las fuentes de información sobre amenazas para demostrar los avances en la reducción del riesgo a lo largo del tiempo.
  • Determinar dónde se necesita apoyo ejecutivo

Fase 5 de la Guía NCSC: Mejorar continuamente

La etapa final de la guía del NCSC dice que "perfeccionar periódicamente su enfoque a medida que surjan nuevos problemas reducirá la probabilidad de que se introduzcan riesgos en su organización a través de la cadena de suministro".

Rastrear y analizar continuamente las amenazas externas a terceros mediante la supervisión de Internet y la web oscura en busca de ciberamenazas y vulnerabilidades. Las fuentes de supervisión deben incluir: Foros criminales; of onion pages; foros de acceso especial de la dark web; feeds de amenazas; y sitios de pegado de credenciales filtradas; bases de datos de brechas - así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.

Los resultados de las evaluaciones y el seguimiento continuo deben cotejarse en un único registro de riesgos con informes de mapas de calor que midan y clasifiquen los riesgos en función de su probabilidad e impacto. Desarrollar planes de corrección con recomendaciones que los proveedores puedan seguir para reducir el riesgo residual. Proporcionar un foro para que los proveedores suban pruebas y se comuniquen sobre soluciones específicas con una pista de auditoría segura para el seguimiento de las soluciones hasta su conclusión.

Pasos siguientes: Descargue la lista de comprobación exhaustiva de ciberseguridad de la cadena de suministro del NCSC

Los requisitos del NCSC pueden ayudar a proporcionar una estructura y recomendaciones de mejores prácticas para mitigar los riesgos de ataques a la ciberseguridad de la cadena de suministro. Prevalent ofrece una plataforma central y automatizada para evaluar y supervisar de forma continua los riesgos en conjunción con su programa más amplio de gestión de riesgos de ciberseguridad.

Para obtener más información sobre cómo puede ayudarle Prevalent, visite nuestra página de soluciones NCSC, descargue la completa Lista de comprobación de ciberseguridad de la cadena de suministro NCSC o póngase en contacto con Prevalent hoy mismo para programar una demostración personalizada.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.