Guía de ciberseguridad para la cadena de suministro del NCSC

Contactar con un experto

Volver a todos los casos de uso

Ciberseguridad de la cadena de suministro y gestión de riesgos de terceros

El Centro Nacional de Ciberseguridad del Reino Unido (NCSC), que forma parte del GCHQ, ha publicadouna guía actualizadapara ayudar a las organizaciones a evaluar eficazmente y ganar confianza en la ciberseguridad de sus cadenas de suministro.

La última guía tiene como objetivo ayudar a las organizaciones a implementar los12 principios de seguridad de la cadena de suministrodel NCSC en cinco etapas:

1) Antes de empezar
2) Desarrollar un enfoque para evaluar la ciberseguridad de la cadena de suministro
3) Aplicar el enfoque a las nuevas relaciones con los proveedores
4) Integrar el enfoque en los controles existentes de los proveedores
5) Mejorar continuamente

Requisitos pertinentes

  • Adquiera conocimientos sobre el enfoque de su propia organización respecto a la gestión de riesgos de ciberseguridad.

  • Incorporar nuevas prácticas de seguridad a lo largo del ciclo de vida contractual de los nuevos proveedores, desde la adquisición y selección de proveedores hasta la finalización del contrato.

  • Perfeccionar periódicamente su enfoque a medida que surgen nuevos problemas reducirá la probabilidad de que se introduzcan riesgos en su organización a través de la cadena de suministro.

  • Cree un enfoque repetible y coherente para evaluar la ciberseguridad de sus proveedores.

  • Revise sus contratos actuales, ya sea en el momento de la renovación o antes, cuando se trate de proveedores críticos.

Cumplimiento de los requisitos de ciberseguridad de la cadena de suministro del NCSC

A continuación, le mostramos cómo Prevalent puede ayudarle a cumplir los requisitos establecidos en la Guía del Centro Nacional de Ciberseguridad del Reino Unido para la ciberseguridad de la cadena de suministro.

 

 

Orientación del NCSC

Consideraciones sobre las mejores prácticas

Etapa 1: Antes de comenzar

Según las directrices del NCSC, el objetivo de la fase 1 es «adquirir conocimientos sobre el enfoque de su propia organización en materia de gestión de riesgos de ciberseguridad». Esta fase inicial de planificación implica comprender:

  • Los riesgos a los que está expuesta su organización;
  • ¿Quiénes dentro de la organización deberían participar en las decisiones sobre ciberseguridad de la cadena de suministro?
  • Cómo debe evaluar el riesgo la organización.

Comprenda por qué su organización debe preocuparse por la ciberseguridad de la cadena de suministro.

Según unestudio reciente del sector, el 45 % de las organizaciones han sufrido una violación de la privacidad o de datos de terceros en los últimos 12 meses. Consideremos algunos ejemplos recientes y el impacto que causaron esos incidentes de seguridad:

Toyota: pérdidas financieras y operativas.

En febrero de 2022,Toyota cerró sus operaciones en Japóndespués de que Kojima Industries, uno de sus principales proveedores de plásticos, sufriera una filtración de datos. Kojima tenía acceso remoto a las plantas de fabricación de Toyota, lo que aumentaba considerablemente el riesgo para Toyota. Como resultado del cierre temporal, Toyota sufrió pérdidas financieras y operativas.

SolarWinds: demandas, multas, pérdida de la confianza de los clientes

Actores estatales rusos piratearon el software Orion, que luego se distribuyó a los clientes de SolarWinds como parte de una serie de actualizaciones planificadas periódicamente. Esta acción permitió a los ciberdelincuentes acceder a miles de sistemas y datos de la empresa. SolarWinds se enfrenta ademandas, multas, testimonios ante el Congresoy otras consecuencias, lo que afectará la confianza de sus clientes en la empresa durante los próximos años.

Responda a estas preguntas clave:

  • ¿Puede su organización seguir siendo resistente ante una ciberinterrupción de la cadena de suministro?
  • ¿Puede identificar el objetivo de un ciberatacante? ¿Son los datos?
  • ¿Puede identificar la vía de ataque más probable para un ciberatacante?

Si la respuesta a alguna de estas preguntas es "no", entonces debe evaluar los puntos débiles de su cadena de suministro cibernético y elaborar un plan para mitigar esos riesgos.

Identifique a los actores clave de su organización.

Contar con las personas adecuadas para respaldar la ciberseguridad de la cadena de suministro ayudará a impulsar los cambios necesarios.

Los participantes pueden incluir representantes de los equipos de compras y abastecimiento, gestión de riesgos, seguridad y TI, asuntos legales y cumplimiento normativo, y privacidad de datos. La razón por la que tantos equipos deben participar en el proceso de gestión de riesgos cibernéticos de la cadena de suministro es que cada departamento tiende a centrarse en los riesgos que le conciernen.

Los equipos de seguridad informáticayprivacidaddeben determinar qué controles se han implementado para proteger los datos y el acceso a los sistemas, si se ha producido una violación de la seguridad del proveedor, cuál ha sido su impacto y si existe un riesgo indebido por parte de terceros.

Los equipos de compraspueden querer hacerlo si el historial financiero o crediticio del proveedor suscita alguna preocupación, o si el proveedor tiene un problema de reputación.

Los equipos jurídicos y de cumplimiento normativoquerrán saber si el proveedor ha sido señalado por cuestiones relacionadas con la privacidad de los datos, el medio ambiente, la responsabilidad social y la gobernanza, el soborno o las sanciones.

Los equipos de gestión de riesgosquerrán saber si el proveedor se encuentra en una región propensa a sufrir desastres naturales o inestabilidad geopolítica.

En primer lugar, establezca una matriz RACI para definir quién lo es en la organización:

  • Responsable de la gestión de riesgos
    Responsable de los resultados
  • Consultado con
  • Se le mantiene informado sobre el proceso y los resultados

Por último, consiga la aprobación de los altos ejecutivos y el consejo de administración:

  • Presentar una visión consolidada de la exposición actual al riesgo de la cadena de suministro para la organización.
  • Comunicar la situación actual del riesgo y los esfuerzos de reducción
  • Determinar dónde se necesita apoyo ejecutivo

Comprenda cómo evalúa el riesgo su organización.

Una forma habitual de clasificar los riesgos es mediante un «mapa de calor» que mide el riesgo en dos ejes: la probabilidad de que se produzca y el impacto en las operaciones. Naturalmente, los riesgos que obtienen una puntuación alta en ambas escalas (por ejemplo, el cuadrante superior derecho) deben tener mayor prioridad que los riesgos que obtienen una puntuación más baja.

Etapa 2: Desarrollar un enfoque para evaluar la ciberseguridad de la cadena de suministro

La guía de la etapa 2 dice: «Crear un enfoque repetible y coherente para evaluar la ciberseguridad de sus proveedores». Esta etapa implica:

  • Saber qué activos debe proteger la organización;
  • Definir cuáles deben ser los controles de seguridad ideales para proteger el activo.
  • Determinar cómo evaluar a los proveedores y gestionar los incumplimientos.

Prioriza las «joyas de la corona» de tu organización.

Determine los aspectos críticos de su organización que más necesita proteger.

Crear componentes clave para el enfoque, que incluyen:

  • perfiles de seguridad que se asignarán a cada proveedor
  • preguntas para determinar el perfil de seguridad de cada proveedor
  • Requisitos de ciberseguridad para cada perfil
  • planes de gestión para supervisar el cumplimiento de los requisitos de seguridad por parte de los proveedores
  • Cláusulas relativas a la ciberseguridad que deben incluirse en los contratos con los proveedores.

Antes de crear el perfil de seguridad del proveedor, tenga en cuenta losriesgos inherentesa los que expone a la empresa. Tenga en cuenta este marco a la hora de calcular el riesgo inherente:

  • Importancia crítica para el rendimiento y las operaciones de la empresa
  • Ubicación(es) y consideraciones legales o reglamentarias relacionadas
  • Nivel de dependencia de cuartas partes (para evitar el riesgo de concentración)
  • Experiencia en procesos operativos o de cara al cliente
  • Interacción con datos protegidos
  • Situación económica y salud
  • Reputación

Con la información obtenida de esta evaluación de riesgos inherente, su equipo puede establecer automáticamente niveles y perfiles de proveedores, establecer cláusulas contractuales específicas para hacer cumplir las normas, fijar niveles adecuados de diligencia adicional, determinar el alcance de las evaluaciones en curso y definir medidas correctoras en caso de incumplimiento.

Para realizar un seguimiento del cumplimiento de los requisitos de seguridad, considere la posibilidad de estandarizar las evaluaciones con respecto a Cyber Essentials, ISO u otros marcos de control de seguridad de la información comúnmente adoptados.

Etapa 3: Aplicar el enfoque a las nuevas relaciones con los proveedores

En la fase 3, las directrices del NCSC recomiendan incorporar "nuevas prácticas de seguridad a lo largo del ciclo de vida de los contratos de los nuevos proveedores, desde la adquisición y selección del proveedor hasta el cierre del contrato". Esto implica supervisar el cumplimiento de las disposiciones contractuales y concienciar al equipo de sus responsabilidades durante el proceso.

Formar al equipo

Asegúrese de que las personas que participarán en la evaluación de los proveedores reciban formación en materia de ciberseguridad.

Considere exigir a los empleados responsables de las relaciones con los proveedores que obtengan certificaciones de seguridad individuales o que respalden las certificacionesCyber EssentialsoISO 27036-2de la organización.

Implantar controles de ciberseguridad durante toda la duración del contrato

Considere la ciberseguridad a lo largo de todo el ciclo de vida del contrato: desde la decisión de subcontratar, la selección del proveedor, la adjudicación del contrato, la entrega del proveedor hasta la rescisión. Piense qué prácticas pueden introducirse para asegurarse de que esto ocurre en cada adquisición.

Esta guía exige a las organizaciones que sean conscientes de los riesgos encada etapa del ciclo de vida del proveedor, incluyendo:

  • Llevar a cabo la diligencia debida previa al contrato, obteniendo información sobre la ciberseguridad o el historial de violaciones de datos de los posibles proveedores antes de tomar decisiones de selección.
  • Puntuación y categorización de los proveedores para saber cómo clasificarlos y qué diligencia debida es necesaria.
  • Validación de los resultados de la evaluación con datos de cibervigilancia en tiempo real
  • Seguimiento centralizado de todos los contratos y atributos contractuales relacionados con la seguridad
  • Medición de la eficacia de los proveedores, incluidos los indicadores clave de rendimiento, los indicadores clave de rendimiento y los acuerdos de nivel de servicio con respecto a las medidas de cumplimiento para garantizar que los proveedores cumplen los requisitos contractuales.
  • Poner fin a las relaciones de forma que se garantice el cumplimiento de los contratos, la destrucción de los datos y la comprobación de los puntos finales.

Supervisar el rendimiento de seguridad de los proveedores.

Realiceevaluacionesde ciberseguridad a los proveedores en el momento de su incorporación, renovación del contrato o con la frecuencia que sea necesaria (por ejemplo, trimestral o anualmente). Asegúrese de que las evaluaciones estén respaldadas por capacidades de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas.

A continuación, realice un seguimiento y análisis continuos delas amenazas externas a tercerosmediante la supervisión de Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades. Las fuentes de supervisión deben incluir: foros criminales; páginas onion; foros de acceso especial a la web oscura; fuentes de amenazas; sitios de pegado para credenciales filtradas; comunidades de seguridad; repositorios de código; bases de datos de vulnerabilidades; y bases de datos de violaciones de datos.

Correlacione todos los datos de supervisión con los resultados de la evaluación y centralícelos en un registro de riesgos unificado para cada proveedor, lo que agilizará la revisión de riesgos, la presentación de informes y las iniciativas de respuesta.

Etapa 4: Integrar el enfoque en los contratos existentes con los proveedores

En la fase 4, el NCSC recomienda revisar «los contratos existentes, ya sea en el momento de su renovación o antes, en el caso de los proveedores críticos». La guía da por sentado cierto nivel de gestión del ciclo de vida de los contratos.

Identificar los contratos existentes.

Evalúa los riesgos de tus contratos.

Apoye a sus proveedores

Revisar las cláusulas contractuales.

Centralizar la distribución, discusión, retención y revisión delos contratos con los proveedorespara que todos los equipos pertinentes puedan participar en las revisiones de los contratos y garantizar que se incluyan las cláusulas de seguridad adecuadas. Las prácticas clave que se deben tener en cuenta en la gestión de los contratos con los proveedores incluyen:

  • Almacenamiento centralizado de contratos
  • Seguimiento de todos los contratos y sus atributos, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en funciones.
  • Capacidades de flujo de trabajo (basadas en el usuario o en el tipo de contrato) para automatizar el ciclo de vida de la gestión de contratos.
  • Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de los contratos
  • Debate centralizado sobre los contratos y seguimiento de los comentarios
  • Almacenamiento de contratos y documentos con permisos basados en funciones y registros de auditoría de todos los accesos.
  • Seguimiento del control de versiones que permite editar contratos y documentos fuera de línea.
  • Permisos basados en funciones que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.

Informar sobre los avances a la junta directiva.

Comience por determinar la diferencia entre los indicadores clave de rendimiento(KPI) y los indicadores clave de riesgo (KRI)y cómo se relacionan entre sí.

  • Los indicadores clave de rendimiento (KPI)miden la eficacia de las funciones y los procesos.
  • Los indicadores clave de riesgo (KRI)indican el nivel de riesgo al que se enfrenta la organización y qué medidas de tratamiento del riesgo deben aplicarse.

A la hora de medir los KPI y los KRI, clasifíquelos de la siguiente manera:

  • Las mediciones de riesgoayudan a comprender el riesgo que conlleva hacer negocios con un proveedor, así como las medidas de mitigación asociadas.
  • Las mediciones de amenazasse superponen en cierta medida con el riesgo y ofrecen una visión más completa y validada del riesgo.
  • Las mediciones de cumplimientodefinen si los proveedores cumplen con sus requisitos de controles internos.
  • Las mediciones de coberturaresponden a la pregunta: «¿Tengo una cobertura completa de la huella de mis proveedores y están clasificados y tratados en consecuencia?».

A continuación, asegúrese de vincular los resultados a las cláusulas del contrato para garantizar una gestión completa del proceso.

Por último, asegúrese de que su equipo sabe qué tipo de información debe ver el consejo. Este enfoque debería permitir a su equipo:

  • Presentar una visión consolidada de la exposición actual al riesgo de la cadena de suministro para la organización.
  • Comunicar el estado actual de los proveedores críticos que apoyan los principales esfuerzos de la empresa.
  • Mostrar el riesgo inherente y residual de las fuentes de información sobre amenazas para demostrar los avances en la reducción del riesgo a lo largo del tiempo.
  • Determinar dónde se necesita apoyo ejecutivo

Etapa 5: Mejorar continuamente

La etapa final de la guía del NCSC dice que "perfeccionar periódicamente su enfoque a medida que surjan nuevos problemas reducirá la probabilidad de que se introduzcan riesgos en su organización a través de la cadena de suministro".

Evaluar periódicamente el enfoque y sus componentes.

Revisar continuamente el programa de ciberseguridad de la cadena de suministro de la organización en cada etapa del ciclo de vida del proveedor. Las áreas clave que deben revisarse incluyen:

  • Funciones y responsabilidades (por ejemplo, RACI)
  • Perfiles de seguridad de los proveedores
  • Puntuación de riesgo y umbrales basados en la tolerancia al riesgo de la organización.
  • Metodologías de evaluación y supervisión basadas en la
    criticidad de terceros.
  • Participación de terceros y cuartos en la prestación de servicios críticos
  • Fuentes de datos de supervisión continua (cibernética, empresarial,
    reputacional, financiera)
  • Indicadores clave de resultados (KPI) e indicadores clave de riesgo (KRI)
  • Políticas, normas, sistemas y procesos de gobierno para proteger los sistemas y datos
    .
  • Requisitos de cumplimiento y presentación de informes contractuales en relación con los niveles de servicio de
    .
  • Procesos de respuesta ante incidentes
  • Informes para las partes interesadas internas
  • Estrategias de mitigación y corrección de riesgos

Manténgase al tanto de las amenazas en constante evolución y actualice sus prácticas en consecuencia.

Manténgase al tanto de las amenazas emergentes y utilice los conocimientos adquiridos para actualizar la ciberseguridad de su cadena de suministro en consecuencia.

Realizar un seguimiento y análisis continuos delas amenazas externas a tercerosmediante la supervisión de Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como de fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Correlacione todos los datos de supervisión con los resultados de la evaluación y centralícelos en un registro de riesgos unificado para cada proveedor, lo que agilizará la revisión de riesgos, la presentación de informes y las iniciativas de respuesta.

Las fuentes de supervisión deben incluir:

  • Foros criminales; miles de páginas onion; foros de acceso especial a la dark web; fuentes de amenazas; y sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.
  • Fuentes públicas y privadas de información sobre reputación, incluyendo actividades de fusiones y adquisiciones, noticias empresariales, noticias negativas, información regulatoria y legal, actualizaciones operativas y más.
  • Resultados financieros, incluyendo volumen de negocios, pérdidas y ganancias, fondos de los accionistas, etc.
  • Fuentes de noticias globales
  • Perfiles de personas políticamente expuestas
  • Listas de sanciones globales

Colabore con sus proveedores

Desarrollar planes de corrección con recomendaciones que los proveedores puedan seguir para reducir el riesgo residual. Proporcionar un foro para que los proveedores carguen pruebas y se comuniquen sobre medidas correctivas específicas, con una pista de auditoría segura para el seguimiento de las medidas correctivas hasta su conclusión.

Recursos adicionales

Blog

Guía del NCSC para la ciberseguridad de la cadena de suministro y la gestión de riesgos de terceros

Blog

Cómo prepararse para el próximo ataque a la cadena de suministro de software

Blog

Mejores prácticas de gestión de riesgos en la cadena de suministro cibernética (C-SCRM)

Guía

Alinee su programa TPRM con ISO, NIST, SOC 2 y más

Ver más recursos

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.