Mejores prácticas de gestión de riesgos en la cadena de suministro cibernética (C-SCRM)

Aunque su organización invierta importantes recursos en su programa de seguridad informática, puede seguir siendo muy difícil proteger su cadena de suministro cibernética contra violaciones de datos por parte de terceros, ataques de ransomware y otros riesgos de seguridad. Esta tarea se vuelve aún más difícil a medida que su cadena de suministro se vuelve más compleja o depende en gran medida de asociaciones en el extranjero.

¿Cómo puede obtener visibilidad sobre los riesgos que plantean los terceros, cuartos y enésimos participantes en su cadena de suministro ampliada, al tiempo que se asegura de que sus proveedores cuentan con los controles de seguridad necesarios para proteger su negocio? Este artículo le ayudará a dar los primeros pasos, compartiendo algunas prácticas recomendadas para crear un programa de gestión de riesgos de la cadena de suministro cibernética (C-SCRM) más eficaz y eficiente.

¿Qué es la gestión de riesgos de la cadena de suministro cibernética (C-SCRM)?

La gestión de riesgos de la cadena de suministro cibernética (C-SCRM) es el proceso de identificar, analizar y mitigar las vulnerabilidades, las exposiciones de datos y otras brechas de seguridad que amenazan la capacidad de una organización para ofrecer productos y servicios de tecnología de la información (TI) o tecnología operativa (TO).

La gestión del riesgo cibernético en su cadena de suministro no solo requiere proteger a su organización contra ataques directos, sino también mitigar el riesgo de violaciones de datos por parte de terceros y cuartos que podrían interrumpir su negocio.

El riesgo de la cadena de suministro es ahora una preocupación a nivel directivo para muchas organizaciones. Esto no es ninguna sorpresa, teniendo en cuenta las siguientes estadísticas de un estudio reciente de Prevalent:

• El 45 % de las organizaciones sufrió una violación de la privacidad o de datos de terceros en los últimos 12 meses.
• El 54 % de los encuestados informó de una interrupción en la cadena de suministro.
• El 55 % informó de un incumplimiento normativo relacionado con la falta de supervisión por parte de terceros.

Un programa eficaz de C-SCRM puede ayudar a su organización a tomar decisiones informadas y seleccionar proveedores que se tomen en serio la ciberseguridad y el cumplimiento normativo.

Ejemplos de riesgos cibernéticos en la cadena de suministro

Ransomware

El ransomware es un software malicioso que impide el acceso a los sistemas informáticos comprometidos, cifra los archivos de los sistemas o amenaza con divulgar datos confidenciales robados a menos que se pague dinero al atacante. Aunque el ransomware existe desde hace décadas, los avances tecnológicos han permitido a los delincuentes alcanzar nuevos niveles de escala y sofisticación. En lugar de centrarse principalmente en las pymes para extorsionarles pequeñas sumas, como hacían en el pasado, los atacantes ahora se dirigen a las grandes empresas que son piezas clave de las cadenas de suministro mundiales.

No es de extrañar que el ransomware haya sido un tema muy comentado en las noticias. Un ejemplo relacionado con C-SCRM es la violación de seguridad de Kaseya del año pasado, que provocó ataques de ransomware contra miles de empresas a través de la herramienta de supervisión y gestión remota (RMM) de la empresa.

Vulnerabilidades del software

El uso de software con vulnerabilidades conocidas o la falta de visibilidad sobre las prácticas de seguridad de un proveedor de software pueden dejar a su organización expuesta a importantes interrupciones, violaciones de datos y tiempos de inactividad. Tomemos, por ejemplo, la violación de SolarWinds, que dejó a miles de organizaciones y entidades gubernamentales expuestas a actores maliciosos durante meses.

Acceso físico y virtual a TI

El acceso físico y virtual a los sistemas informáticos es uno de los canales más evidentes a través de los cuales pueden producirse vulneraciones de la cadena de suministro. Numerosas empresas han sido pirateadas por contratistas que, en un principio, parecían presentar un bajo nivel de riesgo. Sin embargo, dado que estos contratistas tenían acceso físico a las instalaciones y a los sistemas informáticos, los actores maliciosos pudieron utilizarlos como troyanos para acceder a los clientes de las empresas.

Credenciales robadas

Los ciberdelincuentes no suelen robar datos directamente cuando explotan las cuentas de correo electrónico o las redes de una empresa. En su lugar, venden los nombres de usuario y contraseñas comprometidos en la web oscura a cambio de bitcoins u otras criptomonedas. Esto reduce el riesgo para el delincuente, ya que puede monetizar inmediatamente las credenciales robadas sin tener que entrar en cuentas individuales.

Recientemente, los grupos de ransomware que operan en la web oscura han comenzado a publicar información sobre sus víctimas para presionar a las organizaciones afectadas a pagar un rescate. Supervisar estos foros y blogs puede proporcionar una alerta temprana sobre posibles violaciones de datos que puedan afectar a los datos compartidos a lo largo de su cadena de suministro.

Infracciones de cumplimiento

Según un estudio reciente de Prevalent, el 55 % de las organizaciones informaron de una infracción de cumplimiento relacionada con la falta de supervisión de terceros. Cada vez más, se espera que las organizaciones protejan la información de identificación personal (PII) dentro de su propia organización y se aseguren de forma proactiva de que los terceros protejan los datos de los clientes y otra información confidencial. Las normativas aplicables incluyen la CCPA, el RGPD, el CMMC, el PCI DSS y varias otras.

Mejores prácticas de gestión de riesgos en la cadena de suministro cibernética (C-SCRM)

Encontrar soluciones que se adapten a los requisitos funcionales y empresariales de su organización ya requiere mucho tiempo. Evaluar la postura de un proveedor potencial en materia de ciberseguridad introduce una complejidad y una incertidumbre adicionales en el proceso de búsqueda y selección.

Por eso es fundamental iniciar la relación con un proveedor potencial llevando a cabo una diligencia debida previa al contrato, en consonancia con sus solicitudes de información, solicitudes de propuestas y otros procesos de licitación. La información sobre ciberseguridad que se debe recabar en esta fase inicial de la relación con el proveedor debe incluir:

• Historial de violaciones de datos y divulgaciones, para ayudar a determinar si el proveedor es vulnerable a los ciberataques.
• Tecnologías de terceros en uso, para obtener visibilidad sobre el riesgo de concentración tecnológica y descubrir tecnologías periféricas que podrían proporcionar canales secundarios a su organización.

Incorporar estos conocimientos a su proceso de RFx garantizará no solo que la solución seleccionada sea adecuada para su propósito, sino también que el proveedor que la ofrece no exponga a su organización a riesgos innecesarios.

Incorporar requisitos de seguridad en los contratos con los proveedores

Muchas organizaciones no tienen en cuenta que pueden exigir controles de ciberseguridad en los contratos. Los acuerdos de nivel de servicio (SLA) y otros acuerdos contractuales pueden exigir a terceros y cuartos que implementen o mantengan controles de ciberseguridad para proteger los datos confidenciales de su organización.

Comprender el riesgo perfilado, inherente y residual de los proveedores

Comprender los diferentes tipos de riesgo de los proveedores le permite tomar decisiones basadas en datos sobre cómo aplicar los cuestionarios de riesgo de los proveedores, así como comparar con precisión a los proveedores en función del riesgo medible. En Prevalent, clasificamos el riesgo de los proveedores en tres tipos:

• Riesgo perfilado: El riesgo perfilado se aplica a la categoría de producto o servicio que un proveedor ofrece a su organización. Por ejemplo, un proveedor de servicios gestionados (MSP) con acceso a su entorno de TI supone un riesgo perfilado mucho mayor que un contratista de limpieza.
• Riesgo inherente: El riesgo inherente es el nivel de riesgo que presenta un proveedor antes de implementar los controles de seguridad exigidos por su organización. El riesgo inherente se calcula para empresas específicas basándose en evaluaciones de riesgos y datos de supervisión de riesgos.
• Riesgo residual: El riesgo residual es el riesgo que permanece después de que un proveedor haya tomado medidas correctivas o de mitigación. Su equipo de gestión de riesgos deberá determinar si los riesgos residuales son aceptables o no.

Utilizar cuestionarios y repositorios de riesgos de proveedores

Los cuestionarios de riesgo de proveedores pueden proporcionar visibilidad sobre los controles de ciberseguridad de un proveedor y ayudar a evitar infracciones de cumplimiento. Puede acelerar considerablemente el proceso de diligencia debida de los proveedores adaptando sus cuestionarios en función del riesgo inherente y relacionando las respuestas con las normativas de ciberseguridad aplicables a su organización.

También debe considerar segmentar los cuestionarios según el sector, el nivel de servicio y/o el nivel de acceso al sistema. Por ejemplo, un proveedor de software puede necesitar un cuestionario muy diferente al de un contratista de climatización in situ. El uso eficaz de los cuestionarios de riesgo de proveedores puede simplificar el cumplimiento normativo, agilizar la incorporación de proveedores y proporcionar visibilidad de la cadena de suministro ampliada.

El uso de una plataforma de gestión de riesgos de terceros puede ayudar a automatizar el proceso y reducir el tiempo necesario para evaluar a los proveedores. Además, suscribirse a una red de inteligencia de riesgos de proveedores es una forma rentable de acceder a miles de evaluaciones ya completadas y ampliar la escala de la búsqueda, selección, incorporación y puntuación de riesgos inherentes.

Consejo adicional: al diseñar los cuestionarios de evaluación de riesgos de proveedores, incluya preguntas sobre cuartos y enésimos terceros para obtener una mayor visibilidad de los riesgos en la cadena de suministro. Aunque su tercero cuente con controles de ciberseguridad sólidos, uno de sus proveedores podría provocar una violación de datos que, en última instancia, afectaría a su organización.

Practique la supervisión continua en toda su cadena de suministro cibernética.

La práctica de la supervisión continua por parte de terceros puede ayudarle a identificar nuevas vulnerabilidades, violaciones de datos y otras exposiciones de seguridad que afectan a los proveedores. La supervisión le permite estar al tanto de los riesgos que pueden surgir entre las evaluaciones periódicas basadas en cuestionarios. Una solución sólida de supervisión de riesgos cibernéticos puede proporcionar información procedente de foros criminales, páginas onion, foros de acceso especial a la web oscura, fuentes de amenazas, sitios de pegado, comunidades de seguridad, repositorios de código, bases de datos de vulnerabilidades y otras fuentes.

Además de proporcionar una alerta temprana de posibles incidentes que podrían afectar a su organización, la supervisión continua puede validar si los controles indicados en las respuestas de la evaluación de un proveedor están implementados y funcionan según lo previsto.

No se olvide de la Cuarta y la Enésima Fiesta

A diferencia de lo que ocurre con los bienes físicos, puede resultar difícil realizar un seguimiento de cómo se almacena y se comparte la información de su organización a lo largo de su cadena de suministro ampliada. Es probable que cada organización de su cadena de suministro cibernética trabaje con docenas, o incluso cientos, de empresas de software, contratistas de TI subcontratados y otros terceros, varios de los cuales podrían tener acceso a la información de su empresa. Lo último que un CISO o CIO quiere oír es que la organización ha sido víctima de una violación de datos debido a la negligencia de un proveedor de Nésima parte.

A continuación se indican algunas prácticas recomendadas que puede utilizar a la hora de evaluar y mitigar el riesgo de terceros.

Identifique los proveedores críticos para la misión en su cadena de suministro cibernética.

Para crear un programa C-SCRM eficaz, es necesario priorizar los riesgos de los proveedores en los que centrarse. La organización media trabaja con innumerables terceros, cuartos y enésimos. Es imposible detectar todos los riesgos de la cadena de suministro ampliada de cada proveedor. Cuando trabaje para obtener visibilidad de su cadena de suministro cibernética de cuartos y enésimos, comience por centrarse en los proveedores más importantes en función de sus puntuaciones de riesgo inherentes. A la hora de establecer prioridades, tenga en cuenta lo siguiente:

• ¿Qué nivel de acceso tiene el proveedor a datos regulados, como PII, PFI, PHI y, cuando corresponda, información clasificada o no clasificada controlada?
• ¿El proveedor es un proveedor de software? Si es así, ¿dónde aloja los datos de la organización y qué controles de seguridad tiene el centro de datos?
• ¿Cuenta el proveedor con su propio programa de gestión de riesgos de la cadena de suministro cibernética? En caso afirmativo, ¿puede elaborar un informe sobre los riesgos de su cadena de suministro cibernética?
• ¿La organización basa sus programas de seguridad de la información y gestión de riesgos de terceros en marcos ampliamente aceptados?

Mapee su cadena de suministro cibernética ampliada

Crear un mapa completo de su cadena de suministro, con las dependencias y los niveles de riesgo, puede proporcionarle la visibilidad que necesita para tomar decisiones eficaces de mitigación de riesgos. En primer lugar, debe asegurarse de que está recopilando los datos necesarios. Las preguntas relativas a las cuartas y enésimas partes de su cadena de suministro ampliada deben ser habituales en todos los cuestionarios de evaluación de riesgos de los proveedores.

Una vez que comprenda bien su ecosistema de terceros y cuartos, podrá identificar a los proveedores que pueden presentar puntos únicos de fallo o niveles inaceptables de riesgo para la seguridad de la información. A continuación se ofrecen algunas sugerencias de corrección si se considera que un cuarto o enésimo proveedor presenta un alto riesgo:

• Solicitud de actualización de su contrato con el tercero correspondiente para limitar el intercambio de datos o el acceso a la infraestructura informática con el cuarto tercero de alto riesgo.
• Solicitar información adicional sobre los controles de seguridad y la infraestructura de la cuarta parte.
• Considerar proveedores alternativos externos cuando los contratos estén a punto de renovarse.
• Trabajar con el departamento interno asociado con el tercero para implementar medidas de seguridad y limitar el intercambio de datos confidenciales.
• Realice un seguimiento continuo de la cuarta parte para reducir el riesgo de un compromiso que, en última instancia, podría afectar a su organización.

Reevaluar periódicamente el riesgo de los proveedores

Los riesgos surgen y evolucionan constantemente, por lo que no basta con limitar a los proveedores críticos a una única evaluación de riesgos puntual. Asegúrese de reevaluar el riesgo en varios momentos a lo largo del ciclo de vida del contrato para garantizar que el riesgo residual no haya aumentado más allá de los niveles aceptables. A continuación, se incluyen algunas preguntas que debe tener en cuenta:

• ¿Su programa C-SCRM realiza evaluaciones de riesgos a lo largo de todo el ciclo de vida del contrato o solo una vez al principio?
• ¿El alcance y la frecuencia de las evaluaciones de riesgos se determinan en función de los resultados de los riesgos detectados durante el proceso de incorporación de proveedores?
• ¿Es capaz de integrar eficazmente los cambios en el perfil de riesgo residual de los proveedores en su flujo de trabajo más amplio de gestión de riesgos de terceros?
• ¿Evalúa usted el riesgo de cuarta y enésima parte como parte de sus evaluaciones de riesgo estándar?

Implementar un plan de respuesta ante incidentes de proveedores.

Premeditatio malorum: expresión latina que significa «la premeditación de los males y problemas que pueden surgir en el futuro». O, dicho de forma más clara: ¡prepárate para lo peor! Se producirán incidentes cibernéticos no deseados por parte de los proveedores. Sin embargo, el nivel de preparación de tu organización para esos incidentes puede marcar la diferencia entre una interrupción grave y una perturbación leve.

La gestión eficaz de incidentes (IM) y el C-SCRM van de la mano. Por ejemplo, identificar a sus terceros, cuartos y enésimos socios permite una gestión eficaz de incidentes, teniendo en cuenta que hasta la mitad de todos los incidentes se originan en los proveedores. Los contratos con proveedores y subcontratistas deben incluir requisitos de notificación de IM/incumplimientos en un plazo determinado (por ejemplo, 24 horas) tras la identificación de un incidente grave. La validación de los procesos y contactos de IM de sus proveedores, junto con pruebas periódicas, puede ayudar a garantizar la preparación operativa para responder y resolver incidentes.

Mantenga la diligencia durante la salida de la empresa

Muchas empresas dedican mucho tiempo a la diligencia debida de los proveedores, los cuestionarios de riesgos y la identificación de los requisitos de cumplimiento, pero no planifican el final de la relación, momento en el que se producen muchas exposiciones de seguridad. Por eso, la salida de los proveedores es tan importante como su incorporación. Si no se logra dar de baja a los proveedores y garantizar que se han destruido los datos confidenciales y se ha revocado el acceso a las TI, se puede producir lo siguiente:

• Problemas de cumplimiento si un contrato ha expirado y el proveedor sigue teniendo acceso a los sistemas informáticos.
• Posibles violaciones de datos si un proveedor ha almacenado información personal identificable (PII) o información médica protegida (PHI) de sus empleados o clientes.
• Amenazas internas cuando los empleados de los contratistas conservan el acceso a los datos y los sistemas.

Recursos de C-SCRM

Existen varios recursos sobre gestión de riesgos cibernéticos en la cadena de suministro que puede consultar al crear o evaluar su programa. Entre los recursos más destacados se incluyen los publicados por el Instituto Nacional de Estándares y Tecnología (NIST) y otras agencias gubernamentales, organismos reguladores y grupos industriales privados. A continuación, se incluyen algunos recursos útiles:

Publicación especial 800-161 r1 del NIST: Prácticas de gestión de riesgos de la cadena de suministro en materia de ciberseguridad para sistemas y organizaciones.

NIST SP 800-161 es un marco de gestión de riesgos de la cadena de suministro cibernética que puede ayudar a su organización a crear y madurar su programa C-SCRM. NIST 800-161 proporciona orientación detallada sobre cómo incorporar un programa C-SCRM en su estrategia más amplia de gestión de riesgos empresariales y abarca los factores críticos de éxito para crear un programa C-SCRM eficaz. Los controles NIST 800-161 se dividen en 20 familias que van desde el control de acceso hasta los incidentes y la respuesta.

Marco de exposición al riesgo C-SCRM del NIST

El apéndice A de la norma NIST SP 800-161 Rev. 1 incluye un marco de exposición al riesgo con directrices detalladas para identificar posibles escenarios de amenazas a la cadena de suministro. El NIST define un escenario de amenaza como «un conjunto de eventos de amenaza discretos asociados con una fuente de amenaza potencial específica o identificada, o con múltiples fuentes de amenaza, parcialmente ordenados en el tiempo». El Marco de Exposición al Riesgo del NIST le permite identificar y asignar riesgos a diversos escenarios de amenazas a la cadena de suministro, e incorporar estos hallazgos en su enfoque más amplio de evaluación de riesgos de terceros.

Plantillas C-SCRM del NIST

El apéndice D de la norma NIST 800-161 r1 proporciona varias plantillas para documentar su programa C-SCRM, incluyendo planes de implementación, iniciativas de cumplimiento, objetivos estratégicos, funciones y responsabilidades, e hitos de implementación. Estas plantillas son muy valiosas para esbozar un nuevo programa C-SCRM o mejorar su programa existente con documentación de apoyo.

Guía del NIST sobre la cadena de suministro de software seguro

El NIST publicó su Guía sobre la cadena de suministro de seguridad del software en respuesta a los requisitos de la Orden Ejecutiva (EO) 14028, sección 4E, sobre la mejora de la ciberseguridad nacional. El documento está dirigido a las agencias federales, pero muchas de las mismas prácticas pueden ser empleadas por las empresas que buscan mitigar los riesgos cibernéticos en sus cadenas de suministro ampliadas.

Medidas de seguridad para «software crítico para la ejecución»

Las medidas de seguridad para el software crítico para la orden ejecutiva son otro documento del NIST creado en respuesta a la Orden Ejecutiva 14028. El NIST define el software crítico para la orden ejecutiva como:

... cualquier software que tenga, o dependa directamente de, uno o más componentes con al menos uno de estos atributos:

• está diseñado para ejecutarse con privilegios elevados o gestionar privilegios;
• tiene acceso directo o privilegiado a recursos informáticos o de red;
• está diseñado para controlar el acceso a los datos o a la tecnología operativa;
• desempeña una función fundamental para la confianza; o
• opera fuera de los límites normales de confianza con acceso privilegiado. (Fuente)

El documento sobre medidas de seguridad está destinado principalmente a organismos federales, pero las entidades del sector privado también pueden reutilizarlo fácilmente. El documento identifica las categorías de software que deben considerarse «críticas para la seguridad nacional», lo que puede ayudarle a señalar a los proveedores que pueden suponer un alto riesgo durante la fase de elaboración de perfiles y clasificación.

Directrices del NIST sobre los requisitos mínimos para la verificación del software por parte de los desarrolladores

Este documento del NIST establece directrices específicas para que las agencias federales verifiquen la seguridad del software que utilizan. Esto incluye las siguientes técnicas de verificación que deben constituir la base para identificar los riesgos:

• Modelado de amenazas para identificar problemas de seguridad a nivel de diseño.
• Pruebas automatizadas para garantizar la coherencia y minimizar el esfuerzo humano.
• Escaneo estático de código para detectar errores
• Herramientas heurísticas para buscar posibles secretos codificados de forma fija.
• Uso de controles y protecciones integrados
• Casos de prueba de «caja negra»
• Casos de prueba estructurales basados en código
• Casos de prueba históricos
• Fuzzing
• Escáneres de aplicaciones web, si procede.
• Dirección con código incluido (bibliotecas, paquetes, servicios)

Guía C-SCRM del Departamento de Salud y Servicios Humanos (HHS)

El Departamento de Salud y Servicios Humanos de los Estados Unidos publicó una presentación sobre la maduración de un programa C-SCRM. La presentación ofrece una visión general de alto nivel de las mejores prácticas de C-SCRM basadas en el NIST y abarca controles específicos y familias de controles que deben implementarse como parte de un programa C-SCRM holístico.

¿Le preocupa la gestión de riesgos cibernéticos en la cadena de suministro? Prevalent puede ayudarle.

El riesgo cibernético de terceros está creciendo exponencialmente. Prevalent ofrece una plataforma fácil de usar que le permite automatizar los cuestionarios de evaluación de riesgos de los proveedores, asignar puntuaciones de riesgo a los proveedores, supervisar los riesgos y los cambios a lo largo del tiempo, y gestionar e informar sobre los riesgos de los proveedores. El uso de una plataforma TPRM dedicada puede automatizar el ciclo de vida de la gestión de riesgos de los proveedores y permitir que su equipo se centre en reducir el riesgo organizativo. Para ver cómo Prevalent puede ayudarle a gestionar el riesgo de la cadena de suministro, solicite una demostración hoy mismo.

---

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.