Guía del NCSC para la ciberseguridad de la cadena de suministro y la gestión de riesgos de terceros

Utilice estas prácticas recomendadas para abordar los requisitos en las cinco etapas de orientación del Centro Nacional de Ciberseguridad del Reino Unido.

Personal de Mitratech
Personal de Mitratech 12 de abril de 2023 9 minutos de lectura
Decorative image

Tras un aumento continuo de los ciberataques de alto perfil derivados de las vulnerabilidades de la cadena de suministro, el Centro Nacional de Ciberseguridad del Reino Unido (NCSC), que forma parte del GCHQ, ha publicado una guía actualizada para ayudar a las organizaciones a evaluar eficazmente y ganar confianza en la ciberseguridad de sus cadenas de suministro.

La última guía, publicada en octubre de 2022, tiene por objeto ayudar a las organizaciones a aplicar los 12 principios de seguridad de la cadena de suministro del NCSC, publicados originalmente en enero de 2018, que se recogen en la ilustración siguiente (cortesía del Centro Nacional de Ciberseguridad, que forma parte del GCHQ).

La guía se divide en las siguientes cinco etapas:

  1. Antes de empezar
  2. Desarrollar un enfoque para evaluar la ciberseguridad de la cadena de suministro.
  3. Aplicar el enfoque a las nuevas relaciones con los proveedores.
  4. Integrar el enfoque en los controles existentes de los proveedores.
  5. Mejorar continuamente

Esta publicación examina las cinco etapas de la última guía del NCSC e identifica los pasos de las mejores prácticas para implementar la guía.

Guía de ciberseguridad para la cadena de suministro del NCSC Etapa 1: Antes de empezar

Según las directrices del NCSC, el objetivo de la fase 1 es «adquirir conocimientos sobre el enfoque de su propia organización en materia de gestión de riesgos de ciberseguridad». Esta fase inicial de planificación comprende los siguientes pasos.

Comprender los riesgos a los que se enfrenta su organización

Según un estudio reciente del sector, el 45 % de las organizaciones han sufrido una violación de la privacidad o de datos de terceros en los últimos 12 meses. Responda a estas preguntas clave:

  • ¿Puede su organización mantener su resiliencia ante una interrupción cibernética de la cadena de suministro?
  • ¿Puedes identificar el objetivo de un ciberataque? ¿Son los datos?
  • ¿Puedes identificar la vía de ataque más probable para un ciberatacante?

Si la respuesta a cualquiera de estas preguntas es «no», entonces debe evaluar los puntos débiles de su cadena de suministro cibernética y elaborar un plan para mitigar esos riesgos.

Determinar quién debe participar en las decisiones sobre ciberseguridad de la cadena de suministro.

Entre los participantes pueden figurar representantes de los equipos de compras y aprovisionamiento, gestión de riesgos, seguridad y TI, asuntos jurídicos y cumplimiento normativo, y privacidad de datos. La razón por la que tantos equipos deben participar en el proceso de gestión de los riesgos cibernéticos de la cadena de suministro es que cada departamento tiende a centrarse en los riesgos que le conciernen. Por ejemplo:

  • Los equipos de seguridad informática y privacidad deben determinar qué controles se han implementado para proteger los datos y el acceso a los sistemas, si se ha producido una violación de la seguridad del proveedor, cuál ha sido su impacto y si existe un riesgo indebido por parte de terceros.
  • Los equipos de compras pueden querer hacerlo si el historial financiero o crediticio del proveedor suscita alguna preocupación, o si el proveedor tiene un problema de reputación.
  • Los equipos jurídicos y de cumplimiento normativo querrán saber si el proveedor ha sido señalado por cuestiones relacionadas con la privacidad de los datos, el medio ambiente, la responsabilidad social y la gobernanza, el soborno o las sanciones.
  • Los equipos de gestión de riesgos querrán saber si el proveedor se encuentra en una región propensa a sufrir desastres naturales o inestabilidad geopolítica.

En primer lugar, establezca una matriz RACI para definir quién es, dentro de la organización:

  • Responsable de la gestión de riesgos
  • Responsable de los resultados
  • Consultado con
  • Mantenido informado sobre el proceso y los resultados

Por último, consiga el apoyo de los altos ejecutivos y del consejo de administración mediante:

  • Presentación de una visión consolidada de la exposición actual al riesgo de la organización desde la cadena de suministro.
  • Comunicar el estado actual del riesgo y las medidas de reducción
  • Identificar dónde se necesita el apoyo de los ejecutivos

Evaluación de riesgos

Una forma habitual de clasificar los riesgos es mediante un «mapa de calor» que mide el riesgo en dos (2) ejes: la probabilidad de que se produzca y el impacto en las operaciones. Naturalmente, los riesgos que obtienen una puntuación alta en ambas escalas (por ejemplo, el cuadrante superior derecho) deben tener mayor prioridad que los riesgos que obtienen una puntuación más baja.

Orientación del NCSC, fase 2: Desarrollar un enfoque para evaluar la ciberseguridad de la cadena de suministro

La guía de la etapa 2 indica que se debe «crear un enfoque repetible y coherente para evaluar la ciberseguridad de sus proveedores». Esta etapa implica:

  • Saber qué activos debe proteger la organización.
  • Definir cuáles deberían ser los controles de seguridad ideales para proteger el activo; y
  • Determinar cómo evaluar a los proveedores y gestionar los incumplimientos.

Antes de crear el perfil de seguridad del proveedor, tenga en cuenta los riesgos inherentes a los que expone a la empresa. Tenga en cuenta este marco a la hora de calcular el riesgo inherente:

  • Importancia crítica para el rendimiento y las operaciones empresariales
  • Ubicación(es) y consideraciones legales o normativas relacionadas
  • Nivel de dependencia de terceros (para evitar el riesgo de concentración)
  • Exposición a procesos operativos o de atención al cliente
  • Interacción con datos protegidos
  • Situación financiera y salud
  • Reputación

A partir de los conocimientos obtenidos en esta evaluación de riesgos inherentes, su equipo puede clasificar y perfilar automáticamente a los proveedores; establecer cláusulas contractuales específicas para hacer cumplir las normas; fijar los niveles adecuados de diligencia adicional; determinar el alcance de las evaluaciones continuas; y definir las medidas correctivas en caso de incumplimiento.

Para realizar un seguimiento del cumplimiento de los requisitos de seguridad, considere la posibilidad de estandarizar las evaluaciones con respecto a Cyber Essentials, ISO u otros marcos de control de seguridad de la información comúnmente adoptados.

Orientación del NCSC, fase 3: aplicar el enfoque a las relaciones con nuevos proveedores

En la fase 3, las directrices del NCSC recomiendan incorporar «nuevas prácticas de seguridad a lo largo de todo el ciclo de vida contractual de los nuevos proveedores, desde la adquisición y la selección de proveedores hasta la finalización del contrato». Esto implica supervisar el cumplimiento de las disposiciones contractuales y mantener al equipo al tanto de sus responsabilidades durante el proceso.

Esta guía exige a las organizaciones que sean conscientes de los riesgos en cada etapa del ciclo de vida del proveedor, incluyendo:

  • Realizar una diligencia debida previa al contrato obteniendo información sobre ciberseguridad o el historial de violaciones de datos de los posibles proveedores antes de tomar decisiones de selección.
  • Puntuación y categorización de proveedores para que sepa cómo clasificarlos y qué diligencia debida continua es necesaria.
  • Validación de los resultados de la evaluación con datos de supervisión cibernética en tiempo real.
  • Seguimiento centralizado de todos los contratos y atributos contractuales relacionados con la seguridad.
  • Medir la eficacia de los proveedores, incluyendo los KPI, KRI y SLA, en relación con las medidas de cumplimiento para garantizar que dichos proveedores cumplen los requisitos contractuales.
  • Finalizar las relaciones de manera que se garantice el cumplimiento del contrato, la destrucción de datos y que se comprueben los elementos finales.

Realice evaluaciones de ciberseguridad a los proveedores en el momento de su incorporación, renovación del contrato o con la frecuencia que sea necesaria (por ejemplo, trimestral o anualmente). Asegúrese de que las evaluaciones estén respaldadas por capacidades de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas.

A continuación, realice un seguimiento y análisis continuos de las amenazas externas a terceros mediante la supervisión de Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades. Las fuentes de supervisión deben incluir: foros criminales; páginas onion; foros de acceso especial a la web oscura; fuentes de amenazas; sitios de pegado para credenciales filtradas; comunidades de seguridad; repositorios de código; bases de datos de vulnerabilidades; y bases de datos de violaciones de datos. Correlacione todos los datos de supervisión con los resultados de la evaluación y centralícelos en un registro de riesgos unificado para cada proveedor, agilizando la revisión de riesgos, la presentación de informes y las iniciativas de respuesta.

Orientación del NCSC, fase 4: Integrar el enfoque en los contratos existentes con los proveedores

En la fase 4, el NCSC recomienda revisar «los contratos existentes, ya sea en el momento de su renovación o antes, en el caso de los proveedores críticos». La guía da por sentado un cierto nivel de gestión del ciclo de vida de los contratos y de los KPI y KRI.

Gestión del ciclo de vida de los contratos

Centralizar la distribución, discusión, retención y revisión de los contratos con los proveedores para que todos los equipos pertinentes puedan participar en las revisiones de los contratos y garantizar que se incluyan las cláusulas de seguridad adecuadas.

Las prácticas clave que se deben tener en cuenta en la gestión de los contratos con proveedores incluyen:

  • Almacenamiento centralizado de contratos
  • Seguimiento de todos los contratos y atributos de los contratos, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en funciones.
  • Funciones de flujo de trabajo (basadas en el tipo de usuario o contrato) para automatizar el ciclo de vida de la gestión de contratos.
  • Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de contratos.
  • Discusión centralizada de contratos y seguimiento de comentarios
  • Almacenamiento de contratos y documentos con permisos basados en roles y registros de auditoría de todos los accesos.
  • Seguimiento del control de versiones que admite la edición de contratos y documentos sin conexión.
  • Permisos basados en roles que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.

Gestión de KPI y KRI

Una parte importante de los contratos de revisión es la medición de los indicadores clave de rendimiento (KPI) y los indicadores clave de riesgo (KRI). Para permitir una revisión eficiente de los KPI y KRI contractuales, clasifíquelos de la siguiente manera:

  • Las mediciones de riesgo ayudan a comprender el riesgo que conlleva hacer negocios con un proveedor, así como las medidas de mitigación asociadas.
  • Las mediciones de amenazas se superponen en cierta medida con el riesgo y ofrecen una visión más completa y validada del riesgo.
  • Las mediciones de cumplimiento definen si los proveedores cumplen con sus requisitos de controles internos.
  • Las mediciones de cobertura responden a la pregunta: «¿Tengo una cobertura completa de la huella de mis proveedores y están clasificados y tratados en consecuencia?».

A continuación, asegúrese de vincular los resultados con las disposiciones del contrato para proporcionar una gobernanza completa sobre el proceso.

Por último, asegúrate de que tu equipo comprenda perfectamente qué tipo de información debe ver la junta directiva. Este enfoque debería permitir a tu equipo:

  • Presentar una visión consolidada de la exposición actual al riesgo de la organización desde la cadena de suministro.
  • Comunicar el estado actual de los proveedores críticos que respaldan los principales esfuerzos de la empresa.
  • Mostrar el riesgo inherente y residual a partir de fuentes de inteligencia sobre amenazas para demostrar el progreso en la reducción del riesgo a lo largo del tiempo.
  • Identificar dónde se necesita apoyo ejecutivo.

Orientación del NCSC Etapa 5: Mejorar continuamente

La etapa final de la guía del NCSC dice: «Perfeccionar periódicamente su enfoque a medida que surgen nuevos problemas reducirá la probabilidad de que se introduzcan riesgos en su organización a través de la cadena de suministro».

Realizar un seguimiento y análisis continuos de las amenazas externas a terceros mediante la supervisión de Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades. Las fuentes de supervisión deben incluir: foros criminales; páginas onion; foros de acceso especial a la web oscura; fuentes de amenazas; y sitios de pegado de credenciales filtradas; bases de datos de violaciones, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.

Los resultados de las evaluaciones y el seguimiento continuo deben recopilarse en un único registro de riesgos con informes de mapas de calor que midan y clasifiquen los riesgos en función de su probabilidad e impacto. Desarrolle planes de corrección con recomendaciones que los proveedores puedan seguir para reducir el riesgo residual. Proporcione un foro para que los proveedores puedan cargar pruebas y comunicarse sobre correcciones específicas con un registro de auditoría seguro para realizar un seguimiento de las correcciones hasta su finalización.

Próximos pasos: Descargar la lista de verificación completa de ciberseguridad de la cadena de suministro del NCSC

Los requisitos del NCSC pueden ayudar a proporcionar recomendaciones sobre estructuras y mejores prácticas para mitigar los riesgos de los ataques a la ciberseguridad de la cadena de suministro. Prevalent ofrece una plataforma centralizada y automatizada para evaluar y supervisar continuamente los riesgos, en consonancia con su programa más amplio de gestión de riesgos de ciberseguridad.

Para obtener más información sobre cómo Prevalent puede ayudarle, visite nuestra página de soluciones NCSC, descargue la completa lista de verificación de ciberseguridad de la cadena de suministro NCSC o póngase en contacto con Prevalent hoy mismo para programar una demostración personalizada.

Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.