Guía de ciberseguridad para la cadena de suministro del NCSC

Contactar con un experto

Volver a todos los casos de uso

Ciberseguridad de la cadena de suministro y gestión de riesgos de terceros

El Centro Nacional de Ciberseguridad del Reino Unido (NCSC), que forma parte del GCHQ, ha publicadouna guía actualizadapara ayudar a las organizaciones a evaluar eficazmente y ganar confianza en la ciberseguridad de sus cadenas de suministro.

La última guía tiene como objetivo ayudar a las organizaciones a implementar los12 principios de seguridad de la cadena de suministrodel NCSC en cinco etapas:

1) Antes de empezar
2) Desarrollar un enfoque para evaluar la ciberseguridad de la cadena de suministro
3) Aplicar el enfoque a las nuevas relaciones con los proveedores
4) Integrar el enfoque en los controles existentes de los proveedores
5) Mejorar continuamente

Requisitos pertinentes

  • Adquiera conocimientos sobre el enfoque de su propia organización respecto a la gestión de riesgos de ciberseguridad.

  • Incorporar nuevas prácticas de seguridad a lo largo del ciclo de vida contractual de los nuevos proveedores, desde la adquisición y selección de proveedores hasta la finalización del contrato.

  • Perfeccionar periódicamente su enfoque a medida que surgen nuevos problemas reducirá la probabilidad de que se introduzcan riesgos en su organización a través de la cadena de suministro.

  • Cree un enfoque repetible y coherente para evaluar la ciberseguridad de sus proveedores.

  • Revise sus contratos actuales, ya sea en el momento de la renovación o antes, en el caso de los proveedores críticos.

Cumplimiento de los requisitos de ciberseguridad de la cadena de suministro del NCSC

A continuación, le mostramos cómo Prevalent puede ayudarle a cumplir los requisitos establecidos en la Guía del Centro Nacional de Ciberseguridad del Reino Unido para la ciberseguridad de la cadena de suministro.

 

 

Orientación del NCSC

Consideraciones sobre las mejores prácticas

Etapa 1: Antes de comenzar

Según las directrices del NCSC, el objetivo de la fase 1 es «adquirir conocimientos sobre el enfoque de su propia organización en materia de gestión de riesgos de ciberseguridad». Esta fase inicial de planificación implica comprender:

  • Los riesgos a los que está expuesta su organización;
  • ¿Quiénes dentro de la organización deberían participar en las decisiones relacionadas con la ciberseguridad de la cadena de suministro?
  • Cómo debe evaluar el riesgo la organización.

Comprenda por qué su organización debe preocuparse por la ciberseguridad de la cadena de suministro.

Según unestudio reciente del sector, el 45 % de las organizaciones han sufrido una violación de datos o de la privacidad por parte de terceros en los últimos 12 meses. Consideremos algunos ejemplos recientes y el impacto que causaron esos incidentes de seguridad:

Toyota: pérdidas financieras y operativas.

En febrero de 2022,Toyota cerró sus operaciones en Japóndespués de que Kojima Industries, uno de sus principales proveedores de plásticos, sufriera una filtración de datos. Kojima tenía acceso remoto a las plantas de fabricación de Toyota, lo que aumentaba considerablemente el riesgo para la empresa. Como resultado del cierre temporal, Toyota sufrió pérdidas financieras y operativas.

SolarWinds: demandas, multas, pérdida de la confianza de los clientes

Actores estatales rusos piratearon el software Orion, que luego se distribuyó a los clientes de SolarWinds como parte de una serie de actualizaciones planificadas periódicamente. Esta acción permitió a los ciberdelincuentes acceder a miles de sistemas y datos de la empresa. SolarWinds se enfrenta ademandas, multas, testimonios ante el Congresoy otras consecuencias, lo que afectará la confianza de sus clientes en la empresa durante los próximos años.

Responda a estas preguntas clave:

  • ¿Puede su organización mantener su resiliencia ante una interrupción cibernética de la cadena de suministro?
  • ¿Puedes identificar el objetivo de un ciberataque? ¿Son los datos?
  • ¿Puedes identificar la vía de ataque más probable para un ciberatacante?

Si la respuesta a cualquiera de estas preguntas es «no», entonces debe evaluar los puntos débiles de su cadena de suministro cibernética y elaborar un plan para mitigar esos riesgos.

Identifique a los actores clave de su organización.

Contar con las personas adecuadas para respaldar la ciberseguridad de la cadena de suministro ayudará a impulsar los cambios necesarios.

Los participantes pueden incluir representantes de los equipos de compras y abastecimiento, gestión de riesgos, seguridad y TI, asuntos legales y cumplimiento normativo, y privacidad de datos. La razón por la que tantos equipos deben participar en el proceso de gestión de riesgos cibernéticos de la cadena de suministro es que cada departamento tiende a centrarse en los riesgos que le conciernen.

Los equipos de seguridad informáticayprivacidaddeben determinar qué controles se han implementado para proteger los datos y el acceso a los sistemas, si se ha producido una violación de la seguridad del proveedor, cuál ha sido su impacto y si existe un riesgo indebido por parte de terceros.

Los equipos de compraspueden querer hacerlo si el historial financiero o crediticio del proveedor suscita alguna preocupación, o si el proveedor tiene un problema de reputación.

Los equipos jurídicos y de cumplimiento normativoquerrán saber si el proveedor ha sido sancionado por motivos relacionados con la privacidad de los datos, el medio ambiente, los aspectos sociales y de gobernanza, el soborno o las sanciones.

Los equipos de gestión de riesgosquerrán saber si el proveedor se encuentra en una región propensa a sufrir desastres naturales o inestabilidad geopolítica.

En primer lugar, establezca una matriz RACI para definir quién es, dentro de la organización:

  • Responsable de la gestión de riesgos
    Responsable de los resultados
  • Consultado con
  • Mantenido informado sobre el proceso y los resultados

Por último, consiga el apoyo de los altos ejecutivos y del consejo de administración mediante:

  • Presentación de una visión consolidada de la exposición actual al riesgo de la organización desde la cadena de suministro.
  • Comunicar el estado actual del riesgo y las medidas de reducción
  • Identificar dónde se necesita el apoyo de los ejecutivos

Comprenda cómo evalúa el riesgo su organización.

Una forma habitual de clasificar los riesgos es mediante un «mapa de calor» que mide el riesgo en dos ejes: la probabilidad de que se produzca y el impacto en las operaciones. Naturalmente, los riesgos que obtienen una puntuación alta en ambas escalas (por ejemplo, el cuadrante superior derecho) deben tener mayor prioridad que los riesgos que obtienen una puntuación más baja.

Etapa 2: Desarrollar un enfoque para evaluar la ciberseguridad de la cadena de suministro

La guía de la etapa 2 dice: «Crear un enfoque repetible y coherente para evaluar la ciberseguridad de sus proveedores». Esta etapa implica:

  • Saber qué activos debe proteger la organización.
  • Definir cuáles deberían ser los controles de seguridad ideales para proteger el activo; y
  • Determinar cómo evaluar a los proveedores y gestionar los incumplimientos.

Prioriza las «joyas de la corona» de tu organización.

Determine los aspectos críticos de su organización que más necesita proteger.

Crear componentes clave para el enfoque, que incluyen:

  • perfiles de seguridad que se asignarán a cada proveedor
  • preguntas para determinar el perfil de seguridad de cada proveedor
  • Requisitos de ciberseguridad para cada perfil
  • planes de gestión para supervisar el cumplimiento de los requisitos de seguridad por parte de los proveedores
  • Cláusulas relativas a la ciberseguridad que deben incluirse en los contratos con los proveedores.

Antes de crear el perfil de seguridad del proveedor, tenga en cuenta losriesgos inherentesa los que expone a la empresa. Tenga en cuenta este marco al calcular el riesgo inherente:

  • Importancia crítica para el rendimiento y las operaciones empresariales
  • Ubicación(es) y consideraciones legales o normativas relacionadas
  • Nivel de dependencia de terceros (para evitar el riesgo de concentración)
  • Exposición a procesos operativos o de atención al cliente
  • Interacción con datos protegidos
  • Situación financiera y salud
  • Reputación

A partir de los conocimientos obtenidos en esta evaluación de riesgos inherentes, su equipo puede clasificar y perfilar automáticamente a los proveedores; establecer cláusulas contractuales específicas para hacer cumplir las normas; fijar los niveles adecuados de diligencia adicional; determinar el alcance de las evaluaciones continuas; y definir las medidas correctivas en caso de incumplimiento.

Para realizar un seguimiento del cumplimiento de los requisitos de seguridad, considere la posibilidad de estandarizar las evaluaciones con respecto a Cyber Essentials, ISO u otros marcos de control de seguridad de la información comúnmente adoptados.

Etapa 3: Aplicar el enfoque a las relaciones con nuevos proveedores

En la fase 3, las directrices del NCSC recomiendan incorporar «nuevas prácticas de seguridad a lo largo de todo el ciclo de vida contractual de los nuevos proveedores, desde la adquisición y la selección de proveedores hasta la finalización del contrato». Esto implica supervisar el cumplimiento de las disposiciones contractuales y mantener al equipo al tanto de sus responsabilidades durante el proceso.

Formar al equipo

Asegúrese de que las personas que participarán en la evaluación de los proveedores reciban formación en materia de ciberseguridad.

Considere exigir a los empleados responsables de las relaciones con los proveedores que obtengan certificaciones de seguridad individuales o que respalden las certificacionesCyber EssentialsoISO 27036-2de la organización.

Incorporar controles de ciberseguridad durante toda la vigencia del contrato.

Tenga en cuenta la ciberseguridad a lo largo de todo el ciclo de vida del contrato: desde la decisión de externalizar, la selección de proveedores, la adjudicación del contrato y la entrega del proveedor hasta la rescisión. Piense qué prácticas se pueden introducir para garantizar que esto se cumpla en todas las adquisiciones.

Esta guía exige a las organizaciones que sean conscientes de los riesgos encada etapa del ciclo de vida del proveedor, incluyendo:

  • Realizar una diligencia debida previa al contrato obteniendo información sobre ciberseguridad o el historial de violaciones de datos de los posibles proveedores antes de tomar decisiones de selección.
  • Puntuación y categorización de proveedores para que sepa cómo clasificarlos y qué diligencia debida continua es necesaria.
  • Validación de los resultados de la evaluación con datos de supervisión cibernética en tiempo real.
  • Seguimiento centralizado de todos los contratos y atributos contractuales relacionados con la seguridad.
  • Medir la eficacia de los proveedores, incluyendo los KPI, KRI y SLA, en relación con las medidas de cumplimiento para garantizar que dichos proveedores cumplen los requisitos contractuales.
  • Finalizar las relaciones de manera que se garantice el cumplimiento del contrato, la destrucción de datos y que se comprueben los elementos finales.

Supervisar el rendimiento de seguridad de los proveedores.

Realizarevaluacionesde ciberseguridad de los proveedores en el momento de su incorporación, renovación del contrato o con la frecuencia necesaria (por ejemplo, trimestral o anualmente). Asegurarse de que las evaluaciones estén respaldadas por capacidades de flujo de trabajo, gestión de tareas y revisión automatizada de pruebas.

A continuación, realice un seguimiento y análisis continuos delas amenazas externas a tercerosmediante la supervisión de Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades. Las fuentes de supervisión deben incluir: foros criminales; páginas onion; foros de acceso especial a la web oscura; fuentes de amenazas; sitios de pegado para credenciales filtradas; comunidades de seguridad; repositorios de código; bases de datos de vulnerabilidades; y bases de datos de violaciones de datos.

Correlacione todos los datos de supervisión con los resultados de la evaluación y centralícelos en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes y las iniciativas de respuesta.

Etapa 4: Integrar el enfoque en los contratos existentes con los proveedores

En la fase 4, el NCSC recomienda revisar «los contratos existentes, ya sea en el momento de su renovación o antes, en el caso de los proveedores críticos». La guía da por sentado cierto nivel de gestión del ciclo de vida de los contratos.

Identificar los contratos existentes

Evalúa los riesgos de tus contratos.

Apoye a sus proveedores

Revisar las cláusulas contractuales.

Centralizar la distribución, discusión, retención y revisión delos contratos con los proveedorespara que todos los equipos pertinentes puedan participar en las revisiones de los contratos y garantizar que se incluyan las cláusulas de seguridad adecuadas. Las prácticas clave que deben tenerse en cuenta en la gestión de los contratos con los proveedores incluyen:

  • Almacenamiento centralizado de contratos
  • Seguimiento de todos los contratos y atributos de los contratos, como el tipo, las fechas clave, el valor, los recordatorios y el estado, con vistas personalizadas basadas en funciones.
  • Funciones de flujo de trabajo (basadas en el tipo de usuario o contrato) para automatizar el ciclo de vida de la gestión de contratos.
  • Recordatorios automáticos y avisos de vencimiento para agilizar las revisiones de contratos.
  • Discusión centralizada de contratos y seguimiento de comentarios
  • Almacenamiento de contratos y documentos con permisos basados en roles y registros de auditoría de todos los accesos.
  • Seguimiento del control de versiones que admite la edición de contratos y documentos sin conexión.
  • Permisos basados en roles que permiten la asignación de tareas, el acceso a contratos y el acceso de lectura/escritura/modificación.

Informar sobre los avances a la junta directiva.

Comience por determinar la diferencia entre los indicadores clave de rendimiento(KPI) y los indicadores clave de riesgo (KRI)y cómo se relacionan entre sí.

  • Los indicadores clave de rendimiento (KPI)miden la eficacia de las funciones y los procesos.
  • Los indicadores clave de riesgo (KRI)indican el nivel de riesgo al que se enfrenta la organización y qué medidas de tratamiento del riesgo deben aplicarse.

A la hora de medir los KPI y los KRI, clasifíquelos de la siguiente manera:

  • Las mediciones de riesgoayudan a comprender el riesgo que conlleva hacer negocios con un proveedor, así como las medidas de mitigación asociadas.
  • Las mediciones de amenazasse superponen en cierta medida con el riesgo y ofrecen una visión más completa y validada del riesgo.
  • Las mediciones de cumplimientodefinen si los proveedores cumplen con sus requisitos de controles internos.
  • Las mediciones de coberturaresponden a la pregunta: «¿Tengo una cobertura completa de la huella de mis proveedores y están clasificados y tratados en consecuencia?».

A continuación, asegúrese de vincular los resultados con las disposiciones del contrato para proporcionar una gobernanza completa sobre el proceso.

Por último, asegúrate de que tu equipo comprenda perfectamente qué tipo de información debe ver la junta directiva. Este enfoque debería permitir a tu equipo:

  • Presentar una visión consolidada de la exposición actual al riesgo de la organización desde la cadena de suministro.
  • Comunicar el estado actual de los proveedores críticos que respaldan los principales esfuerzos de la empresa.
  • Mostrar el riesgo inherente y residual a partir de fuentes de inteligencia sobre amenazas para demostrar el progreso en la reducción del riesgo a lo largo del tiempo.
  • Identificar dónde se necesita apoyo ejecutivo.

Etapa 5: Mejorar continuamente

La etapa final de la guía del NCSC dice: «Perfeccionar periódicamente su enfoque a medida que surgen nuevos problemas reducirá la probabilidad de que se introduzcan riesgos en su organización a través de la cadena de suministro».

Evaluar periódicamente el enfoque y sus componentes.

Revisar continuamente el programa de ciberseguridad de la cadena de suministro de la organización en cada etapa del ciclo de vida del proveedor. Las áreas clave que deben revisarse incluyen:

  • Funciones y responsabilidades (por ejemplo, RACI)
  • Perfiles de seguridad de los proveedores
  • Puntuación de riesgo y umbrales basados en la tolerancia al riesgo de la organización.
  • Metodologías de evaluación y supervisión basadas en la
    criticidad de terceros.
  • Participación de terceros y cuartos en la prestación de servicios críticos
  • Fuentes de datos de supervisión continua (cibernética, empresarial,
    reputacional, financiera)
  • Indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI)
  • Políticas, normas, sistemas y procesos de gobierno para proteger los sistemas y datos
    .
  • Requisitos de cumplimiento y presentación de informes contractuales con respecto a los niveles de servicio de
    .
  • Procesos de respuesta ante incidentes
  • Informes para las partes interesadas internas
  • Estrategias de mitigación y remediación de riesgos

Manténgase al tanto de las amenazas en constante evolución y actualice sus prácticas en consecuencia.

Manténgase al tanto de las amenazas emergentes y utilice los conocimientos adquiridos para actualizar la ciberseguridad de su cadena de suministro en consecuencia.

Realizar un seguimiento y análisis continuos delas amenazas externas a tercerosmediante la supervisión de Internet y la web oscura en busca de amenazas cibernéticas y vulnerabilidades, así como de fuentes públicas y privadas de información sobre reputación, sanciones y finanzas.

Correlacione todos los datos de supervisión con los resultados de la evaluación y centralícelos en un registro de riesgos unificado para cada proveedor, lo que agiliza la revisión de riesgos, la presentación de informes y las iniciativas de respuesta.

Las fuentes de supervisión deben incluir:

  • Foros criminales; miles de páginas onion; foros de acceso especial a la dark web; fuentes de amenazas; y sitios de pegado para credenciales filtradas, así como varias comunidades de seguridad, repositorios de código y bases de datos de vulnerabilidades.
  • Fuentes públicas y privadas de información sobre reputación, incluyendo actividades de fusiones y adquisiciones, noticias empresariales, noticias negativas, información regulatoria y legal, actualizaciones operativas y más.
  • Resultados financieros, incluyendo volumen de negocios, pérdidas y ganancias, fondos de los accionistas, etc.
  • Fuentes de noticias globales
  • Perfiles de personas políticamente expuestas
  • Listas de sanciones globales

Colabora con tus proveedores.

Desarrollar planes de remediación con recomendaciones que los proveedores puedan seguir para reducir el riesgo residual. Proporcionar un foro para que los proveedores puedan subir pruebas y comunicarse sobre remediaciones específicas con un registro de auditoría seguro para realizar un seguimiento de las remediaciones hasta su finalización.

Recursos adicionales

Blog

Guía del NCSC para la ciberseguridad de la cadena de suministro y la gestión de riesgos de terceros

Blog

Cómo prepararse para el próximo ataque a la cadena de suministro de software

Blog

Mejores prácticas de gestión de riesgos en la cadena de suministro cibernética (C-SCRM)

Guía

Alinee su programa TPRM con ISO, NIST, SOC 2 y más

Ver más recursos

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.