En el post de esta semana, hablamos sobre la Directiva (UE) 2022/2555 (en adelante, NIS2) y las medidas técnicas, operativas y organizativas más apropiadas para la evaluación y gestión de la cadena de suministro, con la finalidad de mitigar los riesgos que plantean para la seguridad de las redes y los sistemas de información.
En concreto, nos vamos a centrar en:
- El enfoque corporativo estratégico
- Gestión de riesgos de la cadena de suministro
- Gestión de las relaciones
Actualmente, dentro de la operativa de una entidad, y en función del sector, nos encontramos con multitud de proveedores y prestadores de servicios que, a su vez, pueden estar por soportados por terceros, generando largas cadenas de suministro, por eso es importante planificar y organizar los procesos y controles, teniendo siempre en cuenta que las entidades tienen recursos limitados y, por tanto, deben sopesar concienzudamente los costes y beneficios potenciales de las decisiones y compromisos que tomen respecto a los recursos de seguridad.
Aunque la Directiva NIS2 se dirige exclusivamente a los proveedores directos de primer nivel, dentro del capítulo de buenas prácticas encontraríamos la extensión de los requisitos de ciberseguridad a todos los subproveedores del servicio o producto prestado, buscando mitigar riesgos.
Si tomamos como referencia los resultados de la última encuesta de ENISA sobre las técnicas de mitigación de riesgos de ciberseguridad de la cadena de suministro en entornos TIC y OT, encontramos que lo más habitual es la solicitud de certificados de seguridad, pues las evaluaciones de riesgos y la clasificación de riesgos de seguridad sólo son realizadas por el 37% de los encuestados. Además, un 9 % de las organizaciones encuestadas indicó que no evalúa los riesgos de seguridad de su cadena de suministro de ninguna manera.
Respecto a la certificación de proveedores y/o sus productos, a pesar de que es una estrategia más ágil a la hora de responder a los riesgos evaluados de la cadena de suministro, no debe ser óbice en ningún caso para dejar de evaluar, responder y monitorear de forma constante de los riesgos por parte de los operadores.
Otra de las preguntas interesantes que se plantearon, fue el porcentaje de activos sobre los cuales las organizaciones encuestadas no tienen visibilidad en cuanto a la aplicación de parches. Es importante tener un mapa de activos lo más completo y fiable posible, pues es la única manera de poder adelantarnos a la explotación de vulnerabilidades.
Si los propietarios de los activos no conocen las vulnerabilidades potenciales o no comprenden los riesgos que plantean las vulnerabilidades del producto o servicio dentro de su contexto operativo, no pueden planificar e implementar programas de administración de parches adecuados.
Los datos de la encuesta arrojaron que el 52 % de las entidades tienen una visibilidad de entre el 60 y el 80% de sus activos, si bien existe un 13,5 % de las organizaciones encuestadas que no tienen visibilidad sobre el parcheo del 50 % o más de sus activos.
Las vulnerabilidades en la cadena de suministro a menudo están interconectadas y pueden exponer a los operadores a riesgos de ciberseguridad en cascada. Por ejemplo, una interrupción del servicio a gran escala de un proveedor de servicios en nube puede degradar o interrumpir de los servicios proporcionados por el operador. Por ello, es importante mantener relaciones de confianza con estos y establecer canales de comunicación claros y ágiles.
Bajo este contexto, el primer paso es determinar la estrategia a seguir, que debería garantizar:
- Una Junta Directiva involucrada en la ciberseguridad de la cadena. Para ello, sería conveniente establecer reuniones periódicas y debates.
- Creación de funciones, estructuras y procesos de colaboración explícitos de personal de todos los departamentos afectados y, siempre que la criticidad de los proveedores respecto a la operativa de negocio de la entidad sea crítica, la creación de un equipo de riesgo de terceros.
- Políticas actualizadas que definan las actividades de suministro de los entornos.
Una vez quede definida la estrategia, deben evaluarse los riesgos de seguridad, para lo cual es necesario:
- Definir el alcance, objetivos y contexto de la organización.
- Determinar el nivel de criticidad de los proveedores realizando previamente una evaluación de riesgos sobre los activos de la compañía y la posición de cada proveedor en el mapa. Como buenas prácticas, encontramos:
- Mapeo de las dependencias críticas del software, hasta el nivel de paquetes, bibliotecas y módulos.
- Identificar puntos únicos de falla y otras dependencias esenciales.
- Definir criterios de riesgo para diferentes tipos de proveedores y servicio en consonancia con los requisitos de continuidad del negocio.
- Identificar los objetivos de negocio para la propia organización y la organización del cliente final.
- Concretar el nivel de calidad de los productos y la gestión de las vulnerabilidades a requerir. La calidad debe medirse y mejorarse continuamente.
- Para el tratamiento de riesgos podemos utilizar controles recomendados en estándares internacionales como ISO/IEC 27001 o ISO 9001.
Adicionalmente, no podemos olvidarnos de los requisitos regulatorios, por lo que es importante realizar un estudio, siempre que sea posible, sobre los siguientes ítems,:
- Información específica del país (por ejemplo, evaluación de amenazas de los servicios de seguridad nacional.)
- Restricciones o exclusiones planteadas por una autoridad nacional pertinente (por ejemplo, en equipos críticos o para proveedores de alto riesgo)
- Información derivada de incidentes conocidos o inteligencia de amenazas cibernéticas
Al final del proceso de identificación, se debería enlistar a todos los proveedores, priorizando la identificación de los responsables de los productos o servicios con funciones que apliquen a la seguridad, acceso privilegiado o que gestionen información particularmente sensible.
Como señalábamos antes, una vez se han establecido las expectativas en materia de ciberseguridad con los proveedores y terceros, es importante que las entidades mantengan la confianza de que esas expectativas y requisitos se cumplen o siguen siendo proporcionales al riesgo que representa el proveedor, por tanto, es necesario revisar periódicamente la capacidad de estos, monitoreando los cambios en el perfil de riesgo, ya que el panorama de amenazas y la superficie de ataque cambian y evolucionan constantemente.
Finalmente, entre las mejores prácticas de la gestión de la relación con proveedores, destacaríamos:
- Acuerdos claros sobre las obligaciones de los proveedores y prestadores de servicios, así como los requisitos de seguridad para los productos.
- Gestión de los incidentes (responsabilidades, obligación de notificaciones y procedimientos).
- Formación y capacitación a organizaciones y proveedores de conformidad con los niveles de acceso a los activos.
- Disponer de procedimientos para el intercambio de información y técnicas de cifrado.
- Establecer requisitos de seguridad en cascada a lo largo de la cadena de suministro
- Tener un derecho de auditoría.
- En el caso de que se acuerden niveles de continuidad del servicio, se deberán verificar los planes de recuperación ante desastres de los proveedores y prestadores de servicios.
Como podemos ver, la gestión de las relaciones de dependencia con terceros es un pilar clave en la operativa de toda organización, por lo que establecer una estrategia y planificación clara, puede ayudarnos a evitar riesgos que, de producirse, podrían producir serios daños.
AUTORA: Alba Sánchez de la Calle
TWITTER: https://twitter.com/AlbusAlba