Mapeo de riesgos: Guía del NCSC sobre seguridad de la cadena de suministro

Mapeo de riesgos: orientación del NCSC sobre seguridad de la cadena de suministro

Por John Leyden • 11 July 2023

Los ataques cibernéticos que afectan a la cadena de suministro de una organización (en lugar de a la organización directamente) se están volviendo cada vez más comunes.

Si su proveedor sufre un incumplimiento, los activos de una organización están en riesgo. Conscientes de esto, los atacantes han adoptado la táctica de implementar ataques a través de la cadena de suministro de software. Como se informó anteriormente, una forma de ataque que saltó a la fama por primera vez con el ataque de ransomware NotPetya de 2017 y la violación de SolarWinds de 2020 se está convirtiendo en un flagelo para la seguridad corporativa.

El elemento explotación de una vulnerabilidad en el software de transferencia de archivos MOVEit robar datos e intentar extorsionar a los usuarios de la tecnología para que paguen ilustra cómo los ciberdelincuentes y los Estados-nación están utilizando los ataques a la cadena de suministro como vector de ataque.

Los paquetes de software comercial, los componentes de código abierto y los elementos de la tecnología de la nube están en riesgo de sufrir ataques a la cadena de suministro.

Los objetivos de los ataques a la cadena de suministro pueden variar desde el sabotaje hasta la distribución de malware, ransomware e incluso ciberespionaje. Una cadena es tan fuerte como su componente más débil, y los problemas pueden surgir tanto de los proveedores de tecnología a los proveedores de una organización como de los proveedores con los que alguien tiene una relación comercial directa, lo que complica aún más el panorama.

Dependencias de la cadena de suministro

La revisión anual de 2022 del Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) destacó la seguridad de la cadena de suministro como un “desafío de amenazas futuras” clave. El NCSC siguió esa advertencia a principios de este año con Orientación sobre cómo las organizaciones pueden mapear los riesgos de su cadena de suministro..

La guía, dirigida a organizaciones medianas y grandes, proporciona pasos prácticos para evaluar mejor la ciberseguridad en las cadenas de suministro. Esta es una tarea desafiante, como reconoce el NCSC.

"Las cadenas de suministro suelen ser grandes y complejas, y asegurarlas eficazmente puede ser difícil porque las vulnerabilidades pueden ser inherentes, introducidas o explotadas en cualquier punto dentro de ellas", explica la agencia de garantía de información del gobierno del Reino Unido.

La abrumadora tarea de mapear las dependencias de la cadena de suministro se puede manejar dividiéndola en partes manejables, que incluyen:

Qué producto o servicio se proporciona, quién y la importancia de ese activo para una organización.
Un inventario de proveedores y sus subcontratistas, que muestra cómo están conectados.

Los expertos en aseguramiento han acogido con satisfacción la orientación de asesoramiento cartográfico del NCSC.

Piers Wilson, director del Chartered Institute of Information Security (CIISec), dijo a ISMS.online: “La guía del NCSC destaca la necesidad de identificar y comprender a los proveedores y sus riesgos individuales en todos los niveles de la cadena. Es posible que comparta datos con algunos proveedores, mientras que otros no los tocarán y brindarán soporte crítico. De todos modos, todo esto aumenta la superficie de ataque potencial”.

Wilson continuó: "Luego existen riesgos sistémicos provenientes de proveedores de servicios gestionados o en la nube que podrían apuntalar no sólo su negocio sino también otras organizaciones en las que usted confía".

Parte del proceso implica mapear dependencias, un proceso similar a hacer un inventario de activos. Wilson explicó: “Los procesos de evaluación y auditoría utilizados para mapear la cadena de suministro deben ser adecuados para su propósito, repetibles y hacer frente a las necesidades comerciales. También deben proporcionar la información necesaria sobre los riesgos, el estado de la higiene cibernética y la superficie de ataque más amplia. La orientación del NCSC es un paso hacia lograrlo”.

Los riesgos de la cadena de suministro surgieron como un desafío crítico en Informe reciente de ISMS.online sobre el estado de la seguridad de la información. En una encuesta realizada a 500 profesionales senior de seguridad de la información, el 30% de los encuestados citó la gestión de riesgos de proveedores y terceros como un "principal desafío de seguridad de la información". Más de la mitad (57%) de las organizaciones encuestadas sufrieron una infracción debido a un compromiso de la cadena de suministro.

Sobrecarga

CIISec advirtió que el mapeo de la cadena de suministro probablemente ejercería una mayor presión sobre los equipos de seguridad, que ya se encuentran en apuros.

Wilson de CIISec comentó: “Seguir las pautas NCSC e ISO ayudará a los equipos de seguridad a identificar la forma más eficiente y efectiva de mapear y proteger sus cadenas de suministro. Pero además, la industria necesita seguir invirtiendo en capacitación y atrayendo sangre nueva, para que los equipos reciban las habilidades y el apoyo que necesitan y no se agoten”.

Esestableciendo un marco

ISO 27001 es un estándar internacional para sistemas de gestión de seguridad de la información. El marco ofrece pautas para mantener la confidencialidad, integridad y disponibilidad de los datos corporativos.

El enfoque de mejores prácticas del estándar de seguridad de la información ayuda a las organizaciones a gestionar la seguridad de su información con recomendaciones que cubren personas, procesos y tecnología.

El asesoramiento cartográfico del NCSC cita el suyo propio. Cyber Essentials e ISO y certificaciones de productos como herramientas que ayudan a trazar el mapeo de la cadena de suministro.

Luke Dash, director ejecutivo de ISMS.online, dijo que las organizaciones deben trabajar con sus proveedores en un esfuerzo conjunto para mapear los riesgos de la cadena de suministro, utilizando la norma ISO 27001 como guía. "ISO 27001, reconocida por su enfoque integral para la gestión de riesgos de seguridad de la información, complementa perfectamente el asesoramiento sobre mapeo de la cadena de suministro del NCSC al proporcionar un marco sólido para las organizaciones que buscan salvaguardar sus activos digitales", explicó Dash. “Ambas entidades priorizan el paso crítico de evaluación de riesgos, enfatizando la necesidad de que las organizaciones identifiquen y evalúen los riesgos asociados con sus activos de información y cadenas de suministro.

Dash agregó: "Al emprender un viaje conjunto de evaluación de riesgos, las organizaciones pueden comprender de manera integral las vulnerabilidades potenciales, lo que les permite implementar medidas de seguridad específicas".

Parte del proceso de gestión de riesgos implica medir la madurez de seguridad de los proveedores antes de utilizar estos datos para informar las decisiones de adquisición. Dash de ISMS.online explicó: “El asesoramiento sobre mapeo de la cadena de suministro del NCSC enfatiza la importancia de evaluar las prácticas de seguridad de los proveedores, incluida su comprensión de las amenazas emergentes y las capacidades de respuesta a incidentes. Armonizar estos criterios permite a las organizaciones tomar decisiones informadas, seleccionando proveedores con posturas de seguridad sólidas que se alineen con sus estrictos estándares”.

Los acuerdos contractuales también desempeñan un papel esencial en la creación de un marco cohesivo. "ISO 27001 destaca la importancia de establecer acuerdos claros que definan las responsabilidades de seguridad de la información y las expectativas de los proveedores", dijo Dash de ISMS.online. "En perfecta alineación, el asesoramiento sobre mapeo de la cadena de suministro del NCSC alienta a las organizaciones a incorporar requisitos de seguridad dentro de los acuerdos contractuales, garantizando el cumplimiento de rigurosos estándares de seguridad en toda la cadena de suministro".

El monitoreo y la revisión continuos son componentes vitales tanto en el asesoramiento sobre mapeo de la cadena de suministro del NCSC como en la norma ISO 27001, lo que permite que los marcos complementarios se apliquen en conjunto entre sí."El énfasis de ISO 27001 en la mejora continua se alinea perfectamente con la recomendación del NCSC de una reevaluación regular de los riesgos de la cadena de suministro y revisiones periódicas de las prácticas de seguridad de los proveedores", concluyó Dash de ISMS.online.

"Al adoptar este enfoque compartido, las organizaciones siguen siendo ágiles, abordando de manera proactiva las amenazas emergentes y garantizando la seguridad continua de sus cadenas de suministro".

Simplifique la gestión de su cadena de suministro hoy

Descubra cómo nuestra solución ISMS permite un enfoque simple, seguro y sostenible para la gestión de la cadena de suministro y la gestión de la información con ISO 27001 y más de 50 marcos más.

Conoce más

Juan Leyden

John Leyden ha escrito sobre redes informáticas y ciberseguridad durante más de 20 años. Antes de la llegada de Internet, trabajó como reportero de crímenes en un periódico local en Manchester. John tiene una licenciatura en ingeniería electrónica de la Universidad de la City de Londres.

Lea más de John Leyden

Privacidad de datos 22 de septiembre de 2024

Se insta a las empresas a seguir las regulaciones de IA de "rápida evolución"

La Inteligencia Artificial (IA) está transformando el sector de las tecnologías de la información a un ritmo vertiginoso. Ha transformado las aplicaciones, incluyendo la gestión de datos...

Juan Leyden

La seguridad cibernética 20 de junio de 2024

Por qué los proveedores pueden tener dificultades para mantener el cartel de impulso "seguro por diseño"

Por qué los proveedores pueden tener dificultades para mantener el impulso de la “seguridad por diseño”

Numerosos proveedores de tecnología se han adherido al compromiso de Seguridad por Diseño, respaldado por el gobierno estadounidense. Pero, ¿marcará este compromiso una ruptura con el pasado?

Juan Leyden

La seguridad cibernética 28 May 2024

decodificando la nueva guía del ncsc para el banner scada alojado en la nube

Decodificando la nueva guía del NCSC para SCADA alojado en la nube

Los sistemas de tecnología operativa (OT) monitorean y controlan automáticamente los procesos y equipos que operan desde plantas de energía hasta hospitales inteligentes...

Juan Leyden

Mapeo de riesgos: orientación del NCSC sobre seguridad de la cadena de suministro

Dependencias de la cadena de suministro

Sobrecarga

Esestableciendo un marco

Simplifique la gestión de su cadena de suministro hoy

Juan Leyden

Artículos relacionados

Control continuo simplificado: Intune y Entra ahora en IO

Actualización de la plataforma ISMS.online: Nuevas herramientas para mejorar el cumplimiento de la seguridad de la información

Un hito que merece la pena celebrar: 45,000 usuarios activos confían en ISMS.online

Lea más de John Leyden

Se insta a las empresas a seguir las regulaciones de IA de "rápida evolución"

Por qué los proveedores pueden tener dificultades para mantener el impulso de la “seguridad por diseño”

Decodificando la nueva guía del NCSC para SCADA alojado en la nube