Riesgos de la cadena de suministros (Proveedores)

Según La Gestión de Riesgos de Ciberseguridad en la Cadena de Suministro (C-SCRM) de NIST, es un proceso sistemático para gestionar la exposición a los riesgos de ciberseguridad a lo largo de la cadena de suministro y desarrollar respuestas, políticas, procesos y procedimientos adecuados. El objetivo es proporcionar orientación a las empresas sobre cómo identificar, evaluar, seleccionar y aplicar procesos de gestión de riesgos y controles de mitigación en toda la empresa para ayudar a gestionar los riesgos de ciberseguridad a lo largo de la cadena de suministro. El contenido de esta guía es responsabilidad compartida de diferentes disciplinas con diferentes perspectivas de SCRM, autoridades y consideraciones legales.

**

Pero iniciando esta revisión lo primero que tenemos que resolver es:

¿Qué es la cadena de suministro?

La cadena de suministro, también conocida como “supply chain” en inglés, es el conjunto de procesos y actividades involucrados en la producción y distribución de bienes y servicios desde el proveedor inicial hasta el cliente final. Estos procesos incluyen la planificación, diseño, producción, transporte, almacenamiento, distribución y servicio al cliente. A continuación, se presenta una definición basada en diversas fuentes reales:

1. Council of Supply Chain Management Professionals (CSCMP): Define la cadena de suministro como “la planificación y gestión de todas las actividades involucradas en la obtención y gestión de la logística. También incluye la coordinación y colaboración con socios del canal, que pueden ser proveedores, intermediarios, proveedores de servicios de terceros y clientes”.
2. Institute for Supply Management (ISM): Se refiere a la cadena de suministro como “la coordinación sistemática de las funciones tradicionales de negocio y tácticas a través de estas funciones empresariales dentro de una organización y a través de empresas dentro de la cadena de suministro, con el objetivo de mejorar el rendimiento a largo plazo de las empresas individuales y la cadena de suministro como un todo”.
3. Harvard Business Review (HBR): En diversos artículos, HBR ha descrito la cadena de suministro como una serie de pasos que se toman para transformar materias primas en productos finales y entregarlos al cliente, destacando la importancia de la eficiencia, la gestión de riesgos y la innovación en estos procesos.
4. Chopra & Meindl (en su libro “Supply Chain Management: Strategy, Planning, and Operation”): Describen la cadena de suministro como “una red de instalaciones y métodos de distribución que tiene la función de obtener materiales, transformar estos materiales en productos intermedios y finalmente en productos terminados, y distribuir estos productos terminados a los clientes”.

Estas definiciones reflejan que la cadena de suministro es una serie de actividades interconectadas, y la gestión eficaz de esta cadena es esencial para garantizar que los productos y servicios se produzcan y entreguen de manera eficiente y rentable. Además, la colaboración entre los diferentes actores y el uso de tecnologías y prácticas innovadoras son clave para optimizar y enfrentar los retos de la cadena de suministro en un mundo globalizado.

¿Cuál sería la implicancia de la cadena de suministro para la Ciberseguridad?

1. Riesgo de compromiso a través de proveedores: Si un proveedor es comprometido, el atacante podría tener acceso a la red de la empresa principal. Por ejemplo, el ataque a Target en 2013 ocurrió cuando los atacantes accedieron a la red de Target a través de un proveedor de HVAC.Fuente: Krebs on Security, “Target Hackers Broke in Via HVAC Company” (2014)
2. Software y hardware comprometido: Los productos que se adquieren de proveedores pueden venir con malware preinstalado o vulnerabilidades de diseño. Un caso conocido es el de Supermicro en 2018, donde se alegó que chips espías chinos se insertaron en sus placas base.Fuente: Bloomberg, “The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies” (2018)
3. Intercepción en tránsito: Los productos pueden ser interceptados y alterados durante el transporte. Esto puede resultar en la implantación de dispositivos de escucha o malware.
4. Gestión de actualizaciones: El software obsoleto o no actualizado puede ser un vector de ataque. Si los proveedores no ofrecen o gestionan adecuadamente las actualizaciones, se puede comprometer la seguridad.
5. Normativas y estándares: Las organizaciones pueden tener estándares de ciberseguridad elevados, pero si sus proveedores no cumplen con esos estándares, se crea una debilidad. Es fundamental establecer normativas claras y auditar a los proveedores en materia de ciberseguridad.Fuente: National Institute of Standards and Technology (NIST), “Managing Supply Chain Risk” (2015)
6. Transparencia y comunicación: La falta de transparencia en las prácticas de seguridad de los proveedores puede ser un riesgo. Es esencial tener una comunicación abierta y clara sobre protocolos y medidas de seguridad.

Según MCPRO “Esta es la conclusión principal que se extrae del último estudio publicado por Juniper Research, que estima que en solo tres años las inversiones mundiales para las empresas en este sentido serán de casi 46.000 millones de dólares. Los ciberataques se volverán más ágiles, precisos y personalizados, de tal modo que sean capaces de acentuar las vulnerabilidades de las brechas de seguridad e incrementarse en más del 76%.”

Durante este 2023 hemos visto distintos ataques a proveedores críticos que han generado distintas consecuencias:

https://www.biobiochile.cl/noticias/nacional/chile/2023/09/16/las-consecuencias-del-ciberataque-que-provoco-la-caida-de-la-plataforma-de-mercado-publico.shtml

https://www.emol.com/noticias/Nacional/2023/09/19/1107591/chilecompra-caido-ciberataque.html

https://www.barrons.com/news/spanish/crimea-golpeada-por-ciberataque-sin-precedentes-segun-responsable-ruso-db423b2f

https://www.bnamericas.com/es/noticias/ciberataque-en-colombia-afecta-a-sectores-publico-y-privado-local-y-extranjero

https://es-us.noticias.yahoo.com/50-entidades-estatales-privadas-colombia-223739420.html

https://www.itreseller.es/seguridad/2023/07/6-de-cada-10-proveedores-de-servicios-gestionados-han-sufrido-un-ciberataque

https://www.trendtic.cl/2023/04/sonda-confirma-ataque-de-ransomware-en-chile/

Entonces esta simple recopilación nos hace ver la gran importancia de comenzar como organizaciones a pensar en qué medidas tendremos frente a los proveedores, es ahí donde será de gran utilidad distintas formas de hacerlo:

Aquí hay algunas medidas y enfoques que las organizaciones pueden adoptar para mitigar los riesgos de ciberseguridad en la cadena de suministro:

1. Evaluación de riesgos: Realizar evaluaciones regulares de riesgos para identificar y priorizar las amenazas potenciales asociadas con cada proveedor.
2. Establecer estándares de ciberseguridad: Definir y comunicar claramente los estándares y expectativas de seguridad que los proveedores deben cumplir.
3. Auditorías y revisiones: Realizar auditorías periódicas a los proveedores para asegurar que cumplan con los estándares establecidos y tomar medidas correctivas cuando sea necesario.
4. Segmentación de red: Mantener los sistemas críticos y la información segregados o aislados de las redes que están más expuestas o conectadas a terceros.
5. Formación y concienciación: Proporcionar formación y recursos a los empleados y proveedores para que comprendan y sigan las mejores prácticas de ciberseguridad.
6. Gestión de incidentes: Tener un plan de respuesta a incidentes que incluya protocolos de comunicación y colaboración con proveedores en caso de una brecha de seguridad.
7. Acuerdos de nivel de servicio (SLAs): Establecer SLAs que describan las responsabilidades de ciberseguridad del proveedor y las expectativas de rendimiento.
8. Verificación de integridad: Utilizar herramientas y técnicas para garantizar que el hardware y el software proporcionados por los proveedores no hayan sido alterados o comprometidos.
9. Colaboración y cooperación: Fomentar un ambiente de cooperación entre la organización y sus proveedores, compartiendo información sobre amenazas y soluciones de seguridad.
10. Monitoreo constante: Utilizar herramientas de monitoreo para mantener una vigilancia constante sobre las actividades y eventos relacionados con la seguridad en la cadena de suministro.

Existen varios marcos de trabajo (frameworks) y buenas prácticas diseñados específicamente para abordar los riesgos de ciberseguridad en la cadena de suministro. A continuación, te presento 12 de ellos:

1. NIST SP 800-161 Prácticas de gestión de riesgos de la cadena de suministro para organizaciones y sistemas de información federalesWeb: https://csrc.nist.gov/pubs/sp/800/161/r1/final
2. ISO 27.001Específicamente, la sección “Relaciones con proveedores” trata los riesgos relacionados con los proveedores:Información del proveedor, **Gestión y entrega del servicio del proveedorWeb: **https://www.iso.org/standard/27001
3. ISO/IEC 27036 ISO/IEC 27036 es un estándar que trata de ofrecer una orientación sobre la evaluación y el tratamiento de los riesgos de información involucrados en la adquisición de bienes y servicios de proveedoresWeb: https://www.iso.org/standard/82905.html
4. Cyber Supply Chain Risk Management (C-SCRM) FrameworkEsta es un poco más generalizada y puede que no tenga un sitio específico. El NIST y otras organizaciones de ciberseguridad tienen información sobre C-SCRM.Web: https://csrc.nist.gov/Projects/cyber-supply-chain-risk-management
5. Open Trusted Technology Provider Standard (O-TTPS): El Estándar Abierto de Proveedores de Tecnología Confiable (O-TTPS) ( Mitigación de Productos Falsificados y Contaminados Maliciosamente )Web: https://www.opengroup.org/
6. **Software Assurance Maturity Model (SAMM)**El Modelo de Madurez de Software Assurance ( SAMM ) es un marco abierto para ayudar a las organizaciones a formular e implementar una estrategia para la seguridad del softwareWeb: https://owasp.org
7. **Defense Federal Acquisition Regulation Supplement (DFARS)**Es un conjunto de regulaciones que se aplican a todos los contratos y subcontratos del Departamento de Defensa (DoD) de EE. UU . Las regulaciones están diseñadas para garantizar que el Departamento de Defensa reciba bienes y servicios de calidad a precios justos y razonables.Web: https://www.acq.osd.mil/
8. CIS Critical Security Controls: Los controles de seguridad críticos de CIS (controles CIS) son un conjunto de mejores prácticas prescriptivas, priorizadas y simplificadas que puede utilizar para fortalecer su postura de ciberseguridad .Web: https://www.cisecurity.org/
9. The FAIR ModelEl modelo FAIR ( Análisis factorial de riesgo de la información ) permite a las organizaciones cuantificar el impacto de los riesgos cibernéticos para que puedan gestionarse de forma coherenteWeb: https://www.fairinstitute.org/
10. Shared Assessments’ Third Party Risk Management Toolkit: Shared Assessments ha creado un ecosistema de membresía de organizaciones intersectoriales, desde subcontratistas hasta proveedores, reguladores y proveedores de tecnología. Web: https://sharedassessments.org/
11. Cloud Security Alliance’s Cloud Controls Matrix (CCM): CSA Cloud Controls Matrix (CCM) es un marco de control de ciberseguridad para la computación en la nube . Se compone de 197 objetivos de control que están estructurados en 17 dominios que cubren todos los aspectos clave de la tecnología de la nube.Web: https://cloudsecurityalliance.org/
12. Secure Control FrameworkTPM prácticas de Gestión de riesgos de la cadena de suministro (SCRM) para que solo se utilicen terceros confiables para la entrega de productos y/o servicios.Web: https://securecontrolsframework.com/domains-principles/

Estas son las webs de las organizaciones principales que desarrollaron o mantienen los respectivos frameworks o estándares. Una vez que accedas a estos sitios, puedes buscar dentro de ellos el marco o práctica específica que te interesa para obtener más información o, si ofrecen descargas, obtener el documento completo.